规划基本防火墙策略设置

配置文件选择。 可以为网络和共享中心中看到的任何网络位置配置文件配置防火墙规则： 域、 公共和 专用。 大多数设置在域配置文件中强制实施，用户没有更改这些设置的选项。 但是，你可能希望在可从组织物理网络获取并加入公共或家庭网络的设备上使配置文件设置由用户配置。 如果锁定公共和专用配置文件，可能会阻止用户访问所需的网络程序或服务。 由于它们不在组织的网络上，因此无法在 GPO 中部署规则更改来修复连接问题。 对于以下每个部分，请考虑每个配置文件，并将规则应用于对组织有意义的配置文件。

重要： 我们建议在服务器设备上为所有配置文件设置所有规则，以防止任何意外的配置文件切换中断网络连接。 你可能会考虑对桌面设备采用类似的做法，并且仅在便携式设备上支持不同的配置文件。

防火墙状态：打开。 建议阻止用户将其关闭。

入站连接的默认行为：阻止。 建议强制实施阻止未经请求的入站连接的默认行为。 若要允许特定程序的网络流量，请创建一个入站规则，作为此默认行为的例外。

出站连接的默认行为：允许。 建议强制实施允许出站连接的默认行为。

允许单播响应：是。 除非有特定要求，否则建议使用默认设置 “是 ”。

应用本地防火墙规则：是。 建议允许用户创建和使用本地防火墙规则。 如果将此设置设置为 “否”，则当用户在通知消息上单击“ 允许” 以允许新程序的流量时，Windows 不会创建新的防火墙规则，并且流量仍然被阻止。

如果你和 IT 人员可以为所有允许的应用程序创建和维护防火墙规则列表并使用 GPO 进行部署，则可以将此值设置为 “否”。

应用本地连接安全规则：否。 建议阻止用户创建和使用自己的连接安全规则。 由于规则冲突而导致的连接故障可能很难进行故障排除。

日志记录。 建议启用对本地硬盘上的文件的日志记录。 请务必限制大小（如 4096 KB），以避免通过填充用户的硬盘导致性能问题。 请务必指定具有高级安全Windows Defender防火墙服务帐户写入权限的文件夹。

入站规则。 为必须能够从网络上的另一台设备接收未经请求的入站网络数据包的程序创建入站规则。 使规则尽可能具体，以降低恶意程序利用规则的风险。 例如，同时指定程序和端口号。 指定程序可确保规则仅在程序实际运行时处于活动状态，指定端口号可确保程序无法接收其他端口上的意外流量。

入站规则在服务器上很常见，因为它们承载客户端设备连接到的服务。 在服务器上安装程序和服务时，安装程序通常会创建并启用规则。 检查规则以确保它们不会打开超过所需端口的端口数。

重要：如果使用 RPC 终结点映射器和动态 RPC 规则选项创建允许 RPC 网络流量的入站规则，则允许所有入站 RPC 网络流量，因为防火墙无法基于目标应用程序的 UUID 筛选网络流量。

出站规则。 仅创建出站规则来阻止在所有情况下必须阻止的网络流量。 如果组织禁止使用某些网络程序，可以通过阻止程序使用的已知网络流量来支持该策略。 在部署限制之前，请务必对其进行测试，以避免干扰所需和授权程序的流量。