Windows Server防火墙配置教程:入站规则、端口管理与远程桌面安全设置
Windows Server 防火墙:不配置等于裸奔
Windows Server 默认开启 Windows Defender 防火墙,但默认规则过于宽松——远程桌面(3389)对所有 IP 开放,大量不必要的端口也处于监听状态。暴露在公网的服务器如果不加固防火墙,通常在几小时内就会遭受暴力破解攻击。
一、防火墙基本概念
- 入站规则:控制从外部进入服务器的流量,是最重要的安全边界
- 出站规则:控制从服务器发出的流量,通常默认全部允许
- 配置文件:域(域网络)、专用(私网)、公用(公网)——服务器通常使用"公用"配置
二、通过 GUI 管理防火墙规则
打开高级防火墙:运行 → wf.msc
创建新的入站规则(以放行 8080 端口为例)
- 左侧点击"入站规则" → 右侧"新建规则"
- 规则类型:端口 → 下一步
- 协议:TCP,特定本地端口:8080 → 下一步
- 操作:允许连接 → 下一步
- 配置文件:全选 → 下一步
- 名称:填写描述性名称(如"Web App 8080")→ 完成
禁用不必要的默认规则
在入站规则列表中,找到以下规则并右键禁用(除非你明确需要):
- 文件和打印机共享相关规则
- 远程管理相关规则(如果不用 WMI 远程管理)
- 网络发现相关规则
三、限制 RDP 只允许特定 IP 访问
这是最重要的安全加固操作之一。找到远程桌面的入站规则("远程桌面 - 用户模式 (TCP-In)"),双击打开:
- 切换到"范围"选项卡
- 在"远程 IP 地址"部分,选择"下列 IP 地址"
- 添加你的固定 IP 地址(如公司出口 IP、家庭宽带 IP)
- 点击确定
这样只有指定 IP 才能连接 RDP,全球扫描器和暴力破解工具对你的服务器完全无效。
四、PowerShell 批量管理防火墙规则
通过 PowerShell 管理防火墙规则更高效,适合批量操作:
# 查看所有入站规则
Get-NetFirewallRule -Direction Inbound | Select-Object Name, DisplayName, Enabled, Action
# 新建允许 TCP 8080 端口的入站规则
New-NetFirewallRule -DisplayName "Allow 8080" -Direction Inbound -Protocol TCP -LocalPort 8080 -Action Allow
# 禁用特定规则
Disable-NetFirewallRule -DisplayName "文件和打印机共享 (回显请求 - ICMPv4-In)"
# 删除规则
Remove-NetFirewallRule -DisplayName "Allow 8080"
# 限制 RDP 只允许特定 IP(替换为实际 IP)
Set-NetFirewallRule -DisplayName "远程桌面 - 用户模式 (TCP-In)" -RemoteAddress "1.2.3.4","5.6.7.8"
# 查看当前 RDP 规则的远程地址限制
Get-NetFirewallRule -DisplayName "远程桌面 - 用户模式 (TCP-In)" | Get-NetFirewallAddressFilter五、服务器安全端口配置参考
| 端口 | 用途 | 建议配置 |
|---|---|---|
| 80 / 443 | HTTP / HTTPS | 入站允许(所有 IP) |
| 3389(或自定义) | 远程桌面 RDP | 入站仅允许特定 IP |
| 3306 | MySQL | 只允许 127.0.0.1,不对外开放 |
| 6379 | Redis | 只允许 127.0.0.1,不对外开放 |
| 445 / 139 | SMB 文件共享 | 如不需要,禁用入站规则 |
总结
Windows Server 防火墙加固的核心操作:限制 RDP 只允许特定 IP → 修改 RDP 默认端口 → 禁用不必要的默认入站规则 → 数据库端口只绑定本地 → 用 PowerShell 实现批量和自动化管理。这几步完成后,服务器的远程攻击面大幅缩小。
需要 Windows Server 运行环境,IDC.Net 香港云服务器支持 Windows Server 系统,CN2 GIA 直连大陆,支付宝 / USDT 付款,免 KYC 实名。
版权声明:
作者:后浪云
链接:https://idc.net/help/442556/
文章版权归作者所有,未经允许请勿转载。
THE END