Windows Server 防火墙入站与出站规则配置详解

Windows Server 内置的高级安全 Windows 防火墙（Windows Defender Firewall with Advanced Security）是保障服务器网络安全的第一道屏障。合理配置入站（Inbound）与出站（Outbound）规则，既能阻止未授权访问，又能确保关键服务正常通信。本文将系统讲解如何通过图形界面与 PowerShell 两种方式，安全、精准地配置防火墙规则，适用于 Windows Server 2016 至 Windows Server 2022 各主流版本。

一、理解入站与出站规则的核心区别

入站规则控制外部设备向服务器发起连接的行为（如客户端访问 Web 服务、远程桌面连接）。默认策略通常为“阻止”，需显式放行必要端口或程序。

出站规则则管理服务器主动向外发起连接的行为（如服务器向 DNS 服务器查询、向更新服务器同步补丁）。默认策略为“允许”，但为增强安全性，建议按最小权限原则收紧高风险出站行为（如限制 PowerShell 远程调用、禁止非授权 HTTP 外连等）。

需特别注意：规则优先级由上至下匹配，越靠前的规则越先生效；相同条件下的显式“允许”规则会覆盖隐式“阻止”，反之亦然。

二、图形界面配置流程（适用于日常运维）

1. 打开「服务器管理器」→「工具」→「高级安全 Windows 防火墙」

2. 左侧导航栏分别进入「入站规则」或「出站规则」节点

3. 右侧点击「新建规则…」启动向导

4. 选择规则类型：

   • 程序：基于可执行文件路径（如 C:\Windows\System32\svchost.exe）
   • 端口：最常用，指定 TCP/UDP 协议及端口号（如 TCP 80、TCP 443）
   • 预定义：快速启用 IIS、Remote Desktop 等内置模板
   • 自定义：支持协议、端口、IP 范围、用户/组等多维条件组合

5. 设置协议与端口（以开放 HTTPS 入站为例）：

   • 协议类型：TCP
   • 特定本地端口：443

6. 配置作用域：可限定仅允许来自特定子网（如 192.168.10.0/24）的访问

7. 选择操作：「允许连接」或「阻止连接」

8. 配置配置文件：勾选适用的网络类型（域、专用、公用）

9. 命名规则并添加描述（如：“允许内网 HTTPS 访问 - 生产环境”）

⚠️ 提示：生产环境严禁在「公用」配置文件中开放 RDP（3389）、SQL Server（1433）等高危端口。

三、PowerShell 批量配置（推荐用于标准化部署）

PowerShell 提供了 New-NetFirewallRule cmdlet，支持脚本化、可复用的规则管理。以下为典型场景示例：

# 创建入站规则：允许内网访问 IIS 默认端口（HTTP 80）
New-NetFirewallRule `
    -DisplayName "Allow HTTP from Internal Network" `
    -Direction Inbound `
    -Protocol TCP `
    -LocalPort 80 `
    -RemoteAddress 192.168.10.0/24 `
    -Action Allow `
    -Profile Domain,Private `
    -Enabled True `
    -Description "IIS web access for internal users only"

# 创建出站规则：阻止服务器向公网发送未加密 HTTP 请求
New-NetFirewallRule `
    -DisplayName "Block Outbound HTTP (Non-TLS)" `
    -Direction Outbound `
    -Protocol TCP `
    -LocalPort Any `
    -RemotePort 80 `
    -Action Block `
    -Profile Domain,Private `
    -Enabled True `
    -Description "Prevent cleartext web traffic to internet"

# 创建程序级出站规则：仅允许指定服务进程外连（如 SQL Server 数据库同步）
New-NetFirewallRule `
    -DisplayName "Allow SQL Server Outbound Sync" `
    -Direction Outbound `
    -Program "C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" `
    -Action Allow `
    -Profile Domain `
    -Enabled True `
    -Description "SQL Server replication to DR site"

✅ 最佳实践：所有规则均应设置 -Profile 明确作用域，并通过 -Description 记录业务上下文，便于后期审计与交接。

四、验证与故障排查

配置完成后，务必验证规则实际效果：

• 查看生效规则列表：

  Get-NetFirewallRule | Where-Object { $_.Enabled -eq 'True' } | Select-Object DisplayName, Direction, Action, Profile

• 检查特定端口监听状态（确认服务已启动且绑定正确）：

  netstat -ano | findstr :443

• 使用 Test-NetConnection 模拟连接测试：

  Test-NetConnection -ComputerName 192.168.10.5 -Port 443 -InformationLevel Detailed

若连接失败，依次检查：目标服务是否运行、本地防火墙是否启用、规则是否启用且作用域匹配、是否存在更高优先级的冲突规则（可通过 GUI 中「规则属性 → 高级」查看顺序编号）。

五、安全加固建议

1. 定期审计：每月导出全部启用规则，核查是否存在过期或宽泛授权（如 RemoteAddress: Any）
2. 禁用默认开放规则：关闭「文件和打印机共享」等非必要预定义规则
3. 启用日志记录：在「高级安全设置 → 属性 → 常规」中启用“记录丢弃的数据包”与“记录成功的连接”，日志路径为 %systemroot%\system32\LogFiles\Firewall\pfirewall.log
4. 分离管理通道：为远程管理（如 WinRM、RDP）单独配置 IP 限制规则，避免全网开放

防火墙不是一劳永逸的解决方案，而是纵深防御体系中的基础环节。结合网络分段、主机加固与持续监控，才能真正构筑起面向现代威胁的弹性防护能力。

掌握 Windows Server 防火墙规则的精细化配置，既是系统管理员的核心技能，也是保障业务连续性与数据安全的关键实践。从明确需求出发，以最小权限为准则，用脚本固化标准，让每一次规则变更都可追溯、可验证、可回滚——这才是企业级服务器安全管理应有的严谨姿态。