Windows防火墙规则设计

我们先回顾一下解决问题的部分原则：

1. 能通过系统以有设计解决的问题不要依赖第三方组件，因为引入第三方组件（或者成为添加中间层）意味着额外的成本和风险。例如能通过Windows防火墙能解决的问题就不要考虑使用额外的安全软件或者硬件。
2. 当我们无法在当前条件下解决问题时，第一时间向外寻求解决方案，这一点在我们处理一些陌生领域或者陌生问题时尤为重要。
3. 我们需要知道某个默认配置在不同的系统版本中可能有所不同，因此已有的经验或者知识不一定会始终有效，所以我们在处理问题或者发出承诺时需要留有余地。例如服务器操作系统和桌面操作系统的默认配置可能不同。

先放链接：

英文：https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/rules

中文：https://learn.microsoft.com/zh-cn/windows/security/operating-system-security/network-security/windows-firewall/rules

Windows防火墙的应用范围有多种维度，典型的就是网络配置文件，有域配置文件、专用配置文件和公用配置文件。

在这里我们可以设置防火墙出站规则和入站规则的默认行为，是阻止还是允许。这个是非常重要的，特别是我们需要知道目前Windows防火墙设计并没有为规则设置优先级，因此规则默认是阻止还是允许就决定后续规则的设计。举个简单例子如果出站规则默认为阻止，那么我们可以显式设置允许规则允许某个规则允许出站。如果出站规则默认是允许，那么我们再设置允许也没有什么意义，有意义的则是设置阻止规则。

下面是Micosoft官方网站给出的设计防火墙规则时的建议列表：

• 尽可能保留默认 Windows 防火墙设置。 这些设置旨在保护设备，以便在大多数网络方案中使用。 一个关键示例是入站连接的默认 阻止行为 。
• 在所有三个配置文件中创建规则，但仅对适合你的方案的配置文件启用防火墙规则组。 例如，如果要安装仅在专用网络上使用的共享应用程序，则最好在所有三个配置文件中创建防火墙规则，但仅启用包含专用配置文件规则的防火墙规则组。
• 根据应用规则的配置文件对防火墙规则配置限制。 对于设计为仅由家庭或小型企业网络内的设备访问的应用程序和服务，最好修改远程地址限制以仅指定 本地子网 。 在企业环境中使用时，同一应用程序或服务不会有此限制。 为此，可以将远程地址限制添加到添加到专用和公共配置文件的规则，同时在域配置文件中保留这些限制。 此远程地址限制不应应用于需要全局 Internet 连接的应用程序或服务。
• 创建入站规则时的一般安全建议做法是尽可能具体。 但是，当必须制定使用端口或 IP 地址的新规则时，请考虑使用连续的范围或子网，而不是使用单个地址或端口（条件允许时）。 此方法可以避免在底层创建多个筛选器，降低复杂性，并有助于避免性能下降。
• 创建入站或出站规则时，应指定有关应用本身、使用的端口范围以及创建日期等重要说明的详细信息。 必须详尽地记录规则，以便你和其他管理员查看。
• 为了保持最大安全性，管理员只应为确定用于合法用途的应用和服务部署防火墙例外。

--