Windows 防火牆概觀
Windows 防火牆是一項安全性功能,可藉由篩選進入和離開裝置的網路流量,協助保護您的裝置。 此流量可以根據數個準則進行篩選,包括來源和目的地IP位址、IP通訊協定或來源和目的地埠號碼。 Windows 防火牆可以設定為根據您裝置上安裝的服務和應用程式來封鎖或允許網路流量。 這可讓您僅將網路流量限制為明確允許在網路上通訊的應用程式和服務。
Windows 防火牆是主機型防火牆,隨附於操作系統,且預設會在所有 Windows 版本上啟用。
Windows 防火牆支援因特網通訊協定安全性 (IPsec) ,您可以用來要求任何嘗試與裝置通訊的裝置進行驗證。 需要驗證時,無法驗證為 受信任裝置的裝置 無法與您的裝置通訊。 您可以使用 IPsec 來要求加密特定網路流量,以防止惡意使用者可能連結至網路的網路封包分析器讀取該網路流量。
Windows 防火牆也適用於 網路位置感知 ,因此可以套用適用於裝置所連線之網路類型的安全性設定。 例如,當裝置連線到咖啡廳 Wi-fi 時,Windows 防火牆可以套用 公用網路 配置檔,以及裝置連線到主機網路時套用 專用網 配置檔。 這可讓您將更嚴格的設定套用至公用網路,以協助保護您的裝置安全。
實際應用
Windows 防火牆提供數個優點來解決組織的網路安全性挑戰:
- 降低網路安全性威脅的風險:透過降低裝置的攻擊面,Windows 防火牆可為深層防禦模型提供額外的防禦層。 這會增加管理性,並降低成功攻擊的可能性
- 保護敏感數據和智慧財產權:Windows 防火牆與 IPsec 整合,以提供簡單的方法來強制執行已驗證的端對端網路通訊。 這可讓您對受信任的網路資源進行可調整的階層式存取,協助強制執行數據完整性,並在必要時保護數據機密性
- 現有投資的延伸價值:Windows 防火牆是操作系統隨附的主機型防火牆,因此不需要額外的硬體或軟體。 它也設計成透過記載的 API 來補充現有的非 Microsoft 網路安全性解決方案
Windows 版本和授權需求
下表列出支援 Windows 防火牆的 Windows 版本:
Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
---|---|---|---|
是 | 是 | 是 | 是 |
Windows 防火牆授權權利由下列授權授與:
Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
概念
Windows 防火牆的默認行為是:
- 封鎖所有傳入流量,除非要求或符合 規則
- 允許所有連出流量,除非符合 規則
防火牆規則
防火牆規則 會識別允許或封鎖的網路流量,以及發生這種情況的條件。 這些規則提供各種條件來識別流量,包括:
- 應用程式、服務或程式名稱
- 來源和目的地IP位址
- 可以使用動態值,例如預設閘道、DHCP 伺服器、DNS 伺服器和本機子網
- 通訊協定名稱或類型。 針對傳輸層通訊協定、TCP 和 UDP,您可以指定埠或埠範圍。 針對自訂通訊協定,您可以使用介於 0 到 255 之間的數位來代表 IP 通訊協定
- 介面類型
- ICMP/ICMPv6 流量類型和程序代碼
防火牆配置檔
Windows 防火牆提供三種網路配置檔:網域、私人和公用。 網路配置檔可用來指派規則。 例如,您可以允許特定應用程式在專用網上進行通訊,但不能在公用網路上進行通訊。
網域網路
網 域網路 配置檔會在偵測到域控制器可用性時,自動套用至已加入 Active Directory 網域的裝置。 無法手動設定此網路配置檔。
提示
偵測網域網路的另一個選項是在 NetworkListManager 原則 CSP 中設定原則設定,這也適用於已加入 Microsoft Entra 裝置。
專用網
專用網配置檔是專為專用網所設計,例如家庭網路。 系統管理員可以在網路介面上手動設定。
公用網路
公用網路配置檔是以較高的安全性為公用網路所設計,例如 Wi-Fi 熱點、咖啡廳、機場、旅館等。這是無法辨識之網路的預設配置檔。
提示
使用 PowerShell Cmdlet Get-NetConnectionProfile
來擷取作用中網路類別 (NetworkCategory
) 。 使用 PowerShell Cmdlet Set-NetConnectionProfile
在 私人 和 公用之間切換類別。
後續步驟
瞭解 Windows 防火牆規則和設計建議:
提供意見反應
若要提供 Windows 防火牆的意見反應,請開啟意見 反應中樞 (WIN+F) 並使用安全 性和隱私>權網路保護類別。