网际飞扬

还记得年少时的梦么,醒不过来 便信以为真……

主题背景
本网站首发版本创建于1999年4月
网际飞扬
手机网站二维码

请使用手机扫描二维码,登录网站手机版。

Windows系统防火墙终极设置方法

  • 2023-04-06
  • 1718
  • 飞驰的心

windows自带的防火墙实际上已经推出十多年了,很多人对windows自带的各种组件都有一种傲慢的轻视,认为系统自带的组件不专业、很鸡肋。这个印象可能从windows9x年代附件中的:写字板、画笔、录音机、扫雷游戏等弱鸡功能延续至今。

其实时至今日windows自带的很多功能都非常优秀,例如:onedrive(网盘)、edge浏览器、杀毒软件和我们今天要重点介绍的系统防火墙——WindowsDefender。

坦白的说在民用桌面级应用上,这个防火墙通常给人的印象是——正事儿帮不了什么,倒忙却帮了不少,很多人索性就直接禁用了,如果你是民用桌面级应用,这个东西对你帮助确实不大。我这个设置主要是给服务器用户、云桌面用户提供的一点思路,正题开始——

防火墙从根儿上说其实就两大功能:

1、流量保护:防止洪水攻击(比如:dDos)之类的。

2、端口管理:拦截或放行特定的端口(程序)

windows自带的防火墙,对流量防护确实不如硬件防火墙给力,这也很好理解。但自带的防火墙对端口管理确实非常好用,主要是配置简单、效果明显;一般人不一定能搞得定专业防火墙的命令行,但绝对能轻松上手图形化的windows防火墙。

如果从攻击比例上来说:使用端口扫码、端口漏洞攻击的,要远远大于dDos攻击,一个是大概率事件一个是小概率事件,本文就从大概率事件——windows防火墙配置来预防端口攻击进行讲解:

很多人的windows防火墙是这样的——

防火墙设置

windows系统默认防火墙

密密匝匝几百项规则,自己需要啥规则就加啥规则,里面系统自带的规则从来也不敢乱碰,最后导致规则目录一团糟。前面开了某个端口,后面又封了某个端口,各种矛盾配置叠加,不但没有什么安全可言,也无法进行有效管理和维护。

解决方案很简单:下手快准狠——全选、全删,然后留下自己需要的规则即可。如下图——

防火墙设置


是不是觉得瞬间清爽了很多?其实这主要解决了两个问题:防止规则冲突,矛盾的规则会消耗算力,最重要是好管理。其实从服务器角度看,对外开放的端口是极其有限的,清爽的条目会大大节约运维时的成本,有效降低配置漏洞。

至于开哪些常用端口,自己去搜索,各种端口字典数不胜数,重要提示:

1、端口规则全删之前要保留远程桌面端口(3389),否则你可能被关门外,配置防火墙之前要有一个好习惯——打开一个备用连接(VNC),防止你被关到门外还能翻窗进去。

2、全删以后就意味着6万多个端口全部关闭,你需要哪个开哪个。

3、如果你需要局域网共享文件的话,也别担心预设规则没有了,导致你无法共享文件——添加一个规则,设置445、139端口即可,至于其他的共享端口,其实是一些辅助功能,例如:全局发现、ping等

4、如果你想单独开通ping功能:你可以添加一个ICMP协议的规则,如下图:


添加ICMP(允许ping)


添加ICMP(允许ping)

用这个思路你赶快整理你的windows防火墙吧,让你的服务器安全大门更加坚固稳定。

本博客所有内容均为原创,原则上我不希望你转载。如特别喜欢而转载的话,请务必注明出处“网际飞扬 http://www.fayo.net” 否则本人闲来无事可能会把你误当成维权的靶子。

评论

验证码

全部评论

共{{commentCount}}条
  • {{i+1}}楼
    {{rs.Msg_Sender}}{{rs.Msg_Datetime}}

    {{rs.Msg_Content}}

播放器封面
  • 宠物精灵