公司刚升级了服务器,IT小李接到任务:必须确保财务部门的电脑只能访问指定的几台内网服务器,其他流量一律拦截。他打开Windows防火墙高级设置,开始配置域网络防火墙规则——这是企业内网安全最常用也最关键的手段之一。
什么是域网络防火墙规则?
当你在公司登录电脑,系统识别到已连接到企业域(Domain)时,就会自动应用“域”配置文件下的防火墙规则。这类规则不同于公用或私有网络的设置,它由管理员集中管理,能精确控制哪些设备、端口、协议可以通信。
比如,HR系统的数据库只允许人事部的IP段访问,其他部门哪怕知道地址也连不上。这就是靠域网络防火墙规则实现的隔离。
如何创建一条基本规则?
以Windows Server环境为例,打开“高级安全 Windows 防火墙”,选择“入站规则”→“新建规则”。假设要允许192.168.10.0/24网段访问Web服务(端口80):
操作:允许连接
规则类型:自定义
程序:所有程序
协议类型:TCP
本地端口:80
远程IP地址:192.168.10.0 - 192.168.10.255
配置文件:仅勾选“域”
名称:允许内网访问Web服务保存后,这条规则立即生效。外部网络或非授权子网尝试访问80端口时,会被直接阻断。
阻止高风险端口传播病毒
某天公司内一台电脑中了勒索软件,试图通过445端口横向扩散。幸好防火墙设置了域级别出站限制:
操作:阻止连接
协议类型:TCP
本地端口:445
远程IP地址:除了文件服务器IP外的所有地址
配置文件:域
名称:限制SMB横向移动这一条规则拦住了大部分感染路径。很多企业事故复盘发现,没关不必要的端口是问题根源。
结合组策略批量部署
手动给每台电脑设规则不现实。通常管理员会用组策略(GPO)将防火墙规则推送到整个OU(组织单位)。例如,为开发组开放3389远程桌面,但仅限从跳板机发起:
远程IP:10.1.5.100 (跳板机IP)
本地端口:3389
作用对象:Dev Computers OU
配置文件:域这样既满足运维需求,又避免暴露风险。
域网络防火墙规则不是摆设,它是内网防御的核心防线。合理设置,能让攻击者即使进入内网也寸步难行。