Windows 防火墙是一项安全功能,通过筛选进入和退出设备的网络流量来帮助保护你的设备。 可以根据多个条件筛选此流量,包括源和目标 IP 地址、IP 协议或源和目标端口号。 Windows 防火墙可以配置为基于设备上安装的服务和应用程序阻止或允许网络流量。 这允许将网络流量限制为那些明确允许在网络上进行通信的应用程序和服务。
Windows 防火墙是基于主机的防火墙,它包含在操作系统中,在所有 Windows 版本上默认启用。
Windows 防火墙支持 Internet 协议安全性 (IPsec) ,你可以使用它从任何尝试与你的设备通信的设备进行身份验证。 需要身份验证时,无法作为
受信任设备进行身份验证的设备
无法与你的设备通信。 可以使用 IPsec 要求对某些网络流量进行加密,以防止恶意用户可能附加到网络的网络数据包分析器读取该流量。
Windows 防火墙还适用于
网络位置感知
,以便它可以应用适合设备所连接到的网络类型的安全设置。 例如,当设备连接到咖啡店 Wi-fi 时,Windows 防火墙可以应用
公用
网络配置文件,当设备连接到家庭网络时,可以应用
专用
网络配置文件。 这使你可以对公用网络应用更严格的设置,以帮助确保设备安全。
Windows 防火墙提供了几个优势来解决组织的网络安全难题:
降低网络安全威胁的风险:通过减少设备的攻击面,Windows 防火墙为深层防御模型提供了额外的防御层。 这可提高可管理性并减少成功攻击的可能性
保护敏感数据和知识产权:Windows 防火墙与 IPsec 集成,提供一种简单的方法来强制实施经过身份验证的端到端网络通信。 这允许对受信任的网络资源进行可缩放的分层访问,帮助强制实施数据完整性,并在必要时保护数据机密性
现有投资的扩展价值:Windows 防火墙是操作系统随附的基于主机的防火墙,因此不需要额外的硬件或软件。 它还旨在通过记录的 API 来补充现有的非 Microsoft 网络安全解决方案
Windows 版本和许可要求
下表列出了支持 Windows 防火墙的 Windows 版本:
Windows 专业版
Windows 企业版
Windows 专业教育版/SE
Windows 教育版
源和目标 IP 地址
可以使用动态值,例如默认网关、DHCP 服务器、DNS 服务器和本地子网
协议名称或类型。 对于传输层协议 TCP 和 UDP,可以指定端口或端口范围。 对于自定义协议,可以使用表示 IP 协议的 0 到 255 之间的数字
ICMP/ICMPv6 流量类型和代码
防火墙配置文件
Windows 防火墙提供三个网络配置文件:域、专用和公用。 网络配置文件用于分配规则。 例如,可以允许特定应用程序在专用网络上进行通信,但不允许在公用网络上进行通信。
域网络
配置文件在检测到域控制器的可用性时,会自动应用于已加入 Active Directory 域的设备。 无法手动设置此网络配置文件。
检测
域网络
的另一个选项是在
NetworkListManager 策略 CSP
中配置策略设置,该 CSP 也适用于已加入Microsoft Entra设备。
专用网络
配置文件专为专用网络(如家庭网络)设计。 管理员可以在网络接口上手动设置它。
公共网络
配置文件在设计时考虑了公共网络(如 Wi-Fi 热点、咖啡店、机场、酒店等)的安全性。它是身份不明网络的默认配置文件。
使用 PowerShell cmdlet
Get-NetConnectionProfile
检索活动网络类别 (
NetworkCategory
) 。 使用 PowerShell cmdlet
Set-NetConnectionProfile
在
专用
和
公用
之间切换类别。
了解 Windows 防火墙规则和设计建议:
Windows 防火墙规则 >
若要提供 Windows 防火墙的反馈,请打开
“反馈中心
” (
WIN
+
F
) ,并使用类别
“安全和隐私
>
网络保护
”。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:
https://aka.ms/ContentUserFeedback
。
提交和查看相关反馈