通用 防火墙 Windows服务器规则
激活防火墙前,请确保策略规则集符合服务器流量需求。该规则集应涵盖防火墙模块及服务器操作系统中各类组件所使用的必要网络端口、协议和服务,同时包括基于服务器的应用程序。
注意
端口号分配不意味着对应用程序或产品的认可,且网络流量经由注册端口传输并不代表其"安全",也不一定与分配的服务相对应。
防火墙和系统管理员应根据对相关流量的了解来配置系统,而非依据端口号是否注册。
启用防火墙前,建议管理员全面评估并制定授权或限制特定网络通信的规则,需兼顾系统安全性与运行需求。这包括评估服务器及其应用程序所需的通信模式。
重要提示
在分段网络中,根据您提供的服务,可能需要允许以下一项或多项规则和协议以实现网络连接。端口可能在未来变更,或底层服务可能被自定义为使用其他端口。要了解特定已知应用程序分配的端口详情,可访问 IANA.org .
有关微软客户端和服务器操作系统、基于服务器的程序及其在Microsoft Windows Server系统中的子组件所使用的网络端口、协议和服务的更多详细信息,请访问此 页面 .
下表中提供的规则为建议项。为您的具体应用程序使用正确的规则至关重要。
|
应用程序 |
本地端口 |
远程端口 |
协议 |
路径 |
方向 |
描述 |
|---|---|---|---|---|---|---|
|
允许
|
1024-65535 |
任意 |
UDP/TCP |
%system%\svchost.exe |
双向 |
允许接受传出的系统流量。 |
|
允许
|
1024-65535 |
任意 |
UDP/TCP |
系统 |
双向 |
允许Windows子系统访问网络资源。 |
|
允许
|
1024-65535 |
1024-65535 |
TCP |
%system%\lsass.exe |
两者 |
允许本地安全认证子系统服务(LSASS)访问网络资源。 |
|
允许
|
1024-65535 |
53 |
UDP/TCP |
%system%\spoolsv.exe |
两者 |
允许打印后台处理程序服务连接网络资源。 |
|
允许
|
1024-65535 |
53 / 135 |
UDP/TCP |
%windir%\explorer.exe |
两者 |
允许打印后台处理程序服务连接网络资源。 |
|
允许
|
1024-65535 |
53 |
UDP/TCP |
%system%\alg.exe |
双向 |
允许应用层网关服务访问网络资源。 |
|
允许
|
1024-65535 |
53 |
UDP |
%windir%\ehome\mcx2prov.exe |
双向 |
允许MCX2配置库流量(通常用于Microsoft媒体服务器)访问网络资源。 |
|
允许
|
1024-65535 |
53 |
UDP |
%windir%\ehome\ehshell.exe |
双向 |
允许MCX2配置库流量(通常用于Microsoft媒体服务器)访问网络资源。 |
|
允许
|
53 |
1024-65535 |
TCP |
%system%\svchost.exe |
双向 |
允许接收传入的系统流量。 |
|
允许
|
53 |
1024-65535 |
UDP/TCP |
%system%\svchost.exe |
双向 |
允许接收传入的DNS流量。 |
|
允许
|
67 |
68 |
UDP |
%system%\svchost.exe |
双向 |
允许接收传入的DHCP流量。 |
|
允许
|
68 |
67 |
UDP |
%system%\svchost.exe |
双向 |
允许接收传入的DHCP流量。 |
|
允许
|
88 |
1024-65535 |
任意 |
%system%\lsass.exe |
双向 |
允许本地安全机构子系统服务(LSASS)访问网络资源。 |
|
允许
|
123 |
88 |
UDP |
%system%\svchost.exe |
双向 |
允许接收传入的NTP流量。 |
|
允许
|
135 |
任意 |
TCP |
%system%\svchost.exe |
双向 |
允许接收传入的Microsoft EPMAP流量。 |
|
允许
|
135 |
任意 |
TCP |
系统 |
双向 |
允许传入的DCE服务流量被接受。 |
|
允许
|
137 |
137 |
UDP |
系统 |
双向 |
允许传入的NETBIOS流量被接受。 |
|
允许
|
138 |
138 |
UDP |
系统 |
双向 |
允许传入的NETBIOS数据报服务流量被接受。 |
|
允许
|
139 |
任意 |
TCP |
系统 |
双向 |
允许传入的NETBIOS会话服务流量被接受。 |
|
允许
|
445 |
任意 |
TCP |
系统 |
双向 |
允许接收传入的Microsoft DS Active Directory SMB服务流量。 |
|
允许
|
500 |
500 |
UDP |
%system%\svchost.exe |
双向 |
允许接收ISAKMP/IKE流量。 |
|
允许
|
500 |
1024-65535 |
UDP |
系统 |
双向 |
允许接收ISAKMP/IKE流量。 |
|
允许
|
500 |
500 |
UDP |
%system%\lsass.exe |
双向 |
允许本地安全机构子系统服务(LSASS)访问网络资源。 |
|
允许
|
1701 |
1701 |
UDP |
%system%\svchost.exe |
双向 |
允许接受L2TP流量。 |
|
允许
|
1701 |
1024-65535 |
UDP |
系统 |
双向 |
允许接受L2TP流量。 |
|
允许
|
1723 |
1024-65535 |
TCP |
系统 |
两者 |
允许接受PPTP流量。 |
|
允许
|
1900 |
任意 |
UDP |
%system%\svchost.exe |
两者 |
允许接受传入的SSDP流量。 |
|
允许
|
2177 |
任意 |
UDP/TCP |
%system%\svchost.exe |
两者 |
允许接受传入的qWave流量。 |
|
允许RDP |
3389 |
任意 |
UDP |
任意 |
两者 |
允许接受传入的RDP流量。 |
|
允许
|
3389 |
3389 |
TCP |
系统 |
双向 |
允许传入RDP流量。 |
|
允许
|
3390 |
任意 |
TCP |
%system%\svchost.exe |
双向 |
允许接受传入RDP流量。 |
|
允许
|
4500 |
4500 |
UDP |
%system%\svchost.exe |
双向 |
允许接受IPSec NAT穿越流量。 |
|
允许
|
4500 |
1024-65535 |
UDP |
系统 |
双向 |
允许接受IPSec NAT穿越流量。 |