首页 » 配置防火墙

配置 Windows 防火墙

配置防火墙是系统管理员最重要的任务之一。防火墙在保护数据免受黑客攻击方面起着至关重要的作用。一般来说,防火墙配置可以解释为一组配置文件/规则。这些配置文件/规则会应用到计算机上,用于确定指定端口上所有入站和出站通信的权限。使用 Endpoint Central,您可以创建新的配置来部署特定设置,或修改现有的防火墙设置,包括那些未通过我们产品应用的设置。

了解 Windows 防火墙配置文件

在开始创建防火墙配置之前,让我们先进一步了解 Windows 防火墙配置文件。每台运行 Windows 操作系统的计算机都会通过配置文件连接到 Internet/网络。Windows 计算机有三种配置文件,分别是:

  • :此配置将应用于属于域的计算机。每当计算机连接到 Internet/网络时,应用于该计算机防火墙的限制就会生效。这是企业环境中计算机工作方式的理想示例。
  • 专用:在此类别中,防火墙限制将应用于连接到专用网络的计算机。专用网络是指未直接连接/暴露于 Internet 的网络。出于安全原因,专用网络的配置方式通常是在网络前端设置 NAT(网络地址转换)或硬件防火墙等安全设备。这比域环境提供了额外的一层安全保护。大多数企业都会配置此类防火墙来保护其公司数据。
  • 公用:此配置文件在计算机与 Internet 之间没有任何安全设备或限制。公用网络的一个典型示例是机场、火车站、咖啡店等场所中的网络。您需要确保以最安全的方式配置防火墙,因为这类网络通常不要求通过安全访问即可连接到 Internet。

防火墙规则

规则是为系统管理员提供高级控制的设置。规则是一种可以强制应用于配置文件之上的策略。假设您为“域”创建了一个配置文件,并指定阻止所有入站通信,您仍然可以创建一条规则,为指定配置文件添加例外,并允许特定端口的入站通信。

如何配置 Windows 防火墙?

我们的产品支持为运行 Windows XP 及更高版本的计算机配置防火墙。我们的 Windows 防火墙配置功能可帮助您轻松部署自定义防火墙设置。因此,您可以根据需要配置 Windows 防火墙设置,以增强安全性。

请按照以下步骤配置防火墙

  1. Windows Vista 及更高版本
  2. Windows XP 和 2003 Server

Windows Vista 及更高版本

您应选择要配置防火墙的配置文件,如域/专用/公用。您还可以通过选择“全部”为所有配置文件创建通用防火墙配置。指定配置文件后,您必须选择要在防火墙上执行的操作,例如:

  1. 不修改:如果已配置任何现有防火墙设置,则不会产生影响
  2. 开启:将为目标计算机启用防火墙
  3. 关闭:将为目标计算机关闭防火墙

如果您选择启用防火墙,则必须分别指定入站和出站通信的操作。

以下是一些供您参考的示例:

  1. 配置文件 全部 - 适用于所有域、专用和公用配置文件
    入站操作:允许 
    出站操作:阻止
    在这种情况下,所有入站连接都将被允许,所有出站连接都将在防火墙上受到限制。
  2. 配置文件 域 - 仅适用于连接到域网络时的计算机
    入站操作:允许 
    出站操作:阻止
    在这种情况下,所有入站连接都将被允许,所有出站连接都将在防火墙上受到限制。
  3. 配置文件 公用 - 仅适用于连接到公用网络时的计算机
    入站操作:阻止 
    出站操作:允许
    在这种情况下,当计算机连接到公用网络时,所有入站通信都将被阻止,而出站连接将被防火墙允许。但是,如果您已应用任何特定规则,以豁免特定端口的入站通信,则仅该指定端口的入站通信会被允许。

添加规则

创建规则时,您必须为规则指定名称,并指定该规则应应用到的配置文件。可以是域/公用/专用。组名称允许您将多条规则映射到同一个组下。

协议例外

可以将某一协议的特定端口号或所有协议添加为例外。为此,您应指定端口号/协议以及要作为例外执行的操作。

您可以创建特定规则,以排除特定功能,例如特定端口上的入站/出站通信。

程序例外

您还可以将某个程序添加为例外。为此,您应指定要添加为例外的程序路径。您还可以使用“分配动态变量”选项在此处动态分配值。

您可以为同一个配置文件创建一条或多条规则。

您可以选择目标、指定执行设置并部署配置。至此,您已成功在运行 Windows Vista 及更高版本的计算机上配置了防火墙设置。

Windows XP 和 2003 Server

如果您要在运行 Windows XP 的计算机上配置防火墙,请确保这些计算机已安装 Windows XP Service Pack 2。

您可以选择要在防火墙上执行的操作,例如:

  1. 不修改:如果已配置任何现有防火墙设置,则不会产生影响
  2. 开启:将为目标计算机启用防火墙
  3. 关闭:将为目标计算机关闭防火墙

指定防火墙操作后,您还必须指定要在特定端口上执行的操作。您可以选择要在端口上执行的操作,例如:

  1. 不修改:如果已配置任何现有设置,则不会产生影响
  2. 允许:您所选择的端口上的所有入站/出站连接都将被允许。您必须选择/添加端口/协议,并指定相关依赖服务(如有)。
  3. 阻止:您所选择的端口上的所有入站/出站连接都将被阻止。您必须选择/添加端口/协议,并指定相关依赖服务(如有)。
  4. 端口:指定端口号。也可以通过从可用端口列表中选择端口来自定义端口号。

您可以选择目标、指定执行设置并部署配置。至此,您已成功在运行 Windows XP 的计算机上配置了防火墙设置。

注意:为了确保代理与 Endpoint Central 服务器之间的正常通信,应保持 1,025 - 5,000 和 49,152 - 65,535 范围内的动态端口处于开放状态,因为源端口是随机生成的。新的默认起始端口和默认结束端口分别为 49,152 和 65,535。

有关默认动态端口范围更改的更多信息,请参阅此Microsoft 文档

我们的客户