Windows防火墙可能是系统管理员要配置的最大的噩梦之一，加上组策略优先级，它就成了一个令人头痛的问题。在这里，我们将从头到尾介绍如何通过组策略轻松配置Windows防火墙，并向您展示如何解决其中一个最大的难题。

我们的使命

我们注意到，很多用户的机器上都安装了Skype，这使得他们的生产效率降低。我们的任务是确保用户不能在工作中使用Skype，但是欢迎他们将Skype安装在笔记本电脑上，在家中或午休时使用3G/4G连接。根据这些信息，我们决定使用Windows防火墙和组策略。

方法

通过组策略开始控制Windows防火墙的最简单方法是设置一台参考PC并使用windows7创建规则，然后我们可以导出该策略并将其导入组策略。通过这样做，我们有一个额外的优势，即在将规则部署到所有客户机之前，能够看到是否所有规则都已设置并按我们希望的方式工作。

创建防火墙模板

In order to create a template for the Windows Firewall we need to launch the Network and Sharing Center, the easiest way to do this is to right-click on the network icon and select Open Network and Sharing Center from the context menu.

当网络和共享中心打开时，单击左下角的Windows防火墙链接。

为Windows防火墙创建模板时，最好通过Windows防火墙高级安全控制台来完成，要启动此模板，请单击左侧的高级设置。

注意：在这一点上，我将编辑Skype特定的规则，但是您可以添加自己的端口规则，甚至应用程序规则。你需要对防火墙做的任何修改现在都应该完成。

从这里我们可以开始编辑我们的防火墙规则，在我们的情况下，当安装Skype应用程序时，它会创建自己的防火墙例外，允许skype.exe在域、专用和公用网络配置文件上进行通信。

现在我们需要编辑我们的防火墙规则，要编辑它双击规则。这将显示Skype规则的属性。

切换到“高级”选项卡并取消选中“域”复选框。

当您现在尝试启动Skype时，系统会提示您询问它是否可以在域网络配置文件上进行通信，取消选中该框并单击“允许访问”。

如果你现在回到你的入站防火墙规则，你会看到有两个新的规则，这是因为当你被提示你选择不允许入站Skype流量。如果您查看profile列，您将看到它们都是域网络配置文件。

注意：之所以有两个规则是因为TCP和UDP有单独的规则

到目前为止一切都很好，但是如果你启动Skype，你仍然可以登录。

即使您更改规则以阻止skype.exe并将其设置为使用其仍然能够以某种方式返回的任何协议来阻止通信。解决方法很简单，首先阻止它进行通信。为此，请切换到出站规则并开始创建新规则。

因为我们想为Skype程序创建一个规则，所以只需单击next，然后浏览Skype可执行文件并单击next。

您可以将操作保留为默认值，即阻止连接并单击“下一步”。

取消选中“专用”和“公用”复选框，然后单击“下一步”继续。

现在给你的规则一个名字，然后点击finish

现在，如果您尝试在连接到域网络时启动Skype，它将无法工作

然而，如果他们回家后尝试连接，这将使他们能够很好地连接

这就是我们现在要创建的所有防火墙规则，别忘了测试您的规则，就像我们对Skype所做的那样。

导出策略

要导出策略，请在左侧窗格中单击树的根，该树显示具有高级安全性的Windows防火墙。然后单击Action并从菜单中选择Export Policy。

您应该将其保存到网络共享，如果您可以物理访问服务器，甚至可以保存到USB。我们将使用网络共享。

注意：使用USB时要小心病毒，你最不想做的就是用病毒感染服务器

将策略导入组策略

要导入防火墙策略，您需要打开现有GPO或创建新GPO并将其链接到包含计算机帐户的OU。我们有一个叫做防火墙策略的GPO，它链接到一个叫做Geek Computers的OU，这个OU包含我们所有的计算机。我们将继续使用这项政策。

现在导航到：

Open Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security

单击具有高级安全性的Windows防火墙，然后单击操作和导入策略

您将被告知，如果导入策略，它将覆盖所有现有设置，请单击“是”继续，然后浏览本文上一节中导出的策略。一旦完成导入策略，系统将通知您。

如果你去看看我们的规则，你会发现我创建的Skype规则仍然存在。

测试

注意：在完成本文的下一部分之前，不应该进行任何测试。如果您这样做，任何在本地配置的规则都将得到遵守。我现在做一些测试的唯一原因是指出一些事情。

要查看防火墙规则是否已部署到客户端，您需要切换到客户端计算机，然后再次打开Windows防火墙设置。正如您所看到的，应该有一条消息说一些防火墙规则是由您的系统管理员管理的。

单击左侧的允许程序或功能通过Windows防火墙链接。

正如您现在应该看到的，我们有由组策略和本地创建的规则应用的规则。

这里发生了什么事，我该怎么解决？

默认情况下，在Windows 7计算机上的本地防火墙策略和以这些计算机为目标的组策略中指定的防火墙策略之间启用规则合并。这意味着本地管理员可以创建自己的防火墙规则，这些规则将与通过组策略获得的规则合并。要解决此问题，请右键单击具有高级安全性的Windows防火墙，然后从上下文菜单中选择“属性”。当对话框打开时，单击“设置”部分下的“自定义”按钮。

将“应用本地防火墙规则”选项从“未配置”更改为“否”。

单击ok后，切换到Private和Public配置文件，并对它们执行相同的操作。

就这些家伙，去玩防火墙吧。