為您的 Windows 伺服器配置和管理 Windows 防火牆

教學
Windows

在您的Windows服务器上配置和管理Windows防火墙。在强大的服务器管理领域中,Windows防火墙作为一个关键的工具出现,坚定地保护我们的Windows服务器免受各种潜在的漏洞威胁,同时促进对通信流的精确调节。作为Windows Server操作系统的一个基本组成部分,熟练地配置和有效地管理Windows防火墙需要对其功能的细微理解。本文对我们的Windows Server环境中Windows防火墙的配置和管理进行了细致而全面的审查,提供了宝贵的见解,以加强服务器的防御并调整其运行效率。

也阅读使用Windows服务器加密和BitLocker保护您的数据

在您的Windows服务器上配置和管理Windows防火墙

Windows 防火牆 是 Windows 操作系統中的內建安全功能,作為電腦或網路與來自網際網路或本地網路的潛在威脅之間的防護屏障。它監控和控制著進出的網路流量,有助於保護系統免受未經授權的訪問和惡意活動。文章的下一節將更多地告訴我們如何關閉 Windows 防火牆。

還可閱讀 Windows Server 補丁管理:如何使 Windows Server 保持安全且更新

使用 GUI 配置 Windows 防火牆

Windows 內建的圖形使用者介面 (GUI) 工具是家庭和工作用戶管理防火牆的最快方式。其中一個 GUI 工具的例子是 Windows Defender 防火牆控制面板。

使用 Windows Defender 防火牆控制面板

Windows Defender 防火牆控制面板是 Windows 操作系統的一個重要組件,使用戶能夠為其系統建立一道堅固的防線。通過這個易於使用的界面,用戶可以細致地控制進出流量,增強網絡安全,同時保持無縫的通信完整性。以下是幾種啟動 Windows Defender 防火牆控制面板的方法:

方法 1

導航到 控制面板系統和安全Windows Defender 防火牆
方法 2

點擊開始,然後輸入 Windows Defender 防火牆。點擊 Windows Defender 防火牆 鏈接。
方法 3

打開運行對話框,輸入 firewall.cpl,然後點擊 確定

我們應該在Windows Defender防火牆控制面板中識別網絡配置文件列表—域、私人訪客或公共網絡。 點擊左側的打開或關閉Windows Defender連結。

我們在自定義設置頁面上關閉每個網絡配置文件的Windows防火牆。 在下面的示例中,Windows防火牆已在所有網絡配置文件上禁用。

同時閱讀 Windows Server硬化:為Windows Server配置安全設置和策略

使用群組策略管理控制台

通過部署群組策略對象(GPO),系統管理員可以為域中的選定或所有計算機關閉Windows防火牆。 一旦部署,禁用Windows防火牆就會自動化,因為配置會通過策略在所有範圍內的計算機上強制執行。

在這種情況下,我們使用群組原則管理 控制台 (GPMC) 在伺服器上創建GPO。為此,運行Run對話框中的gpmc.msc命令。

在 群組原則管理控制台中展開森林,選擇我們創建GPO的域。在域上右鍵單擊,然後單擊在此域中創建GPO,並將其鏈接到這裡…

對話方塊彈出。為我們創建的GPO輸入一個名稱。右鍵單擊新GPO,然後選擇編輯。GPO將在群組原則管理編輯器中打開。然後,展開這些文件夾:計算機配置

  • 政策
  • 管理範本
  • Administrative Templates
  • 網路
  • 網路連線
  • Windows Defender
  • 防火牆
  • 域設定

這裡我們看到我們在域中實施的所有Windows防火牆設定清單。 例如,在右窗格的設定清單中,請雙擊Windows Defender防火牆:保護所有網路連線以打開其屬性。

一旦設定屬性打開,通過選擇已停用,然後點擊確定

再次將相同選項應用到標準設定檔。現在我們已經建立了GPO,需要將GPO部署到域計算機。在群組策略管理中選擇停用Windows防火牆的GPO以應用GPO。然後,在安全篩選區域的範圍選項下點擊新增按鈕。

在選擇使用者、電腦或群組對話方塊中尋找域計算機,然後點擊確定。這樣可以確保我們將GPO應用到所有屬於域計算機群組的計算機。

系統會在客戶端計算機下次取得策略更新時關閉防火牆。

現在GPO已經建立並部署,我們通過強制執行策略更新來測試GPO是否有效。在客戶端計算機上運行gpupdate /force以測試策略更新。

另請參閱Windows Server安全最佳實踐:保護您的Windows Server環境

另請參閱 嘗試InfraSOS Active Directory GPO報告工具

使用CLI配置Windows防火牆

大多數(如果不是全部)的Windows GUI功能都有命令行等效功能。有時使用命令行界面(CLI)比使用GUI選項更快。此外,命令行選項使用戶能夠編寫腳本或自動執行任務。以下是一些例子:

使用Netsh命令管理Windows防火牆

A legacy but valuable handy utility called netsh is useful to manage network configurations on a computer or, in this case, disable the Windows Firewall. Using netsh advfirewall set, we manage Windows Firewall individually on each location or all network profiles.

  • netsh advfirewall set currentprofile state – 這個命令管理目前活動的網絡配置文件防火牆。
  • netsh advfirewall set domainprofile state – 只管理域配置文件的防火牆。網絡 配置文件。
  • netsh advfirewall set privateprofile state – 只管理私人配置文件的防火牆。網絡 配置文件。
  • netsh advfirewall set publicprofile state – 這個命令只會管理 公用 網路設定檔的防火牆
  • netsh advfirewall set all profiles state – 這個命令將同時管理所有網路設定檔。

整合 netsh 命令可增加對於精確防火牆配置和管理的機會,對於尋求細緻控制的有經驗用戶來說,最終增強伺服器對於不斷變化的 網路威脅 的抵抗力。

使用 Set-NetFirewallProfile PowerShell Cmdlet

網絡安全NetSecurity PowerShell模組包含與網絡和網絡安全配置相關的cmdlet。該PowerShell模組內置於Windows Server 2012及更高版本中。其中一個cmdlet是Set-NetFirewallProfile,我們用它來管理Windows防火牆

Set-NetFirewallProfile -All -Enabled True
Set-NetFirewallProfile -Profile  -Enabled False

以下命令將在公共私有 網絡配置文件上關閉防火牆:

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False

如果未指定任何配置文件名稱,下面的示例演示了如何使用-全部參數開關在所有網絡配置文件上禁用Windows防火牆。

使用PowerShell遠程管理Windows防火牆

當我們需要管理許多電腦上的防火牆時,逐一登入每台電腦並手動運行命令是低效的。特別是在網絡環境中,我們可以使用 PowerShell 遠程禁用。

注意:此過程要求我們在目標計算機上啟用 Windows 遠程管理或 WinRM。在大多數情況下,WinRM 可用於加入域的計算機以進行遠程管理。

如果我們計劃逐一禁用一台遠程計算機上的 Windows 防火牆,我們使用 Enter-PsSession cmdlet 向遠程計算機發出命令。

Enter-PsSession -ComputerName WINSRV01
Set-NetFirewallProfile -All -Enabled False

上述过程只适用于我们在少量远程计算机上工作时。但是,如果我们有许多需要关闭的计算机,我们需要更适合脚本的方法。为此,我们使用 Invoke-Command cmdlet。

$computers = @('WINSRV01','WINSRV02')
$computers | ForEach-Object {
	Invoke-Command -ComputerName $_ {
		Set-NetFirewallProfile -All -Enabled False
	}
}

从上面的片段中我们可以看到,我们将远程计算机的名称存储在$computers变量中作为一个数组。然后,PowerShell循环遍历每台远程计算机运行Invoke-Command cmdlet,并执行Set-NetFirewallProfile -All -Enabled False命令。

还可阅读使用Azure防火墙和安全组保护Azure网络

Windows高级安全防火墙

Windows防火牆和具有進階安全性的Windows防火牆之間的區別在於它們的複雜性和功能。Windows防火牆作為主要的、用戶友好的防火牆,通過使用預定義規則來調節傳入和傳出的網絡流量,而具有進階安全性的Windows防火牆為高級用戶和管理員提供了更為複雜的工具集,使其能夠進行高度定制的配置,包括IP地址、協議、用戶和服務等標準,特別適用於複雜的網絡環境。

在所有三個Windows版本中,查找Windows Defender防火牆具有進階安全性的可執行文件是啟動它的最簡單方法。在Windows搜索框中輸入wf.msc後,單擊或按壓結果。

控制面板中,我們通過點擊具有進階安全性的Windows Defender防火牆 -> 系統和安全性 -> Windows Defender防火牆,然後單擊或點擊進階設置來訪問。

在Windows操作系統中,訪問具有進階安全性的Windows Defender防火牆的快捷方式方便地位於開始菜單,按照以下路線進行: 開始菜單Windows管理工具具有進階安全性的Windows Defender防火牆

也可閱讀試用我們的InfraSOS Office 365報告工具

具備高級安全功能的Windows防火牆的優勢

該工具使我們能夠訪問Windows Defender防火牆中的所有功能。以下是其使用的幾個優勢:

  • 減少遭受基於網絡的安全漏洞攻擊的機會。雖然不是全面的安全解決方案,Windows Defender防火牆降低了成功發動網絡攻擊的可能性。
  • 通過使用IPsec(網際網路協定安全)確保對我們設備的訪問。以確保數據的完整性和保密性。
  • 提供防火牆功能而無需額外支出。作為Windows的一個重要組件,Windows Defender防火牆提供防火牆功能,無需財務支出或需要額外軟件安裝。

Windows Defender防火牆具有高級安全功能,通過其特色機制提供這些優勢:

  • 入站和出站规则:这些规则可以精确控制传入和传出的网络流量,允许根据端口号、程序和IP地址进行定制。
  • 连接安全规则:通过定义加密参数和认证方法,这些规则建立安全通信渠道,增强网络安全性。
  • 监控:防火墙提供全面的监控工具,跟踪规则匹配和连接尝试等事件,有助于及时威胁检测和响应。

感谢阅读有关如何在您的Windows服务器上配置和管理Windows防火墙。我们将总结,

另请阅读如何在Azure中实施合规性和治理政策

配置和管理您的Windows服务器的Windows防火墙结论

總的來說,掌握我們的Windows Server上Windows防火牆的配置和管理是維護安全和性能最佳的服務器環境至關重要。Windows Defender防火牆控制面板提供了一個可訪問的門戶,用於維護通信完整性並防止潛在的漏洞。此外,對於那些希望控制程度提升的人,整合netsh命令提供了一個高級的途徑來微調防火牆設置,最終形成一種全面的方法,加強我們的服務器對動態數字環境的防禦。

Source:
https://infrasos.com/configure-and-manage-windows-firewall-for-your-windows-server/