一、防火墙基础配置：放行远程桌面端口

远程管理Windows实例时，默认需要开放TCP 3389端口（远程桌面协议RDP）。以下配置步骤基于Windows Defender防火墙管理界面，适用于大多数Windows Server版本：

1.1 创建入站规则

打开防火墙管理界面
通过控制面板 > 系统和安全 > Windows Defender 防火墙 > 高级设置路径进入管理界面
启动规则向导
在左侧导航栏选择”入站规则”，点击右侧”新建规则”按钮
配置规则类型
选择”端口”类型（区别于程序、预定义等规则类型），点击下一步
指定协议与端口
- 协议类型：TCP
- 特定本地端口：输入3389（多个端口用逗号分隔）
  注：生产环境建议修改默认端口以增强安全性
设置连接权限
选择”允许连接”，后续步骤将通过作用域限制实际访问范围
配置文件选择
保持默认勾选（域/专用/公用网络），确保不同网络环境下规则生效
命名规则
建议采用”功能_环境”命名格式，例如RDP_Production

1.2 规则优化技巧

优先级调整：在规则列表中通过上下箭头调整执行顺序
日志记录：在规则属性中启用日志记录，便于后续审计
边缘穿越：如需通过NAT设备访问，需在规则属性中勾选”边缘穿越”

二、安全加固：IP白名单机制

通过作用域设置限制允许访问的IP地址，可有效防止暴力破解攻击。以下是详细配置流程：

2.1 配置单IP白名单

定位目标规则
在入站规则列表中找到刚创建的RDP规则，右键选择”属性”
进入作用域设置
切换至”作用域”选项卡，可见两个关键配置区域：
- 本地IP地址：限制服务监听的网卡（通常保持默认）
- 远程IP地址：设置允许访问的客户端IP
添加允许IP
在远程IP地址区域选择”下列IP地址”，点击添加按钮输入具体IP（如192.168.1.100）

2.2 配置IP段白名单

对于需要允许整个子网访问的场景，可使用CIDR表示法：

添加IP范围
在添加对话框输入格式如192.168.1.0/24的CIDR地址
混合配置示例
可同时添加多个独立IP和IP段，例如：
```
192.168.1.100
10.0.0.0/16
203.0.113.50
```

2.3 动态IP处理方案

对于使用动态公网IP的场景，可通过以下方式实现灵活管理：

DDNS集成：结合动态域名服务自动更新防火墙规则
脚本自动化：使用PowerShell脚本定期更新允许IP列表
VPN接入：通过VPN建立安全通道后，防火墙规则可放宽至VPN网段

三、高级配置场景

3.1 多端口规则配置

当需要同时开放多个服务端口时，可采用以下方法：

# 使用PowerShell批量创建规则示例
New-NetFirewallRule -DisplayName "MultiPort_Rule" `
  -Direction Inbound -Protocol TCP `
  -LocalPort 3389,8080,3306 `
  -Action Allow -Enabled True

3.2 规则组管理

对于复杂环境，建议通过规则组实现：

创建规则组：在高级设置界面选择”新建规则组”
成员规则：将相关规则添加到同一组
组属性：统一配置日志、作用域等参数

3.3 审计与维护

连接安全日志
配置路径：控制面板 > 管理工具 > 本地安全策略 > 审核策略
定期审查
建议每月执行以下检查：
- 清理未使用的规则
- 更新允许IP列表
- 验证规则优先级

备份恢复
通过导出/导入策略功能实现规则备份：

# 导出所有规则
Get-NetFirewallRule | Export-Clixml -Path "C:\firewall_backup.xml"
# 导入规则（需管理员权限）
Import-Clixml -Path "C:\firewall_backup.xml" | Set-NetFirewallRule

四、最佳实践建议

最小权限原则：仅开放必要端口，默认拒绝所有入站连接
分层防御：结合网络ACL、安全组等实现多层级防护
变更管理：所有防火墙规则变更需通过变更流程审批
应急方案：保留物理控制台访问权限，防止规则配置错误导致锁定
性能优化：避免创建过多规则，Windows防火墙最多支持4096条规则

通过系统化的防火墙管理，可显著提升Windows实例的安全性。建议管理员结合具体业务需求，制定分阶段的防护策略，定期进行安全评估和规则优化。对于企业级环境，可考虑集成集中式安全管理平台实现统一策略下发和审计。

Windows实例系统防火墙管理全攻略：从基础配置到安全加固