Windows防火牆可能是系統管理員要配置的最大的噩夢之一，加上組策略優先順序，它就成了一個令人頭痛的問題。在這裡，我們將從頭到尾介紹如何透過組策略輕鬆配置Windows防火牆，並向您展示如何解決其中一個最大的難題。

我們的使命

我們注意到，很多使用者的機器上都安裝了Skype，這使得他們的生產效率降低。我們的任務是確保使用者不能在工作中使用Skype，但是歡迎他們將Skype安裝在膝上型電腦上，在家中或午休時使用3G/4G連線。根據這些資訊，我們決定使用Windows防火牆和組策略。

方法

透過組策略開始控制Windows防火牆的最簡單方法是設定一臺參考PC並使用windows7建立規則，然後我們可以匯出該策略並將其匯入組策略。透過這樣做，我們有一個額外的優勢，即在將規則部署到所有客戶機之前，能夠看到是否所有規則都已設定並按我們希望的方式工作。

建立防火牆模板

In order to create a template for the Windows Firewall we need to launch the Network and Sharing Center, the easiest way to do this is to right-click on the network icon and select Open Network and Sharing Center from the context menu.

當網路和共享中心開啟時，單擊左下角的Windows防火牆連結。

為Windows防火牆建立模板時，最好透過Windows防火牆高階安全控制檯來完成，要啟動此模板，請單擊左側的高階設定。

注意：在這一點上，我將編輯Skype特定的規則，但是您可以新增自己的埠規則，甚至應用程式規則。你需要對防火牆做的任何修改現在都應該完成。

從這裡我們可以開始編輯我們的防火牆規則，在我們的情況下，當安裝Skype應用程式時，它會建立自己的防火牆例外，允許skype.exe在域、專用和公用網路配置檔案上進行通訊。

現在我們需要編輯我們的防火牆規則，要編輯它雙擊規則。這將顯示Skype規則的屬性。

切換到“高階”選項卡並取消選中“域”複選框。

當您現在嘗試啟動Skype時，系統會提示您詢問它是否可以在域網路配置檔案上進行通訊，取消選中該框並單擊“允許訪問”。

如果你現在回到你的入站防火牆規則，你會看到有兩個新的規則，這是因為當你被提示你選擇不允許入站Skype流量。如果您檢視profile列，您將看到它們都是域網路配置檔案。

注意：之所以有兩個規則是因為TCP和UDP有單獨的規則

到目前為止一切都很好，但是如果你啟動Skype，你仍然可以登入。

即使您更改規則以阻止skype.exe並將其設定為使用其仍然能夠以某種方式返回的任何協議來阻止通訊。解決方法很簡單，首先阻止它進行通訊。為此，請切換到出站規則並開始建立新規則。

因為我們想為Skype程式建立一個規則，所以只需單擊next，然後瀏覽Skype可執行檔案並單擊next。

您可以將操作保留為預設值，即阻止連線並單擊“下一步”。

取消選中“專用”和“公用”複選框，然後單擊“下一步”繼續。

現在給你的規則一個名字，然後點選finish

現在，如果您嘗試在連線到域網路時啟動Skype，它將無法工作

然而，如果他們回家後嘗試連線，這將使他們能夠很好地連線

這就是我們現在要建立的所有防火牆規則，別忘了測試您的規則，就像我們對Skype所做的那樣。

匯出策略

要匯出策略，請在左側窗格中單擊樹的根，該樹顯示具有高階安全性的Windows防火牆。然後單擊Action並從選單中選擇Export Policy。

您應該將其儲存到網路共享，如果您可以物理訪問伺服器，甚至可以儲存到USB。我們將使用網路共享。

注意：使用USB時要小心病毒，你最不想做的就是用病毒感染伺服器

將策略匯入組策略

要匯入防火牆策略，您需要開啟現有GPO或建立新GPO並將其連結到包含計算機帳戶的OU。我們有一個叫做防火牆策略的GPO，它連結到一個叫做Geek Computers的OU，這個OU包含我們所有的計算機。我們將繼續使用這項政策。

現在導航到：

Open Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security

單擊具有高階安全性的Windows防火牆，然後單擊操作和匯入策略

您將被告知，如果匯入策略，它將覆蓋所有現有設定，請單擊“是”繼續，然後瀏覽本文上一節中匯出的策略。一旦完成匯入策略，系統將通知您。

如果你去看看我們的規則，你會發現我建立的Skype規則仍然存在。

測試

注意：在完成本文的下一部分之前，不應該進行任何測試。如果您這樣做，任何在本地配置的規則都將得到遵守。我現在做一些測試的唯一原因是指出一些事情。

要檢視防火牆規則是否已部署到客戶端，您需要切換到客戶端計算機，然後再次開啟Windows防火牆設定。正如您所看到的，應該有一條訊息說一些防火牆規則是由您的系統管理員管理的。

單擊左側的允許程式或功能透過Windows防火牆連結。

正如您現在應該看到的，我們有由組策略和本地建立的規則應用的規則。

這裡發生了什麼事，我該怎麼解決？

預設情況下，在Windows 7計算機上的本地防火牆策略和以這些計算機為目標的組策略中指定的防火牆策略之間啟用規則合併。這意味著本地管理員可以建立自己的防火牆規則，這些規則將與透過組策略獲得的規則合併。要解決此問題，請右鍵單擊具有高階安全性的Windows防火牆，然後從上下文選單中選擇“屬性”。當對話方塊開啟時，單擊“設定”部分下的“自定義”按鈕。

將“應用本地防火牆規則”選項從“未配置”更改為“否”。

單擊ok後，切換到Private和Public配置檔案，並對它們執行相同的操作。

就這些傢伙，去玩防火牆吧。