Windows系统防火墙有哪些策略配置？

以下为两个核心策略配置方法。

1. 基础访问控制规则
   这是防火墙策略的基石，主要通过入站规则和出站规则来实现对流量的精细控制。
   端口规则：最常见的控制方式。例如，Web服务器需要开放TCP 80（HTTP）​ 和 443（HTTPS）​ 端口以允许外部访问。对于不使用的服务端口（如旧的数据库端口），应明确设置阻止连接的规则以减少攻击面。
   程序规则：可以指定某个应用程序（如 MyApp.exe）是否被允许进行网络通信。这比端口规则更精确，因为无论程序使用哪个端口，防火墙都会自动管理。
   IP地址规则：在规则的“作用域”中，可以设置规则仅对特定的远程IP地址生效。这是实现最小权限原则的关键，例如，可以将远程桌面（RDP）的访问权限限制为仅来自公司办公室的IP地址，极大增强安全性。

2. 高级安全与协议配置
   对于有更严格安全要求的场景，需要配置更细致的规则。
   ICMP协议控制：ping命令基于ICMP协议。通过创建入站规则，将协议类型设置为 ICMPv4/IPv6，并选择“阻止连接”，可以使服务器对外的 ping请求无响应，从而在一定程度上隐藏自己，避免被轻易扫描发现。
   特定服务规则：对于像 远程桌面（RDP）​ 这样的服务，最佳实践不仅是更改默认端口（3389），更重要的是通过IP作用域将其访问权限锁定在有限的、可信的源IP范围。
   组策略集中管理：在域环境中，可以通过组策略对象（GPO）​ 统一部署和管理所有域内计算机的防火墙规则。这样可以确保策略的一致性，提高管理效率，避免在各服务器上重复操作。