通用 防火墙 Windows服务器规则
启用防火墙前,请确保策略规则集符合服务器的流量需求。该规则集应涵盖防火墙模块及服务器操作系统中各类组件所使用的必要网络端口、协议和服务,同时包括基于服务器的应用程序。
注意
端口号分配并不意味着对应用程序或产品的认可,且网络流量流向或来自注册端口的事实,并不表明该流量是"安全"的,也不一定与分配的服务相对应。
防火墙和系统管理员应根据对相关流量的了解来配置系统,而非仅依据端口号是否注册。
启用防火墙前,建议管理员全面评估并制定授权或限制特定网络通信形式的规则,同时考虑系统的安全性和操作需求。这包括评估服务器及其应用程序所需的通信模式。
重要提示
在分段网络中,根据您提供的服务,可能需要允许以下一个或多个规则和协议以实现网络连接。端口可能在未来变更,或基础服务可能被自定义为使用其他端口。要了解特定已知应用程序分配的端口,请访问 IANA.org .
有关Microsoft客户端和服务器操作系统、基于服务器的程序及其在Microsoft Windows Server系统中的子组件所使用的网络端口、协议和服务的更多详情,请访问此 页面 .
下表中提供的规则为建议性内容。根据具体应用程序选用正确的规则至关重要。
|
应用程序 |
本地端口 |
远程端口 |
协议 |
路径 |
方向 |
描述 |
|---|---|---|---|---|---|---|
|
允许
|
1024-65535 |
任意 |
UDP/TCP |
%system%\svchost.exe |
双向 |
允许接受传出的系统流量。 |
|
允许
|
1024-65535 |
任意 |
UDP/TCP |
系统 |
双向 |
允许Windows子系统访问网络资源。 |
|
允许
|
1024-65535 |
1024-65535 |
TCP |
%system%\lsass.exe |
双向 |
允许本地安全认证子系统服务(LSASS)访问网络资源。 |
|
允许
|
1024-65535 |
53 |
UDP/TCP |
%system%\spoolsv.exe |
双向 |
允许打印后台处理服务连接网络资源。 |
|
允许
|
1024-65535 |
53 / 135 |
UDP/TCP |
%windir%\explorer.exe |
双向 |
允许打印后台处理服务连接网络资源。 |
|
允许
|
1024-65535 |
53 |
UDP/TCP |
%system%\alg.exe |
双向 |
允许应用层网关服务访问网络资源。 |
|
允许
|
1024-65535 |
53 |
UDP |
%windir%\ehome\mcx2prov.exe |
两者 |
允许MCX2配置库流量(通常用于Microsoft媒体服务器)访问网络资源。 |
|
允许
|
1024-65535 |
53 |
UDP |
%windir%\ehome\ehshell.exe |
两者 |
允许MCX2配置库流量(通常用于Microsoft媒体服务器)访问网络资源。 |
|
允许
|
53 |
1024-65535 |
TCP |
%system%\svchost.exe |
两者 |
允许接收传入的系统流量。 |
|
允许
|
53 |
1024-65535 |
UDP/TCP |
%system%\svchost.exe |
双向 |
允许接收传入的DNS流量 |
|
允许
|
67 |
68 |
UDP |
%system%\svchost.exe |
双向 |
允许接收传入的DHCP流量 |
|
允许
|
68 |
67 |
UDP |
%system%\svchost.exe |
双向 |
允许接收传入的DHCP流量 |
|
允许
|
88 |
1024-65535 |
任意 |
%system%\lsass.exe |
双向 |
允许本地安全机构子系统服务(LSASS)访问网络资源。 |
|
允许
|
123 |
88 |
UDP |
%system%\svchost.exe |
双向 |
允许接收传入的NTP流量。 |
|
允许
|
135 |
任意 |
TCP |
%system%\svchost.exe |
双向 |
允许接收传入的微软端点映射流量。 |
|
允许
|
135 |
任意 |
TCP |
系统 |
双向 |
允许接收传入的DCE服务流量。 |
|
允许
|
137 |
137 |
UDP |
系统 |
双向 |
允许接收传入的NETBIOS流量。 |
|
允许
|
138 |
138 |
UDP |
系统 |
双向 |
允许接收传入的NETBIOS数据报服务流量。 |
|
允许
|
139 |
任意 |
TCP |
系统 |
双向 |
允许接收传入的NETBIOS会话服务流量。 |
|
允许
|
445 |
任意 |
TCP |
系统 |
双向 |
允许接受传入的Microsoft DS Active Directory SMB服务。 |
|
允许
|
500 |
500 |
UDP |
%system%\svchost.exe |
双向 |
允许接受ISAKMP/IKE流量。 |
|
允许
|
500 |
1024-65535 |
UDP |
系统 |
双向 |
允许接受ISAKMP/IKE流量。 |
|
允许
|
500 |
500 |
UDP |
%system%\lsass.exe |
双向 |
允许本地安全认证子系统服务(LSASS)访问网络资源。 |
|
允许
|
1701 |
1701 |
UDP |
%system%\svchost.exe |
两者 |
允许接收L2TP流量。 |
|
允许
|
1701 |
1024-65535 |
UDP |
系统 |
两者 |
允许接收L2TP流量。 |
|
允许
|
1723 |
1024-65535 |
TCP |
系统 |
两者 |
允许接收PPTP流量。 |
|
允许
|
1900 |
任意 |
UDP |
%system%\svchost.exe |
双向 |
允许传入SSDP流量被接受。 |
|
允许
|
2177 |
任意 |
UDP/TCP |
%system%\svchost.exe |
双向 |
允许传入qWave流量被接受。 |
|
允许RDP |
3389 |
任意 |
UDP |
任意 |
双向 |
允许传入RDP流量被接受。 |
|
允许
|
3389 |
3389 |
TCP |
系统 |
双向 |
允许传入RDP流量。 |
|
允许
|
3390 |
任意 |
TCP |
%system%\svchost.exe |
双向 |
允许接受传入的RDP流量。 |
|
允许
|
4500 |
4500 |
UDP |
%system%\svchost.exe |
双向 |
允许接受IPSEC NAT穿越流量。 |
|
允许
|
4500 |
1024-65535 |
UDP |
系统 |
双向 |
允许接受IPSEC NAT穿越流量。 |