文章总结： 文档详细阐述了Windows企业域环境下的防火墙策略配置，遵循最小权限与默认拒绝原则。内容覆盖域控制器、成员服务器及客户端的具体端口管控，重点隔离445、135、3389等高危端口以防勒索病毒。提供了详尽的GPO模板与入站出站规则示例，建议启用所有配置文件并严格限制出站流量，是一套可直接落地的安全建设方案。 综合评分： 90 文章分类： 安全建设,解决方案,终端安全,网络安全

---

Windows企业域环境防火墙策略

原创

刘军军 刘军军

运维星火燎原

2026年2月27日 00:00 山西

一、整体安全原则

1. 启用 3 个防火墙配置文件

• 域配置文件（Domain）
• 专用配置文件（Private）
• 公用配置文件（Public）

1. 入站默认：拒绝
2. 出站默认：允许（企业环境更稳定，也可改为拒绝）
3. 只允许：域信任、必要服务、运维端口
4. 严格禁止：公网访问 445、135、3389

---

二、Windows 防火墙全局策略（所有机器必配）

1. 防火墙状态

• 域配置文件：启用
• 专用配置文件：启用
• 公用配置文件：启用

1. 默认操作

• 入站连接：阻止
• 出站连接：允许

1. 必须开启的规则（系统自带）

这些是域运行基础，必须允许：

• 网络发现（NBTS、LLMNR、SMB）
• 文件和打印机共享（SMB）
• 远程桌面（只允许运维/内网）
• 组策略、登录、Kerberos、DNS 相关
• ICMP（ping）

---

三、域控制器（DC）防火墙策略

入站允许（必须）

1. DNS

• UDP 53
• TCP 53

1. Kerberos

• TCP 88
• UDP 88

1. LDAP / LDAPS

• TCP 389
• UDP 389
• TCP 636

1. SMB / CIFS（组策略、登录）

• TCP 445

1. RPC 端点映射

• TCP 135

1. 全局编目

• TCP 3268
• TCP 3269

1. RPC 动态端口

• TCP 49152–65535

1. ICMP（ping）

• 允许内网

入站拒绝

• 公网IP 访问 445、3389、135、389
• 非信任网段访问上述端口

---

四、成员服务器（文件/应用/Web/数据库）

入站允许

1. 域基础

• TCP 135
• TCP 445

1. 远程管理（限运维）

• TCP 3389（仅允许运维网段）

1. 业务端口

• 80、443
• 3389（运维）
• 1433、3306、6379 等（仅内网）

1. ICMP

入站拒绝

• 任何外网/陌生IP 访问 135、139、445、3389

---

五、客户端（Windows 10/11 办公电脑）

入站：极少允许

只允许：

1. 域控制器网段访问

• TCP 135
• TCP 445
• ICMP

1. WSUS / SCCM 端口

• 8530、8531

1. 企业杀毒、EDR 端口

入站拒绝

• 拒绝其他所有入站
• 拒绝外网访问 3389
• 拒绝跨网段访问 445

---

六、企业域最危险端口（必须严格控制）

这些是勒索病毒入口，必须严格限制：

• TCP 445（SMB）

只允许：域内网

拒绝：公网、陌生网段

• TCP 135、139（RPC）

只允许：域内

• TCP 3389（RDP）

只允许：运维IP/堡垒机

• UDP 137、138（NetBIOS）

只允许：内网

---

七、可直接导入的 GPO 防火墙策略模板

你在 组策略管理器 新建 GPO：

计算机配置 → Windows 设置 → 高级安全 Windows 防火墙

1. 允许 ICMP（ping）

名称：Allow ICMP
方向：入站
动作：允许
协议：ICMPv4
远程IP：内网网段（192.168.0.0/16、10.0.0.0/8、172.16.0.0/12）

2. 允许域共享与组策略

名称：Allow Domain SMB
方向：入站
动作：允许
协议：TCP
端口：445
远程IP：域网段

3. 允许远程桌面（仅运维）

名称：Allow RDP
方向：入站
动作：允许
协议：TCP
端口：3389
远程IP：运维网段

4. 禁止外网访问445（全局）

名称：Block 445 Public
方向：入站
动作：阻止
协议：TCP
端口：445
远程IP：任何公网IP

---

八、最简单的落地建议（你直接照做）

1. DC 防火墙

入站默认拒绝 → 只允许内网网段开放域端口

1. 服务器防火墙

入站默认拒绝 → 允许域 + 运维 + 业务端口

1. 客户端防火墙

入站默认拒绝 → 只允许 DC/WSUS/EDR 访问

一套可立刻通过 GPO 下发、企业标准、最安全的Windows 域环境 · 完整防火墙策略（含内网+运维网段+出站严格控制）

只要把里面的 IP 换成你自己的就能用。

1.先定义你的网段（你自己替换）

内网网段（域网段）：192.168.0.0/16
运维网段：         192.168.10.0/24
域控制器网段：     192.168.1.0/24

2.全局统一策略（所有机器：DC + 服务器 + 客户端）

A.  三个防火墙配置文件全部启用

• 域配置文件：启用
• 专用配置文件：启用
• 公用配置文件：启用

B. 认行为（最安全）

• 入站：阻止
• 出站：阻止

（你要求“出站也拒绝”，我给你做最小权限出站）

3.域控制器 DC 防火墙规则（GPO 下发）

入站允许（仅内网）

1. DNS

• 协议：TCP/UDP
• 端口：53
• 远程IP：192.168.0.0/16

1. Kerberos

• TCP/UDP 88
• 远程IP：内网

1. LDAP / LDAPS

• TCP 389、UDP 389
• TCP 636
• 远程IP：内网

1. SMB（组策略）

• TCP 445
• 远程IP：内网

1. RPC 端点映射

• TCP 135
• 远程IP：内网

1. 全局编目

• TCP 3268
• TCP 3269

1. RPC 动态端口

• TCP 49152-65535

1. Ping（ICMP）

• 允许内网

入站阻止

• 阻止 445、3389、135 从外网/任何非信任IP访问

4.成员服务器 防火墙规则

入站允许

1. 域信任（必须）

• TCP 135
• TCP 445
• 远程IP：内网

1. 远程桌面（仅运维）

• TCP 3389
• 远程IP：192.168.10.0/24（运维）

1. 业务端口（你自己加）

• 80、443
• 1433、3306、6379 等
• 远程IP：内网

1. Ping

• 允许内网

入站阻止

• 阻止 445、135、3389 从任何公网IP

5.客户端 PC 防火墙规则（最严格）

入站允许（极少）

1. 域控制器访问（组策略）

• TCP 135
• TCP 445
• 远程IP：域控制器网段 192.168.1.0/24

1. WSUS / SCCM

• 8530
• 8531

1. 杀毒/EDR

• 你自己的端口

1. Ping（仅DC可ping）

入站阻止

• 阻止所有其他入站
• 阻止 3389、445 从非域IP

6.重点：出站也拒绝（严格安全版）

所有机器只允许以下出站：

1. DNS

• UDP 53 → 域DNS

1. NTP

• UDP 123

1. Windows 域服务

• TCP 88（Kerberos）
• TCP 389（LDAP）
• TCP 445（SMB）
• TCP 135

1. Windows 更新 / WSUS

• 8530、8531

1. 上网（如需要）

• TCP 80
• TCP 443

1. 运维

• 允许到运维网段

出站阻止

• 阻止所有其他外联
• 阻止访问恶意IP、匿名端口、挖矿端口、P2P等

7.你可以直接复制的 GPO 规则名称（最实用）

入站

• Allow_DNS_53
• Allow_Kerberos_88
• Allow_LDAP_389
• Allow_SMB_445
• Allow_RPC_135
• Allow_RDP_3389_Only_Admin
• Allow_ICMP_Ping
• Block_445_Public
• Block_3389_Public

出站

• Allow_Outbound_DNS
• Allow_Outbound_NTP
• Allow_Outbound_Domain_Services
• Allow_Outbound_HTTP_HTTPS
• Allow_Outbound_WSUS
• Block_All_Other_Outbound

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：运维星火燎原 刘军军 刘军军《Windows企业域环境防火墙策略》