网络安全等级保护：Windows 11 防火墙

防火墙设备能对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

该设备可以满足《网络安全等级保护基本要求》中安全区域边界对边界防护和访问控制的相关测评项的要求。对于等级保护第二级以上的网络，是必备设备。所以在网络设计阶段，应当充分考虑满足等级保护相关要求，而防火墙是必须考虑中的一类设备。具体防火墙的选型与配套，需要根据业务的要求进行选购。

Windows 11 防火墙

Windows 首先随 Windows 2000 开始提供一种原始防火墙，称为 Internet 连接防火墙 (ICF)。它非常简单。此后的每个版本的 Windows 都扩展了这一想法。Windows 11 附带功能齐全的防火墙。该防火墙可以阻止入站和出站数据包。要访问Windows 11防火墙，请单击“开始”按钮并键入Firewall。Windows 11 防火墙的基础知识如图所示。

Windows 11 防火墙

请注意，这看起来与 Windows Server 2012 和 2016 中的防火墙设置相同，但与 Windows 7 中的防火墙设置不同。

从 Windows Server 2008 及之后的所有版本开始，Windows 防火墙都是状态数据包检查防火墙。使用 Windows 11 防火墙，您可以为出站和入站流量设置不同的规则。例如，您的标准工作站可能允许端口 80 上的出站 HTTP 流量，但您可能不想允许入站流量（除非在该工作站上运行 Web 服务器）。

还可以为端口、程序、自定义规则或 Microsoft 可供您选择的众多预定义规则之一设置规则。您不仅可以选择允许或阻止连接，还可以选择仅在受 IPSec 保护时才允许连接。这为您提供了三种连接选项。

规则允许或阻止给定的应用程序或端口。您还可以对入站和出站流量制定不同的规则。这些规则允许您决定是否阻止或允许特定类型的通信。您可以对入站和出站流量进行不同的设置。您可以为单个端口（所有 65,554 个可用网络端口）和应用程序设置规则。Windows 防火墙中的规则为您提供了很大的灵活性。

更重要的是，您可以根据流量的来源应用不同的规则。您可以为三个区域或配置文件设置规则：

·域：适用于在您的域中经过身份验证的计算机。

·公共：适用于网络外部的计算机。与来自域中另一台计算机的流量相比，您会更仔细地对待外部流量。

·私有：私有是指来自您自己计算机的流量，因此称为私有。

管理员应始终遵循所有数据包过滤防火墙的以下规则：

·如果没有明确需要某个端口，则阻止它。例如，如果您没有在该计算机上运行 Web 服务器，则阻止所有入站端口 80 流量。对于家用机器，您通常可以阻止所有端口。对于网络上的各个工作站，您可能需要保持某些端口打开，以便允许各种网络实用程序访问计算机。

·除非您有令人信服的理由不这样做，否则请始终阻止 ICMP 流量，因为许多实用程序（例如 ping、tracert 和许多端口扫描器）都使用 ICMP 数据包。如果阻止 ICMP 流量，您将阻止许多端口扫描器扫描您的系统是否存在漏洞。

·有时，我会建议继续写出 ICMP 等首字母缩略词，以确保这一点得到加强。

Windows 防火墙还具有日志记录功能，但默认情况下处于禁用状态。打开此功能（当您配置防火墙时，您将看到打开日志记录的位置）。定期检查此日志。

仅供参考：日志文件

如果在已具有外围防火墙的网络中的工作站上使用 Windows 防火墙，并在所有工作站上使用 Windows 防火墙，则可能不想打开日志记录，因为要查看外围防火墙和所有工作站防火墙的日志是不切实际的。审查所有这些日志非常麻烦，因此很可能永远不会审查它们。

通常，将查看外围防火墙和所有服务器防火墙上的日志，但不会查看工作站防火墙上的日志。当然，如果您的安全需要要求您记录所有系统防火墙，并且您有资源定期检查这些日志，那么这样做当然是个好主意。

用户账户控制

用户账户控制 (UAC) 不是防火墙技术，但与安全密切相关。Windows Vista 首次引入了它，并在 Windows 7 中进行了扩展，并且在 Windows 11中仍然存在。UAC 是一项安全功能，如果任务需要管理权限，会提示用户输入管理用户凭据。UAC 首次在 Windows Vista 中引入，但在 Windows Server 2008 和 Windows Server 2012 及更高版本中，它的可调性变得更加精细。此功能允许您决定用户账户控件如何响应。这不仅仅是一个断断续续的提议；过滤程度可用。

Windows 7中的防火墙和网络保护允许你查看防火墙 Microsoft Defender 状态，以及查看设备连接到哪些网络。可以打开 Microsoft Defender 关闭防火墙，并访问 Microsoft Defender 网络类型的高级防火墙选项：

• 域（工作区）网络

• 专用（可检测到的）网络

• 公共（无法检测到的）网络

如果要更改设置，请选择要更改其的网络类型。

"可发现"或"不可发现"是什么意思？

“网络设置”

选择三种网络类型之一时，将获取其设置页面。Windows 安全将在此处告知你你当前连接的该类型的网络（如果有）。通常，您的计算机一次只能连接到一个网络。

还可以找到一个简单的滑块，用于打开或关闭该类型的网络的防火墙。

重要: 关闭防火墙可能会增大设备或数据的风险。建议将其保留打开状态，除非绝对需要将其关闭。

在" 传入连接 "部分下，你将找到"阻止所有传入连接"（包括允许的应用列表中的连接）的 单个复选框。选中此框会告知 Microsoft Defender 防火墙忽略允许的应用列表并阻止所有内容。启用此选项可提高安全性，但可能会导致某些应用停止工作。

此外，在"防火墙&保护页上：

• 允许应用通过防火墙 - 如果防火墙阻止了您真正需要的应用，您可以为该应用添加例外，或打开特定端口。详细了解该过程 (，以及为何你可能不希望) 允许应用通过Microsoft Defender 防火墙的风险。
• 网络和 Internet 疑难解答 - 如果遇到常规网络连接问题，可以使用此疑难解答来尝试自动诊断和修复这些问题。
• 防火墙通知设置 - 防火墙阻止某些内容时希望收到更多通知？更少？ 
• 高级设置 - 如果熟悉防火墙设置，这将打开经典 Windows Defender 防火墙工具，该工具可用于创建入站或出站规则、连接安全规则，并查看防火墙的监视日志。大多数用户不希望深入探究它;错误地添加、更改或删除规则可能会导致系统更易受到攻击，或导致某些应用无法工作。
• 将防火墙还原为默认值-如果有人或某些内容对 Windows 防火墙设置进行了更改，导致某些内容无法正常工作，只需单击两下鼠标即可将设置重置回首次获得计算机时的设置。如果组织已应用任何策略来配置防火墙，将重新应用这些策略。

Windows自带的防火墙，是我们在主机层面的防火墙，而我们在等级保护工作中，所需要的防火墙则多是将重点放在网络层面，也就是在网络中部署硬件防火墙为主，因为在等级保护基本要求中是需要在区域边界做防护，而Windows以及后面提到的Linux自带型防火墙，都是在主机层。这点要做一点区分。

参考：

网络安全等级保护基本要求

等级保护技术基础培训教程

原文始发于微信公众号（河南等级保护测评）：网络安全等级保护：Windows 11 防火墙