使用组策略配置 Windows 防火墙规则

Microsoft Defender 防火墙内置于所有现代版本的 Windows 和 Windows Server 中，允许您配置用于过滤计算机上传入和/或传出网络流量的规则。可以在用户计算机上本地配置 Windows 防火墙规则（使用

wf.msc

控制台，

netsh

命令或内置 NetSecurity PowerShell 模块）。在加入 Active Directory 域的 Windows 计算机上，你可以使用组策略集中管理 Microsoft Defender 防火墙规则和设置。

在企业网络中，端口过滤规则通常设置在路由器、L3交换机或专用防火墙设备级别。但是，没有什么可以阻止您将 Windows 防火墙网络访问规则部署到工作站或 Windows 服务器。

通过 GPO 启用 Microsoft Defender 防火墙

打开域组策略管理控制台（

gpmc.msc

），创建一个名为 gpoFirewallDefault 的新 GPO 对象（策略），然后切换到编辑模式。

为了防止用户（即使有本地管理员权限）停止防火墙服务，建议使用GPO配置Windows防火墙的自动启动。为此，请转到“计算机配置”->“Windows 设置”->“安全设置”->“系统服务”。在服务列表中找到Windows 防火墙，并将启动类型更改为自动（定义此策略设置 -> 服务启动模式自动）。确保您的用户无权停止服务。

然后转到计算机配置 -> 策略 -> 管理模板 -> 网络 -> 网络连接 -> Windows Defender -> 防火墙 -> 域配置文件并启用策略Windows Defender 防火墙：保护所有网络连接。

转到 GPO 控制台中的计算机配置 -> Windows 设置 -> 安全设置部分。右键单击高级安全 Windows 防火墙，然后打开属性。

在所有三个选项卡中将防火墙状态更改为打开（推荐）：“域配置文件”、“专用配置文件”和“公共配置文件”（Windows 中的网络配置文件（位置）是什么？）。根据公司的安全策略，您可以指定默认阻止所有入站连接（入站连接 -> 阻止），并允许出站连接（出站连接 -> 允许）。保存更改。

您可以通过启用登录来调试客户端计算机上的 Windows Defender 防火墙规则

%systemroot%\system32\logfiles\firewall\pfirewall.log

。默认情况下，Windows 中禁用网络连接日志记录。您只能记录被拒绝的数据包（记录丢弃的数据包）或防火墙规则允许的数据包（记录成功的连接）。

如何使用GPO创建Windows防火墙规则？

现在让我们看看如何通过组策略创建 Microsoft Defender 防火墙规则。要配置规则，请转至计算机配置 -> Windows 设置 -> 安全设置 -> 高级安全 Windows 防火墙。

防火墙 GPO 中提供以下部分：

• 入境规则

• 出站规则

• 连接安全规则

让我们尝试创建一个允许入站的防火墙规则。例如，我们希望允许 Windows 上的传入 RDP 连接（默认 RDP 端口为 TCP 3389）。右键单击入站规则部分，然后选择新建规则。新建防火墙规则向导启动。

防火墙规则向导的界面类似于用户桌面计算机上的本地 Windows 防火墙。

选择规则类型。您可以允许访问：

• 程序 - 您可以选择一个可执行程序（.exe）；

• 端口 - 您可以选择 TCP/UDP 端口或端口范围；

• 预定义 - 选择标准 Windows 规则之一，其中已包含典型服务（例如 AD、HTTP(s)、DFS、BranchCache、远程重启、SNMP、KMS、WinRM 等）的访问规则（描述了可执行文件和端口）；

• 自定义 - 您可以在此处指定程序、协议（TCP 或 UDP 以外的协议，如 ICMP、GRE、L2TP、IGMP 等）、客户端 IP 地址或整个 IP 网络（子网）。

在我们的例子中，我们将选择端口规则。让我们指定 TCP 作为协议，3389 作为本地端口号。

然后，您必须选择如何处理此类网络连接：允许连接、在安全的情况下允许连接或阻止连接。

然后选择网络配置文件以应用防火墙规则。您可以启用所有配置文件（域、私有和公共）。

在最后一步中，指定规则的名称和描述。单击完成，它将出现在防火墙规则列表中。

现代版本的 Windows 还使用 UDP 端口 3389 进行远程桌面 (RDP) 流量。因此，还要为该端口创建第二个 Microsoft Defender 规则。

以同样的方式，您可以配置其他入站防火墙规则以应用于您的 Windows 客户端。您可以为入站和出站流量创建规则。

上面，我们了解了如何使用图形向导创建 Windows Defender 防火墙规则。您还可以以纯文本形式创建规则列表，并快速向 Defender Firewall GPO 添加大量例外。

转到计算机配置 -> 策略 -> 管理模板 -> 网络 -> 网络连接 -> Windows Defender 配置文件 -> 域配置文件，然后打开 Windows Defender 防火墙：定义入站端口例外策略。您可以在此处使用简单的文本字符串创建防火墙规则列表。

以下是我要添加到组策略中的入站防火墙规则的列表：

3389:UDP:localsubnet:enabled:In_RDP_UDP_3389
445:TCP:localsubnet:enabled:In_SMB_TCP_443
443:TCP:192.168.110.11:enabled:In_HTTP_TCP_445

单击显示按钮并将规则逐行复制到定义端口例外表单中。

该方法可以让您快速为Windows防火墙创建大量入站规则。

将 Microsoft Defender 防火墙规则应用于 Windows 计算机

现在剩下的任务是将防火墙策略分配给用户计算机所在的 OU（组织单位）。在组策略管理控制台中找到所需的 OU，右键单击它，然后选择链接现有 GPO。从列表中选择您的防火墙策略。

重要。在将防火墙策略应用于生产计算机的 OU 之前，强烈建议在一些测试计算机上进行尝试。否则，由于防火墙设置错误，您可以完全阻止计算机上的网络访问。要诊断组策略的应用方式，请使用 gpresult 工具。

更新客户端上的组策略设置 (gpupdate /force)。验证您指定的端口是否在用户计算机上打开（您可以使用 Test-NetConnection cmdlet 或 Portqry 工具检查打开的端口）。

在用户的计算机上，打开控制面板 -> 系统和安全 -> Windows Defender 防火墙，并确保显示消息为了您的安全，某些设置由组策略控制并且使用您的防火墙设置。

现在，用户无法更改防火墙设置，并且您创建的所有规则都必须出现在入站规则列表中。请注意，默认情况下，GPO 中的新规则将添加到现有本地防火墙规则中。

您还可以使用以下命令显示当前的 Windows Defender 设置：

netsh firewall show state

或者，您可以使用 PowerShell 脚本以表格形式获取入站规则列表：

Get-NetFirewallRule -Action Allow -Enabled True -Direction Inbound |
Format-Table -Property Name,
@{Name='Protocol';Expression={($PSItem | Get-NetFirewallPortFilter).Protocol}},
@{Name='LocalPort';Expression={($PSItem | Get-NetFirewallPortFilter).LocalPort}},
@{Name='RemotePort';Expression={($PSItem | Get-NetFirewallPortFilter).RemotePort}},
@{Name='RemoteAddress';Expression={($PSItem | Get-NetFirewallAddressFilter).RemoteAddress}},
Enabled,Profile,Direction,Action

如何在Windows上导出和导入防火墙规则？

Windows Defender 防火墙控制台允许您将当前防火墙设置导出和导入到文本文件。您可以在参考计算机上配置防火墙规则并将其导出到组策略控制台。

配置所需的规则，然后转到防火墙管理单元的根目录（具有高级安全性的 Windows Defender 防火墙监视器）并选择操作 -> 导出策略

您的防火墙规则将导出到 WFW 文件中，通过选择导入策略选项并指定 .wfw 文件的路径（当前策略设置将被覆盖），可以将该文件导入到组策略管理编辑器中。

合并域和本地 Microsoft Defender 防火墙规则

在 GPO 中，您可以指定是否允许本地管理员在其计算机上创建自己的防火墙规则，以及如何将这些规则与通过 GPO 分配的规则合并。

打开 GPO 中的 Windows 防火墙策略属性，选择包含配置文件（域）的选项卡，然后单击自定义按钮。检查规则合并部分中的设置。默认情况下，启用规则合并。您可以强制本地管理员创建自己的防火墙规则：在应用本地防火墙规则选项中选择是（默认）。

提示。阻止防火墙规则的优先级高于允许防火墙规则。这意味着，如果与管理员使用 GPO 配置的拒绝规则相矛盾，则用户无法创建允许访问规则。但是，即使管理员在策略中允许访问，用户也能够创建本地阻止规则。

有关使用 GPO 管理 Windows 防火墙的一些提示：

• 为服务器和工作站创建具有防火墙规则的单独 GPO（您可能需要根据角色为每组类似服务器创建自己的策略。这意味着域控制器、Exchange 服务器、具有远程桌面服务主机 (RDSH) 角色的服务器或 Microsoft SQL Server 的防火墙规则将有所不同；

• 您可以使用 WMI GPO 过滤器将策略更精确地定位到客户端（例如，您可以将策略应用于特定 IP 子网上的主机）；

• 您可以在供应商网站的文档中找到必须为每项服务打开哪些端口。乍一看这个过程相当辛苦和复杂。不过，您最终可以获得一个有效的 Windows 防火墙配置，该配置仅允许批准的网络连接并阻止其余的网络连接。根据我的经验，我想指出的是，您可以快速找到大多数 Microsoft 服务所使用的 TCP/UDP 端口的列表。