跳至主内容

通用 防火墙 Windows服务器规则

启用防火墙前请确保策略规则集符合服务器流量需求。该规则集应涵盖防火墙模块及服务器操作系统内各类组件所使用的核心网络端口、协议和服务,同时包含基于服务器的应用程序。

注意

端口号的分配并不意味着对应用程序或产品的认可,网络流量流向或来自注册端口的事实并不表明它是“安全”流量,也不一定与分配的服务相对应。

防火墙和系统管理员应根据对相关流量的了解来选择如何配置系统,而不是根据是否有注册端口号。

在激活防火墙之前,建议管理员全面评估并建立授权或限制特定形式网络通信的规则,同时考虑系统的安全和操作需求。这包括评估服务器及其应用程序所需的通信模式。

重要

在分段网络中,根据您提供的服务,可能需要允许以下一个或多个规则和协议以实现网络连接。端口可能在将来发生变化,或者底层服务可能被定制为使用其他端口。要了解更多关于分配给特定已知应用程序的端口信息,您可以访问 IANA.org .

有关Microsoft客户端和服务器操作系统、基于服务器的程序及其在Microsoft Windows Server系统中的子组件使用的网络端口、协议和服务的更多详细信息,请访问此 页面 .

下表中提供的规则是建议性的。为您的特定应用程序使用正确的规则至关重要。

应用程序

本地端口

远程端口

协议

路径

方向

描述

允许 svchost.exe

1024-65535

任意

UDP / TCP

%system%\svchost.exe

双向

允许接受出站系统流量。

允许 系统

1024-65535

任意

UDP/TCP

系统

双向

允许Windows子系统访问网络资源。

允许 lsass

1024-65535

1024-65535

TCP

%system%\lsass.exe

双向

允许本地安全认证子系统服务(LSASS)访问网络资源。

允许 spoolsv

1024-65535

53

UDP/TCP

%system%\spoolsv.exe

双向

允许打印后台处理程序服务连接网络资源。

允许 explorer

1024-65535

53 / 135

UDP/TCP

%windir%\explorer.exe

双向

允许打印后台处理程序服务连接网络资源。

允许 alg.exe 用于DNS及TCP协议

1024-65535

53

UDP/TCP

%system%\alg.exe

两者

允许应用层网关服务连接网络资源。

允许 mcx2prov 在特定端口上

1024-65535

53

UDP

%windir%\ehome\mcx2prov.exe

两者

允许MCX2配置库流量(通常用于Microsoft媒体服务器)访问网络资源。

允许 ehshell 在特定端口上。

1024-65535

53

UDP

%windir%\ehome\ehshell.exe

两者

允许MCX2配置库流量(通常用于Microsoft媒体服务器)访问网络资源。

允许 svchost.exe 用于DNS

53

1024-65535

TCP

%system%\svchost.exe

两者

允许接收传入的系统流量。

允许 svchost 用于DNS

53

1024-65535

UDP/TCP

%system%\svchost.exe

两者

允许接收传入的DNS流量。

允许 svchost.exe 用于DHCP

67

68

UDP

%system%\svchost.exe

两者

允许接收传入的DHCP流量。

允许 svchost.exe 用于DHCP

68

67

UDP

%system%\svchost.exe

两者

允许接收传入的DHCP流量。

允许 lsass 用于kerberos

88

1024-65535

任意

%system%\lsass.exe

两者

允许本地安全机构子系统服务(LSASS)访问网络资源。

允许 svchost 用于NTP

123

88

UDP

%system%\svchost.exe

两者

允许接收传入的NTP流量。

允许 svchost 用于epmap

135

任意

TCP

%system%\svchost.exe

两者

允许接收传入的Microsoft EPMAP流量。

允许 系统 用于epmap

135

任意

TCP

系统

双向

允许接受传入的DCE服务流量。

允许 系统 用于netbios-ns

137

137

UDP

系统

双向

允许接受传入的NETBIOS流量。

允许 系统 用于netbios-dgm

138

138

UDP

系统

双向

允许接受传入的NETBIOS数据报服务流量。

允许 系统 用于netbios-ssn

139

任意

TCP

系统

双向

允许传入的NETBIOS会话服务流量被接受。

允许 系统 用于microsoft-ds

445

任意

TCP

系统

双向

允许传入的Microsoft DS Active Directory SMB服务被接受。

允许 svchost 用于ISAKMP/IKE

500

500

UDP

%system%\svchost.exe

双向

允许ISAKMP/IKE流量被接受。

允许 系统 用于ISAKMP/IKE

500

1024-65535

UDP

系统

两者

允许接收ISAKMP/IKE流量。

允许 lsass 用于L2F

500

500

UDP

%system%\lsass.exe

两者

允许本地安全认证子系统服务(LSASS)访问网络资源。

允许 svchost 用于L2TP

1701

1701

UDP

%system%\svchost.exe

两者

允许接收L2TP流量。

允许 系统 用于NTP

1701

1024-65535

UDP

系统

两者

允许接收L2TP流量。

允许 系统 用于PPTP

1723

1024-65535

TCP

系统

双向

允许接受PPTP流量

允许 svchost 用于SSDP

1900

任意

UDP

%system%\svchost.exe

双向

允许接受传入的SSDP流量

允许 svchost 用于qWave

2177

任意

UDP/TCP

%system%\svchost.exe

双向

允许接受传入的qWave流量

允许RDP

3389

任意

UDP

任意

双向

允许接收传入的RDP流量。

允许 系统 用于ms-wbt-server

3389

3389

TCP

系统

双向

允许传入RDP流量。

允许 svchost 用于及dsc

3390

任意

TCP

%system%\svchost.exe

双向

允许接收传入的RDP流量。

允许 svchost 用于及ipsec-nat-t

4500

4500

UDP

%system%\svchost.exe

双向

允许接收IPSec NAT穿透流量。

允许 系统 用于IPSec NAT穿越

4500

1024-65535

UDP

系统

两者

允许接受IPSec NAT穿越流量。

本节内容 :