作为服务器技术人员,Windows 防火墙是构建服务器安全防线的核心组件。合理配置防火墙规则可有效阻断恶意访问、控制流量出入,同时保障业务正常运行。本文结合 HopeIDC 二十年服务器运维经验,分享从基础端口过滤到高级安全策略的实战技巧,助您快速掌握 Windows 防火墙核心功能!
- 入站规则(Inbound):仅开放业务必需端口(如 Web 服务 80/443、远程桌面 3389、数据库 3306),禁用高危端口(如 135/139/445 等 SMB 漏洞端口)
▶ 操作路径:控制面板→Windows Defender 防火墙→高级设置→入站规则→新建规则→端口→指定端口号→允许 / 拒绝
- 出站规则(Outbound):限制非必要程序联网(如禁用恶意软件外联),推荐通过「程序路径」精准控制(如仅允许 Chrome.exe 访问 80/443 端口)
- 白名单模式(适用于管理服务器):
添加管理员 IP 段(如192.168.1.0/24)到入站规则,拒绝所有未授权 IP 访问远程桌面(3389 端口)
- 黑名单模式(适用于公共服务器):
批量封禁攻击源 IP(通过安全日志提取高频攻击 IP,导入「拒绝所有连接」规则),可结合 HopeIDC 安全平台实时同步最新恶意 IP 库
- 禁用「允许任意版本远程桌面连接」,强制要求 NLA(网络级别身份验证)
- 限制 RDP 访问时间(如仅工作日 9:00-18:00 开放),通过「条件访问」规则结合源 IP 与时间段双重验证
- 适用场景:容器化部署(Docker 端口动态分配)、临时文件共享(SMB 端口临时开放)
- 配置技巧:通过「作用域」限定规则生效的本地 / 远程 IP 范围,配合「协议类型」(TCP/UDP)与「端口范围」(如 49152-65535 动态端口段)
- 优势:比端口控制更精准,可阻止恶意程序伪装合法端口通信
- 案例:为 SQL Server 实例单独创建规则(仅限
C:\Program Files\Microsoft SQL Server\*目录下程序访问 1433 端口),防止病毒进程占用端口
- 启用日志记录(路径:高级设置→属性→日志→记录丢弃的数据包 / 成功的连接)
- 结合 HopeIDC 日志分析工具,自动识别异常流量(如 5 分钟内 50 次 RDP 失败连接触发警报)
- 风险:未及时关闭 139/445 端口易成为勒索软件(如 WannaCry)攻击入口
- 操作:在入站规则中找到「文件和打印机共享(SMB-In)」,设置为「禁用」
- 作用:隐藏服务器在线状态,减少扫描工具发现概率
- 配置:新建入站规则→协议 ICMPv4→特定类型(回显请求)→拒绝连接
- 开放端口:80(HTTP)、443(HTTPS)、8080(备用端口)
- 附加规则:启用 TLS 1.2 + 加密(通过注册表禁用 TLS 1.0/1.1),拒绝来自 Tor 节点 IP 的连接(可从 HopeIDC 安全库获取 Tor 出口节点列表)
- 开放端口:1433(TCP)、1434(UDP,用于动态端口发现)
- 增强策略:仅允许应用服务器 IP 段(如
10.0.0.0/24)访问数据库端口,启用 SQL Server 专用加密通道(SSL 连接)
- 开放端口:5985(WinRM HTTP)、5986(WinRM HTTPS)
- 安全配置:强制 WinRM 使用 HTTPS 协议,设置 Kerberos 认证或证书验证,禁止匿名访问
点击访问 www.hopeidc.com/专属技术顾问 1 对 1 指导
您的每一次规则配置都是业务安全的重要防线。HopeIDC 结合二十年运维经验,提供从基础模板到高级策略的全流程支持,让 Windows 防火墙成为您抵御网络攻击的「智能盾牌」!
