Windows防火墙：“Windows允许应用或功能通过Windows Defender防火墙”与“入站规则、出站规则”优先级（注意：“出站规则”限制对象是“目标端口”而非“源端口”）明确拒绝优先原则

Windows Defender 防火墙规则优先级详解

Windows Defender 防火墙是一种在 Windows 操作系统中内置的安全组件，旨在帮助用户阻止未授权的网络访问，同时允许已批准的通信通过。为了实现这一目标，它允许用户和管理员创建入站规则和出站规则。这些规则指定了哪些类型的网络流量可以进入或离开计算机。然而，在处理众多规则时，理解这些规则之间的优先级变得至关重要。

规则概述

入站规则

入站规则控制外部源向您的计算机发送的数据包。它们决定了哪些服务或应用可以接收来自网络的连接请求。

出站规则

相对地，出站规则管理从您的计算机到网络的数据包。这些规则定义了哪些应用或服务可以初始化对外的连接。

设置出站规则时指定端口是什么意思？

设置出站规则时指定端口是为了控制本机应用程序或服务通过特定的网络协议和端口号与外部世界进行通信的能力。虽然在网络通信中，连接似乎主要由访问外部主机的某个端口来实现，但实际上，每次通信都涉及到“源端口”和“目标端口”。

• 目标端口：你试图与之通信的远程服务或应用监听的端口。例如，当你浏览网页时，你的浏览器通常会尝试通过连接远程服务器的端口80（HTTP）或443（HTTPS）来访问。
• 源端口：是发起通信的本地计算机用来标识这个特定会话的端口。源端口通常是随机分配的，用于接收回应消息。

出站规则中指定端口的意义

在出站规则中指定端口有几个关键原因：

1. 限制特定类型的流量：某些应用程序可能需要访问互联网上的特定服务，这些服务侦听在预定义的端口上。通过在出站规则中明确指定允许使用哪些端口，管理员可以精细控制哪些类型的网络流量被允许离开本机。

2. 提高安全性：通过仅允许已知安全的端口和应用程序进行出站连接，可以减少恶意软件或攻击者利用其他端口进行数据泄露或建立命令和控制通道的风险。

3. 合规和审计：在某些行业中，对外部通信有严格的合规要求。通过限制哪些端口可用于出站通信，组织可以更容易地遵守这些规定，并为审计提供必要的记录。

4. 网络性能管理：某些类型的出站流量可能消耗大量带宽（例如视频流或大型文件传输）。通过管理允许哪些端口进行通信，可以帮助网络管理员优化网络性能和资源使用。

示例

假设一个组织希望其员工能够通过连接HTTPS（端口443）浏览互联网，但不希望员工连接FTP（端口21）上传文件，因为这可能违反公司的数据策略。管理员可以创建一条出站规则，允许目标端口为443的所有出站连接，并阻止目标端口为21的连接。

注意：“出站规则”的限制对象是“目标端口”而非“源端口”

当我们说“不希望员工使用FTP（端口21）上传文件”时，实际上指的是限制员工使用FTP客户端从他们的计算机（本地主机）连接到任何其他主机（远程服务器）的21端口。这里的限制是通过设置出站规则来实现的，确切地说，是禁止发起到外部服务器21端口的所有出站连接。

FTP协议标准通讯端口为21，这个端口用于控制通道，即客户端和服务器之间传输命令的通道。当一个用户尝试使用FTP客户端软件（如FileZilla、WinSCP等）连接到FTP服务器时，客户端会尝试从其端口发起到服务器21端口的连接。一旦连接建立，用户便可以进行文件的上传和下载操作。

出站规则如何工作

在Windows Defender防火墙或类似的网络防火墙中设置出站规则，以禁止目标端口为21的流量，实际上就是阻止了所有试图通过这个端口与外部服务器建立FTP连接的尝试。这种做法确保了无论员工使用哪款FTP客户端软件，只要尝试通过标准的FTP端口（21端口）与外部FTP服务器建立连接，该连接都会被防火墙拦截和阻止。

示例规则配置

例如，在Windows Defender防火墙中，管理员可以按照以下步骤创建一个出站规则：

1. 打开“Windows Defender 防火墙”并选择“高级设置”。
2. 在左侧面板中选择“出站规则”，然后点击右侧的“新建规则…”。
3. 选择“端口”作为规则类型，然后点击“下一步”。
4. 选择“TCP”，并指定“特定本地端口”，在输入框中填写“21”，然后点击“下一步”。
5. 选择“阻止连接”，然后继续按提示完成规则的创建和命名。

通过这样的配置，管理员有效地禁止了内网用户通过标准FTP端口（21端口）向外部服务器上传文件，这有助于防止数据泄露和确保网络安全。需要注意的是，FTP也可以配置为运行在非标准端口上，而且还存在其他文件传输协议（如SFTP、FTPS），它们使用不同的端口（如SFTP默认端口是22）。因此，如果目标是广泛阻止文件上传，可能需要考虑更全面的策略。

规则优先级

当多条规则可能适用于同一数据包时，Windows Defender 防火墙如何决定采取哪种行动？答案在于理解规则优先级。

1. 明确拒绝优先原则

在大多数情况下，“明确拒绝"优先于"允许”。如果存在任何规则明确拒绝某个连接，即使有其他规则允许该连接，那么该连接也将被阻止。

这里有一个示例，里面记录了“禁用本地应用通过防火墙”优先于“允许出入站规则”的事例：

参考文章：auto.js教程（autojs教程、autox.js、autoxjs）笔记（二）环境搭建——5、autojs插件安装和使用

此处对应用的限制将优先与入站出站规则：

2. 优先级排序

如果没有"明确拒绝"的规则，Windows Defender 防火墙会根据以下顺序处理规则：

• 本地规则：直接在设备上配置的规则。
• 组策略规则：通过组策略（例如，在企业环境中）配置的规则。
• 默认规则：Windows Defender 防火墙内置的规则。

在每一类别内，更具体的规则（即匹配条件更多的规则）将优先于更泛化的规则。

示例场景与解析

假设有以下规则集合：

• 规则 A（入站规则）：允许 IP 地址为 192.168.1.5 的计算机通过端口 80 连接。
• 规则 B（入站规则）：拒绝所有计算机通过端口 80 连接。
• 规则 C（出站规则）：允许所有连接到外部端口 443 的 HTTPS 流量。
• 规则 D（出站规则）：拒绝连接到 IP 地址为 203.0.113.1 的外部服务器。

场景分析

• 情景 1：IP 地址为 192.168.1.5 的计算机尝试通过端口 80 连接到您的计算机。

  尽管规则 A 允许此连接，但由于规则 B 明确拒绝了所有通过端口 80 的连接，根据"明确拒绝优先原则"，连接将被阻止。

• 情景 2：您的计算机尝试连接到 IP 地址为 203.0.113.1 的服务器，使用 HTTPS 协议（端口 443）。

  虽然规则 C 允许所有到端口 443 的出站 HTTPS 流量，但规则 D 明确拒绝了到特定 IP 地址的连接。因此，这次尝试将被阻止。

结论

理解 Windows Defender 防火墙规则及其优先级对于配置和维护网络安全策略至关重要。管理员应仔细规划规则设置，以确保它们既满足安全需求，又不会无意中阻止合法的网络活动。在设计规则时，应记住"明确拒绝优先原则"和规则的具体性，这将帮助避免潜在的冲突，并确保预期的网络流量能够顺畅进行。