点击蓝字 关注我们
Windows防火墙
你了解吗
前言
你的电脑有没有中过木马?你的电脑有没有被人监控过?你的电脑有没有被人窃取过数据?
首先我们先了解一下木马是怎么被黑客利用的。
假如我们是【公司A/个人的家】中那台被植入木马的电脑,攻击者可以通过网络上的一台电脑远程控制我们,获取我们电脑的信息并进行监控,也可以用这台电脑当跳板去攻击同区域下的其他电脑。这样一来,我们的电脑如果中了木马,将会损失很多信息。
作为个人电脑的守护者windows防火墙你了解过吗?接下来就带大家详细了解一下。
Windows防火墙简介
Windows防火墙是微软Windows操作系统内置的一个网络安全和过滤系统,其主要目的是防止未经授权的网络访问和控制应用程序对外部网络的访问。自Windows XP Service Pack 2以来,Windows防火墙成为了操作系统的标准组件,其功能和复杂性随着操作系统的发展不断增强。
01
定义和功能
Windows防火墙是一个软件组件,它根据一组可配置的规则来允许或拒绝网络流量通过。这些规则可以基于IP地址、端口号、协议等参数来设置。防火墙的主要功能包括:
1.入站过滤:控制外部网络对内部资源的访问请求。
2.出站过滤:管理内部应用或服务访问外部网络的权限。
3.状态检测:监控网络连接的状态,确保只有合法有效的会话能够进行数据传输。
02
防火墙的工作原理
Windows防火墙通过在网络层上检查进出的数据包来工作。每个数据包都会被防火墙的规则引擎评估,根据规则的设置,数据包可能被允许通过、被拒绝或被丢弃。防火墙规则可以具体到应用程序级别,允许细致地控制哪些应用可以接收或发送数据。
03
防火墙的规则类型
在Windows防火墙中,规则分为两大类:
1.入站规则:这些规则定义了哪些外部发起的请求可以被允许访问你的系统。
2.出站规则:这些规则控制系统内部的应用或服务向外部网络发送的数据。
通过合理配置这些规则,Windows防火墙不仅可以保护个人电脑免受未经授权的访问,还可以防止恶意软件利用网络传播或窃取数据。在接下来的章节中,我们将详细探讨如何通过各种工具来查询、设置和管理这些防火墙规则。
防火墙规则参数
常用参数表:
| 参数 | 默认值 | 说明 | 取值 |
| name [必填] | 规则名称,不能重复 | ||
| dir [必填] | 指示规则适用于入站(in)还是出站(out)流量 | in/ out | |
| action [必填] | 定义当满足规则条件时应采取的行动,如允许/阻止/绕过 | allow/ block/ bypass | |
| program | 指定规则适用于哪个程序 | ||
| service | 指定规则适用于哪个系统服务,或者可以填all | ||
| description | 规则描述,提供关于规则的额外信息 | ||
| enable | yes | 启用状态,表示是否启用该规则,默认启用 | yes/ no |
| profile | 指定规则适用于哪个网络配置文件(如公共、私人或域),可以多选,以英文半角逗号分隔 | public/ private/ domain/ any | |
| localIP | 定义规则适用的本地IP地址范围,接受IPv4、IPv6、子网、网段、逗号分隔的IP列表 | any/ [IPv4 address]/ [IPv6 address]/ [subnet]/ [range]/ [list] | |
| remoteIP | 定义规则适用的远程IP地址范围 | any/ localsubnet/ dns/ dhcp/ wins/ defaultgateway/ [IPv4 address]/ [IPv6 address]/ [subnet]/ [range]/ [list] | |
| localport | any | 指定规则适用的本地端口号范围,或者逗号分隔的端口列表,或者any。默认any | 0-65535/ [,...]/ any |
| remoteport | any | 指定规则适用的远程端口号范围,或者逗号分隔的端口列表,或者any。默认any | 0-65535/ [,...]/ any |
| protocol | any | 定义规则适用于哪种网络协议(如TCP、UDP),默认any | 0-255/ icmpv4/ icmpv6/ icmpv4:type,code/ icmpv6:type,code/ tcp/ udp/ any |
| interfacetype | 指定规则适用于哪种类型的网络接口(如无线、有线) | wireless/ lan/ ras/ any | |
| security | notrequired | 指定规则的安全设置,如加密 | ·authenticate:流量必须经过身份验证,但不要求数据加密 ·authenc:流量必须经过身份验证和加密 ·authdynenc:允许动态协商加密,加密是根据需要实施的 ·authnoencap:流量必须经过身份验证,但不使用IPsec封装。这用于特定场景,其中需要验证但封装可能导致兼容性或性能问题。 ·notrequired:流量不强制要求IPsec保护。即,流量可以不经过身份验证和加密。 |
| rmtcomputergrp | 定义规则适用于哪些远程计算机组 | ||
| rmtusrgrp | 定义规则适用于哪些远程用户组 | ||
| edge | no | 边缘遍历,指示是否允许流量穿越NAT(网络地址转换)边界 | yes/ deferapp/ deferuser/ no |
防火墙规则的查询
01
使用图形用户界面查询
Windows 11系统打开方式,设置里的隐私与安全性中的windows安全中心。
访问高级设置:在左侧菜单中选择“高级设置”,这将打开“Windows防火墙带高级安全”窗口。
查看规则:在“Windows防火墙带高级安全”窗口中,你可以看到“入站规则”和“出站规则”的选项。点击这些选项,系统会展示所有相关的防火墙规则。
查看规则属性:双击任何一个规则,可以查看该规则的详细属性,包括规则的名称、是否启用、适用的协议、本地和远程IP地址、影响的端口等信息。
这样就可以通过桌面的形式查看。
02
使用命令行工具netsh查询
Windows也提供了命令行工具 netsh,用于查询和配置防火墙规则。
以下是使用 netsh 查询防火墙规则的命令:
官方操作指南:C:Usersxx>netsh advfirewall firewall show rule /?Usage: show rule name=<string>[profile=public|private|domain|any[,...]][type=static|dynamic][verbose]Remarks:- Displays all matching rules as specified by name and optionally,profiles and type. If verbose is specified all matching rules aredisplayed.Examples:Display all dynamic inbound rules:netsh advfirewall firewall show rule name=all dir=in type=dynamicDisplay all the settings for all inbound rules called"allow browser":netsh advfirewall firewall show rule name="allow browser" verbose
netsh advfirewall firewall show rule name=all列出所有规则和属性
netsh advfirewall firewall show rule name="规则名称"列出指定名称的规则和属性
netsh advfirewall firewall show rule name=all dir=innetsh advfirewall firewall show rule name=all dir=in type=dynamic status=enabled列出防火墙规则中指定属性值的规则
03
使用 Powershell 的 Get-NetFirewallRule 命令查询
在Windows中,使用netsh命令可能无法显示所有参数,特别是一些不常见的或高级的参数。为了获取更全面的防火墙规则信息,推荐使用PowerShell,它提供了更详细的防火墙管理功能。
具体命令如下:
Get-NetFirewallRule | Format-Table -AutoSize列出所有防火墙规则
Get-NetFirewallRule -DisplayName "规则名称DisplayName" | Format-List *列出指定名称的防火墙规则的参数信息
Get-NetFirewallRule -DisplayName "Software Fix" | Select-Object -Property 属性名查询指定名称的防火墙规则的某个属性,适用于以上列表中没有列出的参数
防火墙规则操作
可以通过 netsh advfirewall firewall 实现如下操作:
| 参数 | 说明 |
| show | 显示指定的防火墙规则。 |
| set | 为现有规则的属性设置新值。 |
| help | 显示命令列表。 |
| dump | 显示一个配置脚本。 |
| delete | 删除所有匹配的防火墙规则。 |
| add | 添加新入站或出站防火墙规则。 |
添加防火墙规则:netsh advfirewall firewall add rule
删除防火墙规则:netsh advfirewall firewall delete rule
例如:
netsh advfirewall firewall add rule name="block 445" protocol=TCP dir=in localport=445 action=block阻止445端口上所有TCP连接
netsh advfirewall firewall delete rule name="block 445" protocol=TCP dir=in localport=445移除上述规则
添加防火墙规则,需要注意以下事项:
1.将新的入站或出站规则添加到防火墙策略。
2.规则名称应该是唯一的,且不能为 "all"。
3.如果已指定远程计算机或用户组,则 security 必须为authenticate、authenc、authdynenc 或 authnoencap。
4.为 authdynenc 设置安全性可允许系统动态协商为匹配给定 Windows Defender 防火墙规则的通信使用加密。根据现有连接安全规则属性协商加密。选择此选项后,只要入站 IPsec 连接已设置安全保护,但未使用 IPsec 进行加密,计算机就能够接收该入站连接的第一个 TCP 或UDP 包。一旦处理了第一个数据包,服务器将重新协商连接并对其进行升级,以便所有后续通信都完全加密。
5.如果 action=bypass,则 dir=in 时必须指定远程计算机组。
6.如果 service=any,则规则仅应用到服务。
7.ICMP 类型或代码可以为 "any"。
8.Edge 只能为入站规则指定。
9.AuthEnc 和 authnoencap 不能同时使用。
10.Authdynenc 仅当 dir=in 时有效。
11.设置 authnoencap 后,security=authenticate 选项就变成可选参数。
总结
上面介绍这么多其实只是在具体的介绍防火墙内部的配置参数等信息,如果需要了解可以自己亲自查看操作一番,但也不用太担心,我们平时安装的软件都会在防火墙上做配置,当有异常情况电脑会提醒是否需要软件接入网络,所以我们平时只要不乱安装不认识的软件就可以,我们也可以按照下面的方式阻止电脑被植入后门:
1. 设置强密码和定期更换密码
设置一个强密码,并定期更换密码,确保账户安全。在Windows操作系统中,可以通过控制面板选择用户账户,然后选择更改账户类型和更改账户名称来修改本地登录账号和密码。
2. 设置屏幕自动保护
设置屏幕自动保护的等待时间为5-10分钟,并在恢复时使用密码保护。进入电脑设置,选择个性化,找到锁屏界面,点击屏幕保护程序设置,设置等待时间为5-10分钟,并勾选在恢复时显示登录屏幕
3. 关闭远程桌面连接
在设置中选择系统,找到远程桌面选项,选择关闭远程桌面连接。
4. 禁用高危端口
关闭135、137、138、139、445和3389等高危端口。在控制面板中选择Windows Defender 防火墙,选择高级设置,进入高级设置页面,点击左边的入站规则,新建规则并选择端口进行禁用。
5. 取消文件夹隐藏共享
在默认状态下,Windows系统会开启所有分区的隐藏共享,这会给网络安全带来隐患。可以通过修改注册表编辑器,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,取消共享。
6. 封死黑客的“后门”
通过注册表编辑器禁止IPC共享,删除不必要的协议,屏蔽139、445等端口。具体操作包括在注册表中设置RestrictAnonymous的键值为00000001,删除IPC、admin、C、D$等共享,并通过新建规则屏蔽相关端口
通过以上措施,可以有效阻止电脑被植入后门,提高电脑的安全性。
【END】
往期精彩合集
●
●
●
●
●
●
●
●
●
●
长
按
关
注
联想GIC全球安全实验室(中国)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...