你家大门装了锁,但光有锁不行——还得决定谁敲门能进、谁递张纸条就拒之门外。防火墙策略,就是给电脑或路由器这道‘数字大门’定下的具体规矩。
它不是开关,是一张‘放行单’
很多人以为开个防火墙就万事大吉,其实不然。默认开启的防火墙往往只拦明显恶意流量,而真正起作用的,是背后一条条写的策略。比如:
- 允许公司电脑访问财务系统(端口443),但禁止访问游戏网站;
- 让打印机(IP 192.168.1.100)能被办公室所有电脑发现,但不对外网开放;
- 禁止手机连上公司Wi-Fi后访问内部测试服务器(10.0.5.20)。
这些‘允许什么、禁止什么、在什么条件下’的明细,就是防火墙策略。
一条策略长啥样?举个真实例子
你在Windows防火墙高级设置里新建一条出站规则,可能填这些内容:
规则名称:禁止微信上传日志
应用:C:\Program Files\WeChat\WeChat.exe
协议:TCP
远程端口:443
远程IP地址:203.208.60.1/32(某日志服务器)
操作:阻止
配置文件:域、专用、公用这一条就精准卡死了微信往特定服务器传日志的行为,不影响你正常发消息、传图片。
策略写不好,要么形同虚设,要么自己被拦
曾有同事把入站策略全设成‘允许任意IP访问任意端口’,结果公司官网被扫出漏洞,黑客顺着SSH(22端口)直接登了进去——策略太宽,等于没设。
也有新手误删了‘允许本地回环(127.0.0.1)通信’这条基础策略,结果本机软件之间调用全断,浏览器打不开localhost,还以为是网卡坏了。
入门建议:先看清默认策略,再动笔加新规则
大多数家用路由器或Windows防火墙,默认策略是‘入站全拒、出站全放’。也就是说,别人不能主动连你,但你能自由上网。如果你要开远程桌面(3389端口)、建NAS共享(445端口),就得手动加一条‘允许指定IP通过该端口进入’的策略,而不是关掉整个防火墙。
策略不是越多越好,而是越准越好。一条清晰、带注释、定期复查的策略,比十页没命名的规则列表管用得多。