Windows 服务器防火墙高级安全设置

必须通过“高级安全Windows Defender防火墙”（wf.msc）控制台配置服务器防火墙，支持按网络类型、端口、协议、IP范围及IPsec加密进行精细化入站/出站策略管理，推荐使用Win+R输入wf.msc直达，或通过控制面板→高级设置、PowerShell启动。

windows 服务器防火墙高级安全设置，核心是使用“高级安全 windows defender 防火墙”（wfas）控制台进行精细化管控。它不只开关防火墙，而是按网络类型、方向、协议、ip范围等维度制定策略，特别适合服务器环境对入站访问、出站外连、服务端口和通信加密的严格要求。

怎么打开高级安全控制台

有三种常用方式，推荐根据使用场景选择：

• 图形界面快捷入口：打开“控制面板 → 系统和安全 → Windows Defender 防火墙”，左侧点击“高级设置”
• 运行命令直达：按 Win + R，输入 wf.msc，回车（需管理员权限）
• PowerShell 启动：以管理员身份运行 PowerShell，执行 Start-Process wf.msc

关键配置项：三个网络配置文件

服务器可能接入域网络、内网（专用）、外网（公用），每个网络类型对应独立的防火墙策略：

• 域配置文件：适用于加入 Active Directory 域的服务器，常用于开放管理工具（如远程桌面、WSUS、SCCM）端口
• 专用配置文件：适用于可信内网，可允许文件共享（SMB 445）、打印（631）、DNS（53）等
• 公用配置文件：默认最严格，建议仅开放必要服务（如 Web 的 80/443），其余一律阻止

右键导航窗格顶部的“高级安全 Windows Defender 防火墙”，选择“属性”，即可分别为三类配置文件单独启用/禁用、设定默认入站/出站行为（如“阻止未匹配规则的入站连接”）。

新建入站规则：控制谁可以访问你的服务器

这是服务器最常配置的操作，例如开放 IIS 的 80 端口或 SQL Server 的 1433 端口：

• 在左窗格点“入站规则”，右侧点“新建规则”
• 选“端口”类型（比“程序”更可靠，避免因路径变更失效）
• 协议选 TCP，本地端口填“特定端口”，如 80,443 或 1433
• 操作选“允许连接”
• 配置文件按需勾选（生产服务器通常只勾“域”和“专用”，禁用“公用”）
• 名称建议带环境标识，如 Web_HTTPS_Inbound_DomainOnly

出站与连接安全规则：增强主动防护能力

入站管“进来”，出站管“出去”，连接安全则实现加密通信：

• 出站规则：可限制服务器主动外连，例如禁止数据库服务器访问公网（防数据泄露），或只允许更新服务器连微软更新源
• 连接安全规则（IPsec）：强制两台服务器间通信加密认证，比如域控与文件服务器之间启用“要求入站连接使用 IPsec”
• 两者均在 WFAS 左侧菜单中独立存在，新建流程与入站类似，但需注意协议匹配和身份验证方法（如 Kerberos、证书）

批量管理与故障排查

服务器运维中常需导出策略备份、跨机器同步或快速恢复：

• 右侧“操作”窗格中，“导出策略”可保存为 .wfw 文件，便于版本管理和灾难恢复
• “恢复默认策略”一键重置所有自定义规则（慎用，会清空所有手动配置）
• 查看“监视 → 防火墙”可实时看到当前生效的规则及命中次数，辅助判断规则是否起效
• 若某服务突然不通，先检查对应规则是否启用（绿色对勾）、配置文件是否匹配当前网络类型、是否有更高优先级的阻止规则覆盖