具有 進 階 安全性的 Windows 防火牆

跳到主要內容

已不再支援此瀏覽器。

請升級至 Microsoft Edge，以利用最新功能、安全性更新和技術支援。

Windows Defender防火牆與進階安全性設計指南

• 發行項
• 10/26/2022
• 適用於:✅ Windows 10, ✅ Windows 11, ✅ Windows Server 2016, ✅ Windows Server 2019, ✅ Windows Server 2022

本文內容

Windows Defender具有進階安全性的防火牆是主機防火牆，可透過兩種方式協助保護裝置。 首先，它可以篩選允許從網路輸入裝置的網路流量，也可以控制允許裝置傳送至網路的網路流量。 其次，Windows Defender防火牆支援 IPsec，可讓您從嘗試與裝置通訊的任何裝置要求驗證。 需要驗證時，無法驗證的裝置就無法與您的裝置通訊。 使用 IPsec，您也可以要求加密特定的網路流量，以防止在裝置之間傳輸時讀取或攔截該流量。

與 Windows Defender 防火牆主控台中找到的方便取用者介面相比，Windows Defender防火牆的介面更有功能且更有彈性。 兩者都與相同的基礎服務互動，但提供對這些服務的不同控制層級。 雖然Windows Defender防火牆主控台符合在家庭環境中保護單一裝置的需求，但無法提供足夠的集中式管理或安全性功能來協助保護在一般商務企業環境中找到的更複雜網路流量。

如需詳細概觀資訊，請參閱使用進階安全性Windows Defender防火牆。

關於本指南

本指南提供的建議可協助您選擇或建立設計，以在企業環境中部署Windows Defender防火牆。 本指南說明使用 Windows Defender 防火牆的一些常見目標，然後協助您將套用至案例的目標對應至本指南中所呈現的設計。

本指南適用于已獲指派在組織網路上部署防火牆和 IPsec 技術工作的 IT 專業人員，以協助達成組織的安全性目標。

Windows Defender防火牆應是實作各種安全性技術的全方位安全性解決方案的一部分，例如周邊防火牆、入侵偵測系統、虛擬私人網路 (VPN) 、無線和有線連線的 IEEE 802.1X 驗證，以及 IPsec 連線安全性規則。

若要成功使用本指南，您必須充分瞭解 Windows Defender 防火牆所提供的功能，以及如何使用 Active Directory 中的 群組原則，將組態設定傳遞至受管理的裝置。

您可以使用實作目標來形成下列其中一個Windows Defender防火牆與進階安全性設計，或是結合這些目標元素的自訂設計，如下所示：

• 基本防火牆原則設計。 將進出裝置的網路流量限制為僅限需要和授權的網路流量。

• 網域隔離原則設計。 防止屬於網域成員的裝置從非網域成員的裝置接收未經要求的網路流量。 您可以建立更多「區域」來支援某些裝置的特殊需求，例如：

  • 裝置的「界限區域」，必須能夠接收來自非隔離裝置的要求。

  • 「加密區域」，適用于儲存必須在網路傳輸期間保護之敏感性資料的裝置。

• 伺服器隔離原則設計。 將伺服器的存取限制為只有一組有限的授權使用者和裝置。 此伺服器通常可設定為網域隔離設計中的區域，但也可以設定為獨立設計，為一小組裝置提供網域隔離的許多優點。

• 憑證型隔離原則設計。 此設計是前兩個設計之一的補充，並支援其任何功能。 它會使用部署至用戶端和伺服器進行驗證的密碼編譯憑證，而不是預設在 Active Directory 中使用的 Kerberos V5 驗證。 此設計可讓不屬於 Active Directory 網域的裝置，例如執行 Windows 以外的作業系統的裝置，參與隔離解決方案。

除了每個設計的描述和範例之外，您還會找到收集環境相關必要資料的指導方針。 然後，您可以使用這些指導方針來規劃和設計Windows Defender防火牆與進階安全性部署。 閱讀本指南，並完成收集、記錄和對應組織需求之後，您會取得使用 Windows Defender 防火牆與進階安全性部署指南》中的指引開始部署Windows Defender防火牆所需的資訊。

您可以在下列位置找到Windows Defender防火牆與進階安全性部署指南：

• Windows Defender防火牆與進階安全性部署指南

• (可下載的 Word 檔)

本節內容

本指南中使用的術語

下表識別並定義本指南中使用的詞彙。

下一步：瞭解具有進階安全性設計程式的Windows Defender防火牆