windows自带的防火墙实际上已经推出十多年了,很多人对windows自带的各种组件都有一种傲慢的轻视,认为系统自带的组件不专业、很鸡肋。这个印象可能从windows9x年代附件中的:写字板、画笔、录音机、扫雷游戏等弱鸡功能延续至今。
其实时至今日windows自带的很多功能都非常优秀,例如:onedrive(网盘)、edge浏览器、杀毒软件和我们今天要重点介绍的系统防火墙——WindowsDefender。
坦白的说在民用桌面级应用上,这个防火墙通常给人的印象是——正事儿帮不了什么,倒忙却帮了不少,很多人索性就直接禁用了,如果你是民用桌面级应用,这个东西对你帮助确实不大。我这个设置主要是给服务器用户、云桌面用户提供的一点思路,正题开始——
防火墙从根儿上说其实就两大功能:
1、流量保护:防止洪水攻击(比如:dDos)之类的。
2、端口管理:拦截或放行特定的端口(程序)
windows自带的防火墙,对流量防护确实不如硬件防火墙给力,这也很好理解。但自带的防火墙对端口管理确实非常好用,主要是配置简单、效果明显;一般人不一定能搞得定专业防火墙的命令行,但绝对能轻松上手图形化的windows防火墙。
如果从攻击比例上来说:使用端口扫码、端口漏洞攻击的,要远远大于dDos攻击,一个是大概率事件一个是小概率事件,本文就从大概率事件——windows防火墙配置来预防端口攻击进行讲解:
很多人的windows防火墙是这样的——
密密匝匝几百项规则,自己需要啥规则就加啥规则,里面系统自带的规则从来也不敢乱碰,最后导致规则目录一团糟。前面开了某个端口,后面又封了某个端口,各种矛盾配置叠加,不但没有什么安全可言,也无法进行有效管理和维护。
解决方案很简单:下手快准狠——全选、全删,然后留下自己需要的规则即可。如下图——
是不是觉得瞬间清爽了很多?其实这主要解决了两个问题:防止规则冲突,矛盾的规则会消耗算力,最重要是好管理。其实从服务器角度看,对外开放的端口是极其有限的,清爽的条目会大大节约运维时的成本,有效降低配置漏洞。
至于开哪些常用端口,自己去搜索,各种端口字典数不胜数,重要提示:
1、端口规则全删之前要保留远程桌面端口(3389),否则你可能被关门外,配置防火墙之前要有一个好习惯——打开一个备用连接(VNC),防止你被关到门外还能翻窗进去。
2、全删以后就意味着6万多个端口全部关闭,你需要哪个开哪个。
3、如果你需要局域网共享文件的话,也别担心预设规则没有了,导致你无法共享文件——添加一个规则,设置445、139端口即可,至于其他的共享端口,其实是一些辅助功能,例如:全局发现、ping等
4、如果你想单独开通ping功能:你可以添加一个ICMP协议的规则,如下图:
用这个思路你赶快整理你的windows防火墙吧,让你的服务器安全大门更加坚固稳定。
本文由梁桂钊于2023-08-27发表在梁桂钊的博客,如有疑问,请联系我们。
本文链接:https://720ui.com/9748.html