网络安全等级保护：Windows 11 防火墙

防火墙设备能对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

该设备可以满足《网络安全等级保护基本要求》中安全区域边界对边界防护和访问控制的相关测评项的要求。对于等级保护第二级以上的网络，是必备设备。所以在网络设计阶段，应当充分考虑满足等级保护相关要求，而防火墙是必须考虑中的一类设备。具体防火墙的选型与配套，需要根据业务的要求进行选购。

Windows 11 防火墙

Windows 首先随 Windows 2000 开始提供一种原始防火墙，称为 Internet 连接防火墙 (ICF)。它非常简单。此后的每个版本的 Windows 都扩展了这一想法。Windows 11 附带功能齐全的防火墙。该防火墙可以阻止入站和出站数据包。要访问Windows 11防火墙，请单击“开始”按钮并键入Firewall。Windows 11 防火墙的基础知识如图所示。

Windows 11 防火墙

请注意，这看起来与 Windows Server 2012 和 2016 中的防火墙设置相同，但与 Windows 7 中的防火墙设置不同。

从 Windows Server 2008 及之后的所有版本开始，Windows 防火墙都是状态数据包检查防火墙。使用 Windows 11 防火墙，您可以为出站和入站流量设置不同的规则。例如，您的标准工作站可能允许端口 80 上的出站 HTTP 流量，但您可能不想允许入站流量（除非在该工作站上运行 Web 服务器）。

还可以为端口、程序、自定义规则或 Microsoft 可供您选择的众多预定义规则之一设置规则。您不仅可以选择允许或阻止连接，还可以选择仅在受 IPSec 保护时才允许连接。这为您提供了三种连接选项。

规则允许或阻止给定的应用程序或端口。您还可以对入站和出站流量制定不同的规则。这些规则允许您决定是否阻止或允许特定类型的通信。您可以对入站和出站流量进行不同的设置。您可以为单个端口（所有 65,554 个可用网络端口）和应用程序设置规则。Windows 防火墙中的规则为您提供了很大的灵活性。

更重要的是，您可以根据流量的来源应用不同的规则。您可以为三个区域或配置文件设置规则：

·域：适用于在您的域中经过身份验证的计算机。

·公共：适用于网络外部的计算机。与来自域中另一台计算机的流量相比，您会更仔细地对待外部流量。

·私有：私有是指来自您自己计算机的流量，因此称为私有。

管理员应始终遵循所有数据包过滤防火墙的以下规则：

Windows 防火墙还具有日志记录功能，但默认情况下处于禁用状态。打开此功能（当您配置防火墙时，您将看到打开日志记录的位置）。定期检查此日志。

仅供参考：日志文件

如果在已具有外围防火墙的网络中的工作站上使用 Windows 防火墙，并在所有工作站上使用 Windows 防火墙，则可能不想打开日志记录，因为要查看外围防火墙和所有工作站防火墙的日志是不切实际的。审查所有这些日志非常麻烦，因此很可能永远不会审查它们。

通常，将查看外围防火墙和所有服务器防火墙上的日志，但不会查看工作站防火墙上的日志。当然，如果您的安全需要要求您记录所有系统防火墙，并且您有资源定期检查这些日志，那么这样做当然是个好主意。

用户账户控制

用户账户控制 (UAC) 不是防火墙技术，但与安全密切相关。Windows Vista 首次引入了它，并在 Windows 7 中进行了扩展，并且在 Windows 11中仍然存在。UAC 是一项安全功能，如果任务需要管理权限，会提示用户输入管理用户凭据。UAC 首次在 Windows Vista 中引入，但在 Windows Server 2008 和 Windows Server 2012 及更高版本中，它的可调性变得更加精细。此功能允许您决定用户账户控件如何响应。这不仅仅是一个断断续续的提议；过滤程度可用。

"可发现"或"不可发现"是什么意思？