使用组策略配置规则

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文包含如何使用具有高级安全性的 Windows 防火墙控制台配置 Windows 防火墙 规则的示例。

使用高级安全控制台访问 Windows 防火墙

如果要配置已加入 Active Directory 域的设备，若要完成这些过程，你必须是域管理员组的成员，或者具有修改域中 GPO 的委派权限。 若要访问 具有高级安全性的 Windows 防火墙 控制台， 请 (GPO) 创建或编辑 组策略对象，并展开节点 计算机配置>策略>Windows 设置>安全设置>具有高级安全性的 Windows 防火墙。

如果要配置单个设备，则必须对设备具有管理权限。 在这种情况下，若要访问 具有高级安全性的 Windows 防火墙 控制台，请选择“ 开始”，键入 wf.msc，然后按 Enter。

创建入站 ICMP 规则

这种类型的规则允许网络上的设备接收 ICMP 请求和响应。 若要创建入站 ICMP 规则，请执行以下操作：

1. 使用 高级安全打开 Windows 防火墙 控制台
2. 在导航窗格中，选择“入站规则”
3. 选择“操作”，然后选择“新建规则”
4. 在“新建入站规则向导”的“规则类型”页上，选择“自定义”，然后选择“下一步”
5. 在“程序”页上，选择“所有程序”，然后选择“下一步”
6. 在“协议和端口”页上，从“协议类型”列表中选择“ICMPv4”或“ICMPv6”。 如果在网络上同时使用 IPv4 和 IPv6，则必须为每个应用创建单独的 ICMP 规则
7. 选择 “自定义”
8. 在“ 自定义 ICMP 设置 ”对话框中，执行以下操作之一：
   • 若要允许所有 ICMP 网络流量，请选择“ 所有 ICMP 类型”，然后选择“ 确定”
   • 若要选择其中一种预定义的 ICMP 类型，请选择“ 特定 ICMP 类型”，然后在列表中选择要允许的每个类型。 选择 “确定”
   • 若要选择列表中未显示的 ICMP 类型，请选择“ 特定 ICMP 类型”，从列表中选择 “类型 编号”，从列表中选择“ 代码 号”，选择“ 添加”，然后从列表中选择新创建的条目。 选择 “确定”
9. 选择“ 下一步”
10. 在“ 作用域 ”页上，可以指定该规则仅适用于传入或传出此页中输入的 IP 地址的网络流量。 根据设计进行适当配置，然后选择“下一步”
11. 在“操作”页上，选择“允许连接”，然后选择“下一步”
12. 在“配置文件”页上，选择应用此规则的网络位置类型，然后选择“下一步”
13. 在“名称”页上，键入规则的名称和说明，然后选择“完成”

创建入站端口规则

这种类型的规则允许侦听指定 TCP 或 UDP 端口的任何程序接收发送到该端口的网络流量。 创建入站端口规则：

1. 使用 高级安全打开 Windows 防火墙 控制台
2. 在导航窗格中，选择“入站规则”
3. 选择“操作”，然后选择“新建规则”
4. 在“新建入站规则向导”的“规则类型”页上，选择“自定义”，然后选择“下一步”

   注意

   虽然可以通过选择 “程序 ”或“ 端口”来创建规则，但这些选择会限制向导显示的页数。 如果选择“ 自定义”，则会看到所有页面，并在创建规则时具有最大的灵活性。

5. 在“程序”页上，选择“所有程序”，然后选择“下一步”

   注意

   这种类型的规则通常与程序或服务规则结合使用。 如果将规则类型组合在一起，则会获得一个防火墙规则，该规则将流量限制到指定端口，并且仅在指定的程序正在运行时才允许流量。 指定的程序无法接收其他端口上的网络流量，其他程序无法接收指定端口上的网络流量。 如果选择执行此操作，请遵循 创建入站程序或服务规则 过程中的步骤以及此过程中的步骤创建单个规则，该规则使用程序和端口条件筛选网络流量。

6. 在“ 协议和端口 ”页上，选择要允许的协议类型。 若要将规则限制为指定的端口号，必须选择 TCP 或 UDP。 由于这是传入规则，因此通常仅配置本地端口号 如果选择另一个协议，则仅允许通过防火墙通过 IP 标头中的协议字段匹配的数据包。
   若要按编号选择协议，请从列表中选择“ 自定义 ”，然后在“ 协议编号 ”框中键入编号。
   配置协议和端口后，选择“ 下一步”。
7. 在“ 作用域 ”页上，可以指定该规则仅适用于传入或传出此页中输入的 IP 地址的网络流量。 根据设计进行适当配置，然后选择“下一步”
8. 在“操作”页上，选择“允许连接”，然后选择“下一步”
9. 在“配置文件”页上，选择应用此规则的网络位置类型，然后选择“下一步”

   注意

   如果此 GPO 面向运行 Windows Server 2008 的服务器计算机永远不会移动，请考虑修改规则以应用于所有网络位置类型配置文件。 如果网络位置类型因安装新网络卡或现有网络卡电缆断开连接而发生更改，则这可以防止应用规则发生意外更改。 断开连接的网络卡会自动分配给公用网络位置类型。

10. 在“名称”页上，键入规则的名称和说明，然后选择“完成”

创建出站端口规则

默认情况下，Windows 防火墙允许所有出站网络流量，除非它与禁止流量的规则匹配。 这种类型的规则会阻止与指定 TCP 或 UDP 端口号匹配的任何出站网络流量。 若要创建出站端口规则，请执行以下操作：

1. 使用 高级安全打开 Windows 防火墙 控制台
2. 在导航窗格中，选择“ 出站规则”
3. 选择“操作”，然后选择“新建规则”
4. 在“新建出站规则”向导的“规则类型”页上，选择“自定义”，然后选择“下一步”

   注意

   虽然可以通过选择 “程序 ”或“ 端口”来创建规则，但这些选择会限制向导显示的页数。 如果选择“ 自定义”，则会看到所有页面，并在创建规则时具有最大的灵活性。

5. 在“程序”页上，选择“所有程序”，然后选择“下一步”
6. 在“ 协议和端口 ”页上，选择要阻止的协议类型。 若要将规则限制为指定的端口号，必须选择 TCP 或 UDP。 由于此规则是出站规则，因此通常仅配置远程端口号 如果选择另一个协议，则只会阻止 IP 标头中协议字段与此规则匹配的数据包Windows Defender防火墙。 只要其他匹配的规则不阻止协议的网络流量，就允许流量。 若要按编号选择协议，请从列表中选择“ 自定义 ”，然后在“ 协议编号 ”框中键入编号。 配置协议和端口后，选择“下一步”
7. 在“ 作用域 ”页上，可以指定该规则仅适用于传入或传出此页中输入的 IP 地址的网络流量。 根据设计进行适当配置，然后选择“下一步”
8. 在“操作”页上，选择“阻止连接”，然后选择“下一步”
9. 在“配置文件”页上，选择应用此规则的网络位置类型，然后选择“下一步”
10. 在“名称”页上，键入规则的名称和说明，然后选择“完成”

创建入站程序或服务规则

这种类型的规则允许程序侦听和接收任何端口上的入站网络流量。

注意

这种类型的规则通常与程序或服务规则结合使用。 如果将规则类型组合在一起，则会获得一个防火墙规则，该规则将流量限制到指定端口，并且仅在指定的程序正在运行时才允许流量。 程序无法接收其他端口上的网络流量，其他程序无法接收指定端口上的网络流量。 若要将程序和端口规则类型合并为单个规则，请遵循 创建入站端口规则 过程中的步骤以及此过程中的步骤。

若要为程序或服务创建入站防火墙规则，请执行以下操作：

1. 使用 高级安全打开 Windows 防火墙 控制台

2. 在导航窗格中，选择“入站规则”

3. 选择“操作”，然后选择“新建规则”

4. 在“新建入站规则向导”的“规则类型”页上，选择“自定义”，然后选择“下一步”

   注意

   用户应注意的信息（即使 skimming）尽管可以通过选择 “程序 ”或“ 端口”来创建规则，但这些选项会限制向导显示的页数。 如果选择“ 自定义”，则会看到所有页面，并在创建规则时具有最大的灵活性。

5. 在“程序”页上，选择“此程序路径”

6. 在文本框中键入程序的路径。 使用环境变量（如果适用）来确保安装在不同计算机上的不同位置的程序正常工作。

7. 执行下列操作之一：

   • 如果可执行文件包含单个程序，请选择“下一步”
   • 如果可执行文件是必须允许接收入站网络流量的多个服务的容器，请选择“自定义”，选择“仅应用于服务”，选择“确定”，然后选择“下一步”
   • 如果可执行文件是单个服务的容器或包含多个服务，但规则仅适用于其中一个服务，请选择“ 自定义”，选择“ 应用于此服务”，然后从列表中选择该服务。 如果列表中未显示该服务，请选择“ 应用于具有此服务短名称的服务”，然后在文本框中键入该服务的短名称。 选择“确定”，然后选择“下一步”

   重要提示

   若要使用 “应用于此服务 ”或 “将此服务短名称应用于服务 ”选项，必须为服务配置安全标识符 (SID) 类型为 RESTRICTED 或 UNRESTRICTED。 若要检查服务的 SID 类型，请运行以下命令：sc qsidtype <ServiceName>

   如果结果为 NONE，则防火墙规则无法应用于该服务。

   若要在服务上设置 SID 类型，请运行以下命令： sc sidtype <ServiceName> <Type>

   在前面的命令中， 的值 <Type> 可以是 UNRESTRICTED 或 RESTRICTED。 尽管 命令还允许 的值 NONE，但该设置意味着服务不能在防火墙规则中使用，如此处所述。 默认情况下，Windows 中的大多数服务都配置为 UNRESTRICTED。 如果将 SID 类型更改为 RESTRICTED，则服务可能无法启动。 建议仅在要在防火墙规则中使用的服务上更改 SID 类型，并将 SID 类型更改为 UNRESTRICTED。

8. 最佳做法是将程序的防火墙规则限制为仅需要操作的端口。 在 “协议和端口 ”页上，可以指定允许流量的端口号。 如果程序尝试侦听与此处指定的端口不同的端口，则会阻止它。 有关协议和端口选项的详细信息，请参阅 创建入站端口规则。 配置协议和端口选项后，选择“下一步”

9. 在“ 作用域 ”页上，可以指定该规则仅适用于传入或传出此页中输入的 IP 地址的网络流量。 根据设计进行适当配置，然后选择“下一步”

10. 在“操作”页上，选择“允许连接”，然后选择“下一步”

11. 在“配置文件”页上，选择应用此规则的网络位置类型，然后选择“下一步”

12. 在“名称”页上，键入规则的名称和说明，然后选择“完成”

创建出站程序或服务规则

默认情况下，Windows Defender防火墙允许所有出站网络流量，除非它与禁止流量的规则匹配。 这种类型的规则阻止程序在任何端口上发送任何出站网络流量。 若要为程序或服务创建出站防火墙规则，请执行以下操作：

1. 使用 高级安全打开 Windows 防火墙 控制台
2. 在导航窗格中，选择“ 出站规则”
3. 选择“操作”，然后选择“新建规则”
4. 在“新建出站规则向导”的“规则类型”页上，选择“自定义”，然后选择“下一步”

   注意

   虽然可以通过选择 “程序 ”或“ 端口”创建许多规则，但这些选择会限制向导显示的页数。 如果选择“ 自定义”，则会看到所有页面，并在创建规则时具有最大的灵活性。

5. 在“程序”页上，选择“此程序路径”
6. 在文本框中键入程序的路径。 根据需要使用环境变量，以确保安装在不同计算机上的不同位置的程序正常工作
7. 执行下列操作之一：
   • 如果可执行文件包含单个程序，请选择“下一步”
   • 如果可执行文件是必须阻止所有服务发送出站网络流量的容器，请选择“自定义”，选择“仅应用于服务”，选择“确定”，然后选择“下一步”
   • 如果可执行文件是单个服务的容器或包含多个服务，但规则仅适用于其中一个服务，请选择“ 自定义”，选择“ 应用于此服务”，然后从列表中选择该服务。 如果列表中未显示该服务，请选择“ 应用于具有此服务短名称的服务”，并在文本框中键入该服务的短名称。 选择“确定”，然后选择“下一步”
8. 如果希望允许程序在某些端口上发送，但阻止其他端口发送，则可以将防火墙规则限制为仅阻止指定的端口或协议。 在 “协议和端口 ”页上，可以为阻止的流量指定端口号或协议号。 如果程序尝试向此处指定的端口号发送或从此处指定的端口号发送，或者通过使用与此处指定的端口号不同的协议号发送，则默认出站防火墙行为允许流量。 有关协议和端口选项的详细信息，请参阅 创建出站端口规则。 配置协议和端口选项后，选择“下一步”
9. 在“ 作用域 ”页上，可以指定该规则仅适用于传入或传出此页中输入的 IP 地址的网络流量。 根据设计进行适当配置，然后选择“下一步”
10. 在“操作”页上，选择“阻止连接”，然后选择“下一步”
11. 在“配置文件”页上，选择应用此规则的网络位置类型，然后选择“下一步”
12. 在“名称”页上，键入规则的名称和说明，然后选择“完成”

创建入站规则以支持 RPC

若要允许入站远程过程调用 (RPC) 网络流量，必须创建两个防火墙规则：

• 第一条规则允许 TCP 端口 135 上的传入网络数据包传入 RPC 终结点映射器服务。 传入流量包含与指定网络服务通信的请求。 RPC 终结点映射程序使用客户端必须用来与服务通信的动态分配端口号进行答复
• 第二个规则允许发送到动态分配的端口号的网络流量

使用本主题中所述配置的两个规则，仅允许来自已接收 RPC 动态端口重定向的设备的网络流量，并且仅允许来自 RPC 终结点映射程序分配的 TCP 端口号的网络流量，从而有助于保护设备。

RPC 终结点映射器服务

1. 使用 高级安全打开 Windows 防火墙 控制台
2. 在导航窗格中，选择“入站规则”
3. 选择“操作”，然后选择“新建规则”
4. 在“新建入站规则向导”的“规则类型”页上，选择“自定义”，然后选择“下一步”
5. 在 “程序 ”页上，选择“ 此程序路径”，然后键入 %systemroot%\system32\svchost.exe
6. 选择“ 自定义”。
7. 在“自定义服务设置”对话框中，选择“应用于此服务”，选择“远程过程调用 (RPC) ，短名称为 RpcSs”，选择“确定”，然后选择“下一步”
8. 在有关 Windows 服务强化规则的警告上，选择“是”
9. 在“协议和端口”对话框中，对于“协议类型”，选择“TCP”
10. 对于“本地端口”，请选择“RPC 终结点映射程序”，然后选择“下一步”
11. 在“ 作用域 ”页上，可以指定该规则仅适用于传入或传出此页中输入的 IP 地址的网络流量。 根据设计进行适当配置，然后选择“下一步”
12. 在“操作”页上，选择“允许连接”，然后选择“下一步”
13. 在“配置文件”页上，选择应用此规则的网络位置类型，然后选择“下一步”
14. 在“名称”页上，键入规则的名称和说明，然后选择“完成”

已启用 RPC 的网络服务

1. 在前面过程中编辑的同一 GPO 上，选择“操作”，然后选择“新建规则”
2. 在“新建入站规则向导”的“规则类型”页上，选择“自定义”，然后选择“下一步”
3. 在“ 程序 ”页上，选择“ 此程序路径”，然后键入承载网络服务的可执行文件的路径。 选择 “自定义”
4. 在“ 自定义服务设置” 对话框中，选择“ 应用于此服务”，然后选择要允许的服务。 如果服务未显示在列表中，请选择“ 应用于具有此服务短名称的服务”，然后在文本框中键入服务的短名称
5. 选择“确定”，然后选择“下一步”
6. 在“协议和端口”对话框中，对于“协议类型”，选择“TCP”
7. 对于“本地端口”，请选择“RPC 动态端口”，然后选择“下一步”
8. 在“ 作用域 ”页上，可以指定该规则仅适用于传入或传出此页中输入的 IP 地址的网络流量。 根据设计进行适当配置，然后选择“下一步”
9. 在“操作”页上，选择“允许连接”，然后选择“下一步”
10. 在“配置文件”页上，选择应用此规则的网络位置类型，然后选择“下一步”
11. 在“名称”页上，键入规则的名称和说明，然后选择“完成”