大家好，我是某不知名IDC的网管张二狗（化名）。上周刚经历了职业生涯最刺激的72小时——因为防火墙配置失误导致公司官网被黑成俄罗斯方块游戏界面（老板脸黑得能滴墨汁）。今天含泪分享Windows服务器防火墙的血泪经验包！看完这篇保你少走三年弯路！（文末有祖传排错秘籍）

---

一、你以为的防火墙 vs 实际上的防火墙

很多萌新以为Windows自带的防火墙就是个"高级开关"，像这样：

```powershell

netsh advfirewall set allprofiles state off

```

一关了之？恭喜你喜提"年度背锅侠"称号！真正的企业级防火墙应该像夜店VIP区的安检门——既要拦醉汉（恶意流量），又要给VIP放行（业务端口）。

举个真实案例：某电商平台大促时支付接口突然瘫痪。最后发现是新来的运维小哥在防火墙上开了ICMP回显请求（ping），却忘了开TCP 443端口！就像给商场开了消防通道却锁死了正门...

二、入站规则的"奥义三连击"

1. 最小权限原则（Least Privilege）

想象你在玩《我的世界》：

- 错误示范：开放所有端口就像用创造模式建服务器

- 正确姿势：精准控制每个端口的TCP/UDP协议

实操代码示例：

允许指定IP访问SQL Server

New-NetFirewallRule -DisplayName "允许DBA访问" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow -RemoteAddress 192.168.1.50/32

封禁爆破SSH的憨憨

New-NetFirewallRule -DisplayName "防暴力破解" -Direction Inbound -Protocol TCP -LocalPort 22 -Action Block -RemoteAddress 192.168.1.0/24 -InterfaceType Any

2. 端口隐身术（Stealth Mode）

在高级安全面板开启"隐身模式"，让服务器像霍格沃茨城堡一样从公网消失：

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

Set-NetFirewallProfile -All -DefaultInboundAction Block

3. 应用白名单机制

推荐使用WDAC（Windows Defender Application Control）组合拳：

```xml

三、进阶玩家的骚操作

████集团的真实攻防战记录：

攻击者使用Nmap扫描时触发了我们的蜜罐规则：

创建虚假服务端口

New-NetFirewallRule -DisplayName "蜜罐陷阱" -Direction Inbound -LocalPort 6666 -Protocol TCP -Action Allow

IDS联动配置示例

Start-Process "C:\IDS\alert.bat" -ArgumentList "$($Event.SourceIP)"

PowerShell自动化巡检脚本：

function Check-Firewall {

param($ServerList)

foreach ($server in $ServerList) {

$rules = Invoke-Command -ComputerName $server {Get-NetFirewallRule}

$orphanRules = $rules | Where {$_.Enabled -eq 'True' -and !(Test-Path $_.Program)}

if ($orphanRules) {Send-MailMessage -Subject "发现幽灵规则！"}

}

}

四、翻车后的急救指南（亲测有效）

当出现"作死三连击"症状时：

1️⃣ 事件查看器大法

定位到安全日志ID为5157/5158的事件

2️⃣ 抓包诊断黄金组合

```cmd

netsh trace start capture=yes report=yes overwrite=yes maxsize=1024 tracefile=C:\diag.etl

3️⃣ 紧急隔离术

创建应急隔离组

New-NetFirewallRule -DisplayName "紧急隔离区" `

-Direction Inbound `

-Action Block `

-RemoteAddress @("133.45.*", "185.163.*") `

-Description "根据CSIRT通告封禁"

五、来自微软工程师的私房建议

1. 定期执行规则瘦身

使用内置的【网络流量筛选审计】功能生成报表

2. 启用动态规则

通过GPO推送自适应策略：

```powershell

Set-NetFirewallProfile -Name Domain `

-DefaultInboundAction Block `

-AllowLocalIPsecPolicyMerge True `

–LogFileName %systemroot%\system32\LogFiles\Firewall\domainfw.log

```

3. 证书指纹验证

对关键服务启用HTTPS双向认证：

```powershell

New-NetFirewallRule `

–DisplayName "HTTPS双向认证" `

–Protocol TCP –LocalPort 443 `

–Program "%SystemRoot%\system32\svchost.exe" `

–Authentication Required

最后送大家一句行业黑话："宁堵千条缝不漏一道光"。上周要不是我及时祭出【netsh winsock reset】大法重置堆栈缓存（然后跪着给老板写检查），这会儿可能已经在送外卖了...各位同行且行且珍惜！

（文中涉及技术细节已做脱敏处理）

TAG:windows服务器防火墙,win10服务防火墙,服务器端防火墙,服务器区防火墙