Windows 防火牆

Windows 防火牆（英文：Windows Firewall；新版本介面多稱 Microsoft Defender 防火牆）係微軟喺 Microsoft Windows 作業系統內置嘅主機型防火牆（host-based firewall），用嚟按規則控制電腦嘅入站同出站網絡流量，減少未經授權嘅連線同網絡攻擊風險。佢通常同 Windows 嘅網絡堆疊同安全機制整合，並可透過圖形介面、群組原則（Group Policy）同命令列工具去管理。

Windows 防火牆屬於被動式存取控制技術，主要以「容許／封鎖」規則去決定特定程式、服務、連接埠（port）、協議同IP位址嘅通訊可唔可以經過。一般情況下，系統會提供預設規則（例如檔案共享、遠端桌面等），用戶或系統管理員亦可以按需要新增自訂規則。 喺企業或機構環境，Windows 防火牆常見用途係：

• 為工作站同伺服器提供端點層面嘅網絡分隔；
• 配合網絡邊界防火牆同入侵防禦等系統，形成多層防護；
• 透過集中式策略（例如網域環境嘅群組原則）統一設定。

• Windows XP 初期（2001年）：內建咗一個功能有限嘅防火牆，但為咗相容舊系統，預設係停用同隱藏。大部分用戶未必知道佢存在。
• 2003年：由於「衝擊波蠕蟲」同「震盪波蠕蟲」爆發，微軟加強咗防火牆功能，並正式命名為「Windows 防火牆」。
• Windows XP SP2：防火牆預設會喺所有網絡連線（例如區域網絡、Wi-Fi、IEEE 1394）啟用。
• Windows Vista 至 Windows 8：防火牆功能進一步加強，支援更複雜嘅規則同群組策略。
• Windows 10 之後：改名為「Windows Defender 防火牆」，並整合入「Windows 安全性」應用程式，提供更直觀嘅管理介面。

Windows 防火牆常見功能包括：

• 入站／出站過濾：可分別控制外來連入同本機發出嘅連線。
• 以程式／服務為單位嘅規則：可針對某個可執行檔或系統服務設定容許或封鎖。
• 以連接埠、協議、IP、網段為條件：支援按 TCP/UDP、特定 port、來源/目的位址等條件建立規則。
• 設定檔（Profiles）：通常按網絡環境分開套用策略，例如「網域（Domain）／私人（Private）／公用（Public）」等類別。
• 記錄（Logging）：可記錄被丟棄嘅封包或成功連線等資訊（實際可用項目視版本與設定而定）。
• 集中管理：可用管理工具同政策系統統一部署同審核規則。

Windows 防火牆一般可以經以下方式設定（視乎 Windows 版本、版本授權同管理需求而定）：

• 設定／控制台：提供基本開關、允許應用程式通過防火牆、快速規則等操作。
• 進階安全性管理介面：提供較完整嘅入站／出站規則、連線安全規則、篩選條件等。
• 命令列與自動化：可用系統提供嘅命令列工具或腳本介面自動化建立、匯出／匯入規則。
• 群組原則（Group Policy）：喺網域環境集中下發防火牆策略同規則。

• 封鎖某個唔需要嘅入站服務連接埠，減少被掃描同利用風險。
• 只允許某個管理工具由指定管理網段連入。
• 限制某啲應用程式出站連線，降低資料外傳或惡意程式「打出去」嘅機會。
• 喺「公用網絡」設定檔採用更嚴格策略，喺「私人網絡」相對寬鬆。

Windows 防火牆主要係端點層面嘅流量控制，通常有以下局限（取決於配置）：

• 唔等於防毒或反惡意程式：防火牆主要管連線，未必能單靠佢偵測或移除惡意程式。
• 規則配置依賴管理：規則過鬆會降低保護；過緊可能影響正常應用。
• 加密流量可視性有限：若應用層內容經加密，防火牆一般只見到連線層面資訊（除非配合其他檢測機制）。

• Windows Firewall overview