全部產品
Search
文件中心

Elastic Compute Service:管理Windows執行個體的系統防火牆

更新時間:Dec 20, 2024

Windows防火牆是Windows系統中內建的安全工具,它能夠協助您控制出入伺服器的網路流量,防止未經授權的訪問和惡意入侵。如果伺服器開啟了防火牆,並設定了屏蔽外界訪問的規則,那麼在遠端存取該伺服器時,可能會導致訪問失敗。本文介紹在Windows作業系統中,如何管理系統防火牆,您可以開啟並配置防火牆規則或關閉系統防火牆,以實現遠端存取伺服器的需求。

查看防火牆狀態

您可以查看防火牆目前狀態,判斷是否需要開啟或關閉防火牆。

  1. 使用VNC方式登入Windows執行個體。具體操作,請參見使用VNC登入執行個體

  2. 在功能表列選擇開始 > 控制台

  3. 查看方式選擇小表徵圖,單擊Windows Defender 防火牆

    說明

    Windows系統版本不同時,選項名稱可能不同,無Windows Defender 防火牆選項時,可以選擇Windows 防火牆

    image

  4. Windows Defender 防火牆介面,單擊進階設定

  5. 進階安全 Windows Defender 防火牆視窗的概述地區,查看防火牆目前狀態。

    說明

    開啟和關閉防火牆時,通常建議將網域設定檔案專用設定檔公用設定檔下的防火牆全部開啟或全部關閉。在查看防火牆狀態時,建議您確認網域設定檔案專用設定檔公用設定檔的防火牆狀態是否一致,若不一致,可以參考下文操作全部開啟或全部關閉。

    image

開啟或關閉防火牆

根據您的需求,操作開啟或關閉防火牆,如果您開啟了防火牆,後續需要配置防火牆規則

開啟防火牆

開啟防火牆後,它將根據配置的防火牆規則監控和控制進出您伺服器的網路流量。

  1. 進階安全 Windows Defender 防火牆視窗,查看Windows Defender 防火牆屬性

    說明

    進入進階安全 Windows Defender 防火牆視窗的具體操作,請參見查看防火牆狀態

    image

  2. 選擇啟用(推薦),單擊應用(A)

    說明

    建議將網域設定檔案專用設定檔公用設定檔選項卡下的防火牆全部啟用。

    image

關閉防火牆

關閉防火牆後,防火牆將不再控制出入伺服器的網路流量。

  1. 進階安全 Windows Defender 防火牆視窗,查看Windows Defender 防火牆屬性

    說明

    進入進階安全 Windows Defender 防火牆視窗的具體操作,請參見查看防火牆狀態

    image

  2. 選擇關閉, 單擊應用(A)

    說明

    建議將網域設定檔案專用設定檔公用設定檔選項卡下的防火牆全部關閉。

    image

配置防火牆規則

在開啟防火牆後,您需要配置防火牆規則以授權特定的訪問。本文以添加允許遠端連線的規則為例,為您提供以下兩種配置防火牆規則的方案。您也可以根據需求,自行調整規則配置。

方案一:添加連接埠規則

通過允許存取本地遠端桌面連接埠允許遠端連線。遠程伺服器的預設連接埠為TCP協議的3389連接埠。

說明

如果您修改了遠程伺服器的連接埠,使用此方案時,請將遠程服務的實際連接埠添加到防火牆的入站規則中。

  1. 進階安全 Windows Defender 防火牆視窗,單擊入站規則,然後單擊建立規則

    說明

    進入進階安全 Windows Defender 防火牆視窗的具體操作,請參見查看防火牆狀態

    image

  2. 在彈出的建立入站規則嚮導視窗的規則類型步驟中,選擇連接埠,單擊下一步

    image

  3. 協議和連接埠步驟中,選擇TCP,然後添加特定本地連接埠,單擊下一步

    說明

    提示:該連接埠請以實際遠程連接埠為準,一般預設為3389連接埠。

    image

  4. 操作步驟中,選擇允許串連,單擊下一步

    image

  5. 設定檔步驟中,使用預設配置即可,單擊下一步

    image

  6. 名稱步驟中,填寫規則名稱,例如RemoteDesktop,單擊完成

  7. 配置範圍。

    通過配置範圍,限制遠端存取伺服器的來源IP。啟用範圍後,僅範圍裡設定的IP地址可以遠端連線該伺服器,其他IP地址將無法遠端連線該伺服器。

    1. 進階安全 Windows Defender 防火牆視窗,按右鍵剛剛建立的入站規則RemoteDesktop,選擇屬性

      image

    2. 範圍頁簽下,將遠程IP地址選擇為下列IP地址,並添加一個或多個IP地址或CIDR位址區段,例如您本地電腦的公網IP地址,單擊確定

      重要

      若您想通過Workbench工具串連伺服器,需在範圍中添加47.96.60.0/24118.31.243.0/24

      image

  8. 以上步驟完成後,遠端存取伺服器,在遠程地址後面添加遠程連接埠號碼,並在顯示選項中指定使用者名稱,即可串連執行個體。例如:192.168.1.2:3389Administrator

    image

方案二:添加預定義規則

通過為入站規則添加預定義的“遠端桌面”相關規則,允許遠端桌面的接入。

重要

此方式僅適用於未更改過遠端桌面連接埠,預設使用TCP協議的3389連接埠的情況。

  1. 進階安全 Windows Defender 防火牆視窗,單擊入站規則,然後單擊建立規則

    說明

    進入進階安全 Windows Defender 防火牆視窗的具體操作,請參見查看防火牆狀態

    image

  2. 在彈出的建立入站規則嚮導視窗的規則類型步驟中,選擇預定義中的遠端桌面,單擊下一步

    image

  3. 預定義規則步驟中,勾選遠端桌面 - 使用者模式(TCP-In),單擊下一步

    說明

    若您的Windows系統版本較低,無遠端桌面 - 使用者模式(TCP-In)選項,可以勾選遠端桌面(TCP-In)

    image

  4. 操作步驟中,勾選允許串連,單擊完成

    image

  5. 配置範圍。

    通過配置範圍,限制遠端存取伺服器的來源IP。啟用範圍後,僅範圍裡設定的IP地址可以遠端連線該伺服器,其他IP地址將無法遠端連線該伺服器。

    1. 進階安全 Windows Defender 防火牆視窗,單擊入站規則,按右鍵剛剛建立的入站規則,選擇屬性

      image

    2. 範圍頁簽下,將遠程IP地址選擇為下列IP地址,並添加一個或多個IP地址或CIDR位址區段,例如您本地電腦的公網IP地址,單擊確定

      重要

      若您想通過Workbench工具串連伺服器,需在範圍中添加47.96.60.0/24118.31.243.0/24

      image

  6. 以上步驟完成後,遠端存取伺服器,在遠程地址後面添加遠程連接埠號碼,並在顯示選項中指定使用者名稱,即可串連執行個體。例如:192.168.1.2:3389Administrator

    image

相關文檔