防火墙是网络通信的“守门人”,核心功能包括:一、监控过滤流量,基于IP、端口、协议等实时决策;二、隔离内外网,通过有状态检测维持合法会话;三、按进程控制应用联网权限;四、记录审计连接日志;五、支持域环境集中策略部署。
如果您正在了解电脑防火墙的基本功能与定位,那么需要明确:防火墙并非仅用于拦截弹窗或杀毒,而是作为网络通信的“守门人”,在数据进出系统前实施策略性审查。以下是对其核心作用的分项说明:
一、监控和过滤网络流量
防火墙持续检查所有传入和传出的数据包,依据预设规则判断其合法性。它不依赖程序签名或文件特征,而是基于IP地址、端口号、协议类型(如TCP/UDP)及连接状态进行实时决策,从而在底层网络层就阻断异常通信。
1、识别并丢弃来源不明的SYN Flood请求包
2、拦截目标端口为135、445等高危服务但未授权访问的入站连接
3、阻止已知恶意C2服务器域名对应的DNS查询响应流量
二、隔离内部与外部网络环境
防火墙在逻辑上构建一道边界屏障,将受信任的本地网络(如家庭局域网、企业内网)与不可信的外部网络(如互联网)隔离开来。该隔离非物理断开,而是通过有状态包检测(Stateful Inspection)维持合法会话,同时拒绝非法初始化连接。
1、对“专用网络”配置允许文件共享与打印机发现,但默认屏蔽外部主动探测
2、对“公用网络”自动启用严格模式,禁用所有入站连接,包括远程桌面和网络发现
3、当设备接入机场Wi-Fi时,系统自动切换至公用配置文件并激活对应规则集
三、限制应用程序网络行为
现代操作系统内置防火墙支持按进程粒度控制联网权限,即决定某个具体程序能否发送或接收数据。这种控制独立于用户账户权限,即使以管理员身份运行,未经放行的应用仍无法建立外连。
1、首次运行未签名的.exe文件时,Windows防火墙弹出提示要求选择“专用网络”或“公用网络”放行
2、在“允许程序通过Windows防火墙”界面中,可单独关闭迅雷、百度网盘等工具的出站权限
3、勾选“私有网络”但取消“公共网络”复选框,实现同一程序在不同场景下的差异化管控
四、记录与审计网络活动
防火墙可将匹配特定规则的数据流写入日志,包括时间戳、源/目的IP、端口、协议、动作(允许/阻止)及规则编号。这些原始记录构成安全事件溯源的基础数据源,可用于识别扫描行为、横向移动痕迹或策略失效点。
1、启用Windows高级安全防火墙的日志功能,在“Windows日志→安全”中查看事件ID 5156(被阻止连接)
2、日志路径默认为%systemroot%\System32\LogFiles\Firewall\pfirewall.log,需手动开启写入权限
3、每条日志行包含字段:日期、时间、动作、协议、源IP、源端口、目的IP、目的端口、规则名称
五、执行集中安全策略
在域环境中,防火墙策略可通过组策略对象(GPO)统一部署至所有加入域的计算机。管理员可定义标准化的入站/出站规则、配置文件状态、日志级别及通知行为,确保终端防护基线一致,避免因本地误操作导致策略缺口。
1、在组策略管理控制台中导航至“计算机配置→策略→Windows设置→安全设置→Windows防火墙与高级安全”
2、新建入站规则,指定应用层协议(如HTTP)、作用域(仅限192.168.10.0/24子网)及用户组(仅限Domain Admins)
3、启用“配置Windows防火墙:保护所有网络连接”策略,强制覆盖本地手动设置
