安全性或防火牆設定可能封鎖連線

Windows 安全性&防火牆保護功能可讓您查看防火牆 Microsoft Defender 狀態，並查看裝置已連接到哪些網路。 您可以開啟 Microsoft Defender 防火牆，並存取下列 Microsoft Defender 防火牆選項：

• 網域 (工作場所) 網路

• 私人 (可探索的) 網路

• 公用 (無法探索的) 網路

如果您想要變更設定，請選取要變更設定的網路類型。

您可以指定裝置所連接的特定網路為「私人」或「公用」。 關鍵差異在於是否允許相同網路的其他裝置看到您的裝置，或許可以連接到您的裝置。

您的家用網路可能是私人網路的範例，從理論上說，該網路上唯一的裝置就是您的裝置，以及您家庭擁有的裝置。 因此，您可能對那些其他裝置可以看到您的裝置很正常。 我們稱其為「可探索」，因為該網路上所有裝置都允許彼此「探索」。

不過Wi-Fi咖啡店的咖啡店是公用網路。 其他連接到該裝置的其他裝置大多屬於陌生人，而您可能偏好他們看不到、無法連接或「探索」您的裝置。

[網路設定]

當您選取三種網路類型之一時，就會取得它的設定頁面。 Windows 安全性會在這裡告訴您，您目前所連接之類型的網路 ，如果有的話。 通常您的電腦一次只會連接到一個網路。

您也可以找到一個簡單的滑杆，可開啟或關閉該類型的網路防火牆。

重要: 關閉防火牆可能會增加裝置或資料的風險。 除非您絕對需要關閉，否則建議您將其保留為開啟狀態。

在傳入連接區段下，您可以找到一個核取方塊，用於區塊所有傳入的連入，包括允許的應用程式清單中的那些。 勾選此方塊會要求 Microsoft Defender 防火牆忽略允許的應用程式清單並封鎖所有專案。 開啟此選項會增加安全性，但可能會導致某些應用程式停止工作。

此外，在防火牆&網路保護頁面上：

• 允許應用程式透過防火牆 - 如果防火牆封鎖您真正需要的應用程式，您可以為該應用程式新增例外，或開啟特定埠。 深入瞭解此程式 (，以及為什麼您可能不想) Microsoft Defender 防火牆允許應用程式的風險。

• 網路和網際網路疑 難解答員 - 如果您遇到一般網路連接問題，您可以使用此疑難排解員嘗試並自動診斷及修正這些問題。

• 防火牆通知設定 - 想要在防火牆阻止某些專案時收到更多通知嗎？ 少？ 以下是您可以設定的地方。

• 進位 設定 - 如果您熟悉防火牆設定，這會開啟傳統的 Windows Defender 防火牆工具，可讓您建立內入或外發規則、連接安全性規則，以及查看防火牆的監控記錄。 大部分使用者都不想深入調查;不正確地新增、變更或刪除規則可能會導致您的系統容易受到攻擊，或可能會導致某些應用程式無法工作。

• 將防火牆還原為預設值-如果有人或某些專案已變更您的 Windows 防火牆設定，導致無法正常運作，您只要按兩下滑鼠，就能將設定重設回您第一次取得電腦時的方式。 如果貴組織已採用任何原則來設定防火牆，這些原則將會重新適用。

請參閱

自動診斷並修復 Windows 防火牆的問題

在無線網路上更安全

Windows 防火牆其實是個非常不錯的玩意，只是一般人比較不清楚要如何游刃有餘的設定他，我這幾年經手過不少 Windows 伺服器，我發現設定錯誤的人其實蠻多的，而更有大部分的伺服器主機根本預設關閉 Windows Firewall 服務，只依賴客戶額外採購的硬體式防火牆來保護主機的網路安全，這篇文章裡我打算分享一些我在設定這些輸入/輸出規則的一些經驗與檢查現有防火牆規則的一些步驟，跟大家一起分享與探討，看是否有更好的方式能將 Windows 防火牆設定的更安全。

以下是開啟「具有進階安全性的 Windows 防火牆」的方式，你也可以直接執行 wf.msc 開啟此視窗：

我在替客戶設定與檢查防火牆規則時，會區分「輸入規則」與「輸出規則」，檢查的方法與步驟都類似：

1. 先以群組排序，找出所有「自訂」的防火牆規則

因為自訂防火牆規則無法歸類到特定群組，因此可以找出是否有系統管理員自行設定的防火牆規則，看是否有不適當的連線被開啟。

備註：如果以 Windows Server 內建的服務來說，幾乎所有內建的服務都會有相對應的規則定義，在大部分的情況下，系統管理者應該不需要自行定義規則才對，如果有的話，一定要在描述欄提供非常詳細的描述，否則就會被我停用或刪除。

2. 設定「依已啟用狀態篩選」

我們必須過濾出到底有哪些規則被不當啟用，所以專注在已啟用的規則即可。

3. 設定「依設定檔篩選」

在設定完「依已啟用狀態篩選」之後，我會依據不同的設定檔篩選來進一步分析在特定設定檔內是否有不符合規定的防火牆規則，如果你用顯示全部來看，有時後無法看出駭客可能的攻擊路徑，透過設定檔來看，你可以很清楚的知道這一條規則到底是用來防堵哪一個介面進來的封包！

我們從控制台的網路連線就可以看到你有多少網路的介面，而在 Windows 裡每個網路介面都會被歸類到一個「網路類別」，而這裡的網路類別就會自動套用如上圖的「防火牆設定檔」之中。如以下圖為例，我們的介面是「網域網路」，所以這個介面就會套用所有「網域設定檔」的防火牆規則，也代表我們只要選取上圖的「依網域設定檔篩選」即可專注在我們要檢查的所有規則，如此一來篩選出來的規則數量就會少很多，也比較容易看出問題。

4. 依據不同的群組來設定防火牆規則，盡可能不要自訂規則

在篩選完設定檔之後，你可以進一步透過「群組」來篩選這些規則，這些規則跟你目前的網路服務有非常直接的關係，而且微軟幫你定義好的規則比較完整，所以並不需要再自訂額外的規則。

話雖如此，規則定義的比較完整 並不等同於 安全的定義！所以還需要進一步檢查才行：

5. 針對輸入規則的部分，應注意「通訊協定、本機連接埠、程式、遠端位址」這四個欄位

由於是輸入規則，這部分必須特別小心，一個設定不妥當就會導致系統陷入風險，而且啟用的輸入規則越少越好，只要能降低攻擊的面積，就能有效降低被發現弱點的機會。

在設定「遠端 IP 位址」時，可以善用「預先定義的電腦集」來簡化防火牆規則的複雜度：

補充說明：雖然你設定的是「網域設定檔」，所有封包只會來自於網域內的網段，但請注意：網域內的網段包括該網段的所有 IP 位址，並不一定代表是網域內的主機！所以如果同網段內有其他非網域內的主機，也是有可能透過這個網路介面攻擊你，因此在設定網域設定檔時千萬不要掉以輕心的相信透過這個介面來的網路封包是安全的！

6. Windows 的預設輸出規則為「允許」，建議可視情況修改成「封鎖」

若要將輸出連線設定為「封鎖」，有可能會導致部分叢集服務發生異常，一般來說都是 RPC 之類的服務無法正常運作，想要這樣設定的人必須多加測試確認沒問題才能進行設定，否則會導致服務發生異常。請參考本文最後的 !! 重要觀念 !! 說明。

7. 適當的紀錄防火牆丟棄的封包，以利後續追蹤與分析

Windows 防火牆所記錄的資訊可以利用 LogParser 進行分析：

建議不同的設定檔使用不同的記錄檔名，以利區分。另外，預設的紀錄檔儲存路徑為：

C:\Windows\System32\LogFiles\Firewall

!! 重要觀念 !!

假設你有兩張網路卡，一張設定為「網域網路」，另一張設定為「公用網路」，在 Windows Server 2008 與 Windows Server 2008 R2 將會有不同的防火牆套用規則的結果，這點必須特別小心！

1. 在 Windows Server 2008 版本，雖然 Windows 防火牆有三個設定檔，但事實上只有一個設定檔會生效，而且 Windows 會自動挑選最嚴格的規則來生效。

   其中套用的順序為：公用設定檔 > 私人設定檔 > 網域設定檔

   

2. 在 Windows Server 2008 R2 版本，Windows 防火牆會依據網路介面所設定的網路類別分別套用防火牆設定檔，這才是比較彈性的作法，在設定預設輸出規則為「封鎖」時也比較不容易出問題！
   

相關連結

• Windows Firewall with Advanced Security
• Understanding Firewall Rules
• Windows Firewall with Advanced Security and IPsec
• Netsh Commands for Windows Firewall with Advanced Security
• Windows Firewall - Wikipedia, the free encyclopedia