windows自带的防火墙实际上已经推出十多年了，很多人对windows自带的各种组件都有一种傲慢的轻视，认为系统自带的组件不专业、很鸡肋。这个印象可能从windows9x年代附件中的：写字板、画笔、录音机、扫雷游戏等弱鸡功能延续至今。

其实时至今日windows自带的很多功能都非常优秀，例如：onedrive（网盘）、edge浏览器、杀毒软件和我们今天要重点介绍的系统防火墙——WindowsDefender。

坦白的说在民用桌面级应用上，这个防火墙通常给人的印象是——正事儿帮不了什么，倒忙却帮了不少，很多人索性就直接禁用了，如果你是民用桌面级应用，这个东西对你帮助确实不大。我这个设置主要是给服务器用户、云桌面用户提供的一点思路，正题开始——

防火墙从根儿上说其实就两大功能：

1、流量保护：防止洪水攻击（比如：dDos）之类的。

2、端口管理：拦截或放行特定的端口（程序）

windows自带的防火墙，对流量防护确实不如硬件防火墙给力，这也很好理解。但自带的防火墙对端口管理确实非常好用，主要是配置简单、效果明显；一般人不一定能搞得定专业防火墙的命令行，但绝对能轻松上手图形化的windows防火墙。

如果从攻击比例上来说：使用端口扫码、端口漏洞攻击的，要远远大于dDos攻击，一个是大概率事件一个是小概率事件，本文就从大概率事件——windows防火墙配置来预防端口攻击进行讲解：

很多人的windows防火墙是这样的——

windows系统默认防火墙

密密匝匝几百项规则，自己需要啥规则就加啥规则，里面系统自带的规则从来也不敢乱碰，最后导致规则目录一团糟。前面开了某个端口，后面又封了某个端口，各种矛盾配置叠加，不但没有什么安全可言，也无法进行有效管理和维护。

解决方案很简单：下手快准狠——全选、全删，然后留下自己需要的规则即可。如下图——

是不是觉得瞬间清爽了很多？其实这主要解决了两个问题：防止规则冲突，矛盾的规则会消耗算力，最重要是好管理。其实从服务器角度看，对外开放的端口是极其有限的，清爽的条目会大大节约运维时的成本，有效降低配置漏洞。

至于开哪些常用端口，自己去搜索，各种端口字典数不胜数，重要提示：

1、端口规则全删之前要保留远程桌面端口（3389），否则你可能被关门外，配置防火墙之前要有一个好习惯——打开一个备用连接（VNC），防止你被关到门外还能翻窗进去。

2、全删以后就意味着6万多个端口全部关闭，你需要哪个开哪个。

3、如果你需要局域网共享文件的话，也别担心预设规则没有了，导致你无法共享文件——添加一个规则，设置445、139端口即可，至于其他的共享端口，其实是一些辅助功能，例如：全局发现、ping等

4、如果你想单独开通ping功能：你可以添加一个ICMP协议的规则，如下图：

添加ICMP（允许ping）

添加ICMP（允许ping）

用这个思路你赶快整理你的windows防火墙吧，让你的服务器安全大门更加坚固稳定。