Windows防火墙可能是系统管理员要配置的最大噩梦之一，随着组策略优先级的增加，它只会成为一个令人头疼的问题。在这里，我们将带您从头到尾了解如何通过组策略轻松配置Windows防火墙，作为额外的奖励，我们还将向您展示如何修复最大的问题之一。

我们的使命

我们已经注意到，许多用户在他们的机器上安装了Skype，这降低了他们的工作效率。我们的任务是确保用户在工作时不能使用Skype，但欢迎他们将其安装在笔记本电脑上，在家里或午餐休息时间通过3G/4G连接使用。根据此信息，我们决定使用Windows防火墙和组策略。

该方法

通过组策略开始控制Windows防火墙的最简单方法是设置一台参考PC并使用Windows 7创建规则，然后我们可以导出该策略并将其导入到组策略中。通过这样做，我们有一个额外的优势，即在将规则部署到所有客户端计算机之前，我们能够查看是否所有规则都已设置并按我们希望的方式工作。

创建防火墙模板

网络和共享中心打开后，单击左下角的Windows防火墙链接。

在为Windows防火墙创建模板时，最好通过带有高级安全控制台的Windows防火墙来完成，要启动此操作，请单击左侧的“高级设置”。

注意：在这一点上，我将编辑Skype特定的规则，但是您可以为端口甚至应用程序添加您自己的规则。您需要对防火墙进行的任何修改都应该立即完成。

从这里我们可以开始编辑我们的防火墙规则，在我们的例子中，当安装Skype应用程序时，它会创建自己的防火墙例外，允许Skype.exe在域、专用和公共网络配置文件上通信。

现在我们需要编辑防火墙规则，要编辑它，请双击该规则。这将调出Skype规则的属性。

切换到“高级”选项卡并取消选中“域”复选框。

当您尝试立即启动Skype时，系统将提示您询问它是否可以在域网络配置文件上通信，取消选中该框，然后单击允许访问。

如果您现在返回到入站防火墙规则，您将看到有两个新规则，这是因为当系统提示您时，您选择了不允许入站Skype通信。如果您查看Profile列，您会发现它们都是针对域网络配置文件的。

注意：之所以有两个规则，是因为TCP和UDP有不同的规则

到目前为止一切都很好，但是如果你启动Skype，你仍然可以登录。

即使您更改规则以阻止skype.exe的入站通信，并将其设置为阻止使用任何协议的通信，它仍然能够以某种方式返回。如果修复方法很简单，请首先阻止它能够通信。为此，请切换到出站规则并开始创建新规则。

因为我们要为Skype程序创建规则，所以只需单击Next，然后浏览到Skype可执行文件并单击Next。

您可以保留默认操作，即阻止连接，然后单击Next。

取消选中私有和公共复选框，然后单击下一步继续。

现在为您的规则指定一个名称，然后单击完成

现在，如果您尝试在连接到域网络时启动Skype，它将无法工作

但是，如果他们回家后尝试连接，就可以很好地连接

这就是我们现在要创建的所有防火墙规则，不要忘了测试您的规则，就像我们对Skype所做的那样。

正在导出策略

要导出策略，请在左侧窗格中单击树的根，该树显示Windows防火墙with Advanced Security(具有高级安全性的Windows防火墙)。然后单击Action(操作)并从菜单中选择Export Policy(导出策略)。

您应该将其保存到网络共享，如果您可以物理访问您的服务器，甚至可以将其保存到USB。“我们将使用网络共享。

注意：使用USB时要小心病毒，您最不想做的事情就是用病毒感染服务器

将策略导入到组策略中

若要导入防火墙策略，您需要打开现有GPO或创建新的GPO并将其链接到包含计算机帐户的OU。我们有一个名为Firewall Policy的GPO链接到一个名为Geek Computers的OU，此OU包含我们所有的计算机。我们将继续使用这一政策。

现在导航到：

单击具有高级安全性的Windows防火墙，然后单击操作和导入策略

您将被告知，如果您导入该策略，它将覆盖所有现有设置，单击YES继续，然后浏览到您在本文的上一节中导出的策略。一旦策略导入完毕，您将收到通知。

如果你去看看我们的规则，你会发现我创建的Skype规则仍然在那里。

棘手的 / 费劲的

注意：在完成本文的下一节之前，您不应该进行任何测试。如果这样做，则将遵守本地配置的任何规则。我现在做一些测试的唯一原因是要指出几件事。

要查看是否已将防火墙规则部署到客户端，您需要切换到客户端计算机，然后再次打开Windows防火墙设置。如您所见，应该有一条消息说明某些防火墙规则由您的系统管理员管理。

单击左侧的允许程序或功能通过Windows防火墙链接。

正如您现在应该看到的，我们既有由组策略应用的规则，也有本地创建的规则。

这是怎么回事，我怎么才能把它修好呢？

默认情况下，在Windows 7计算机上的本地防火墙策略和针对这些计算机的组策略中指定的防火墙策略之间启用规则合并。这意味着本地管理员可以创建自己的防火墙规则，这些规则将与通过组策略获取的规则合并。要解决此问题，请右键单击“具有高级安全性的Windows防火墙”，然后从上下文菜单中选择“属性”。当对话框打开时，单击设置部分下的自定义按钮。

将“应用本地防火墙规则”选项从“未配置”更改为“否”。

单击“确定”后，切换到“私有”和“公共”配置文件，并对这两个配置文件执行相同的操作。

伙计们，就这些了，去享受防火墙的乐趣吧。