使用防火牆規則和 AppLocker 封鎖成人網站

最後更新: 17/12/2025
作者: 艾薩克
  • 防火牆可讓您使用基於網域名稱、IP 位址和類別的規則和封鎖清單來過濾流量並封鎖成人網站。
  • Windows 防火牆中的出站規則可以對應用程式的網際網路存取進行精細控制。 Windows Defender的.
  • AppLocker 透過控制哪些應用程式、腳本、安裝程式和 DLL 可以運行,從而增加了一層額外的安全性。
  • 結合內容過濾、防火牆、AppLocker 和最佳實踐,可以有效抵禦成人網站和網路威脅。

防火牆和 AppLocker 配置

控制網路上哪些內容可見、哪些內容不可見是許多管理員都會拖延的任務之一…直到第一次出現安全隱患。 使用防火牆規則和 AppLocker 封鎖成人網站和問題應用程式 如今,在專業環境中,啟用此功能幾乎是強制性的;在有未成年人的家庭網路中,也強烈建議啟用此功能。 Windows 11 中的家長控制.

在本指南中,您將看到如何 結合使用 Windows 防火牆、AppLocker 和良好的過濾實踐,例如使用 安全性 DNS 為了防止存取成人網站,請限制可上傳到網路的程序,並維護一個更嚴格的管控環境。我們將從實際角度進行探討,同時也會解釋每個組件的功能,以便您可以根據自己的喜好調整安全設定。

什麼是 OpenDNS
相關文章:
關於 OpenDNS 是什麼、設定和安全性的完整指南

什麼是防火牆?為什麼它對屏蔽成人網站至關重要?

防火牆本質上是一種 用於監控和控制所有網路流量的過濾器 資料包進出設備或整個網路的過程。想像邊境口岸:每個想要進出網路的資料包都必須經過這裡,並遵守一定的規則。

此防火牆可以整合到路由器中,也可以作為軟體安裝在電腦上,但無論哪種方式,其用途都相同: 僅允許符合既定策略的流量通過 並屏蔽其餘連結。這當然包括指向成人內容網站或其他不良網站的連結。

實際上,防火牆可以在多個層面上工作: 按 IP 位址、網域名稱、連接埠、協定或應用程式進行封鎖為了阻止成人網站,最常見的方法是使用網域清單和內容過濾規則;為了控製程序,則使用特定的退出規則。

除了防止未經授權的存取之外, 一套完善的防火牆規則可以降低以下風險: 惡意軟件網路釣魚和資料洩露許多包含成人內容的網站也充斥著惡意廣告。 下載 阻止這些自動或可疑腳本可以顯著提高安全性。

不安全網站的類型以及屏蔽它們的重要性

當我們談到過濾成人網站時,我們幾乎總是只想到道德或家長控制方面,但是 其中包含一個組成部分 網絡安全 背後實力非常強大這不僅是保護未成年人的問題;也是為了保護網路和設備。

網站中最有問題的類型之一是頁面 網路釣魚攻擊旨在竊取憑證或銀行數據那些服務於 透過下載或腳本傳播的惡意軟體和木馬程序 嵌入式垃圾網站會不斷重定向到其他不可信的網域。

成人內容通常與彈出式廣告、誤導性廣告和以.com結尾的偽裝連結形影不離。 網站充斥著病毒、勒索軟體和其他惡意軟體因此,對於許多公司而言,屏蔽這些類型的類別既是一種合規措施,也是一種基本的數位衛生習慣。

現代防火牆和內容過濾服務可以將這類網站歸類(色情、賭博、非法下載等), 根據更新後的清單套用批量屏蔽 專業安保公司提供。

防火牆如何幫助阻止成人網站和垃圾流量

配置正確的防火牆可以讓你 以集中方式決定哪些目的地允許前往,哪些目的地不允許前往。對於成人網站,通常會結合多種技術:按網域屏蔽、按類別屏蔽,以及在某些情況下進行更深入的流量檢查。

第一部分是 自訂防火牆規則這些清單可讓您指定任何裝置都不能與一系列 IP 位址或與成人內容或惡意軟體相關的特定網域通訊。此選項非常靈活,但需要定期更新清單。

第二部分是 由安全提供者管理的封鎖清單或黑名單這些清單包含數千個被歸類為危險或不適合的網站,並且會定期更新。許多中高階防火牆以及DNS過濾解決方案都允許您訂閱這些清單。 數據庫.

啟用類別過濾後,防火牆可以 自動封鎖標記為成人內容、賭博、社群媒體或其他類別的網站。 您想要限制的流量。這大大簡化了管理,尤其是在大型網路中。

使用防火牆阻止 Windows 應用程式存取網際網路。

除了過濾網站之外,Windows 防火牆還可以用於: 阻止某些程式連接到互聯網對於未經您許可而不想更新、顯示廣告或將資訊上傳到雲端的應用程式來說,這是一個有用的措施。

在 Windows 10 和 窗戶11 進階防火牆配置仍在進行中 控制台中的“Windows Defender 進階安全防火牆”不在現代的「設定」應用程式中。你需要在那裡管理所謂的入站和出站規則。

成人網站通常在瀏覽器層級進行控制(例如, Microsoft Edge 兒童模式)或 DNS,但是 程式防火牆可讓您封鎖特定的瀏覽器、遊戲或任何執行檔。 這樣就不會洩漏到網路上,這在有未成年人或共享設備的環境中也很有用。

  什麼是殭屍網路以及如何偵測它:基本指南

任何鎖要正常運作,都必須滿足以下條件: Windows 防火牆服務已啟動停用它「以免打擾您」會完全覆蓋您可能設定的所有網路保護措施。

阻止已出現在基本防火牆清單中的應用

在控制台中可存取的簡易防火牆視圖中,您會看到一個名為“ “允許應用程式或功能通過 Windows Defender 防火牆”在那裡,您可以找到適用於私人網路和公共網路的應用程式清單。

如果某個應用程式已在該清單中,並且您不希望它連接到互聯網,只需執行以下操作: 取消勾選您姓名左側的主複選框。如此一來,Windows 會自動停用專用網路和公用網路選項,讓程式無法存取網路。

這種方法快速方便,但也有其限制。 這通常足以阻止 Windows 自動偵測到的簡單程式或應用程式。但如果您需要更精細的控製或想要管理多個對象,它就顯得力不從心了。 應用程序 在同一時間

新增並屏蔽未列出的應用。

如果應用程式未列出,您需要點擊… “允許另一份申請…”這個名稱可能會產生誤導,因為你想要做的恰恰相反,但這是 Windows 介面註冊可執行檔所需的步驟。

在彈出的視窗中,您需要使用按鈕。 使用“瀏覽”功能找到磁碟上的 .exe 檔案。它通常會位於「Program Files」或「Program Files (x86)」資料夾內,除非您在安裝過程中變更了路徑。

找到可執行檔後,選中它,點擊“確定”,然後點擊… 點擊“添加”將其添加到列表中從那時起,它將像其他應用程式一樣出現,並帶有相應的欄位。

最後一步包括 取消選取新新增的應用程式的複選框 阻止其透過私人網路和公共網路存取互聯網。只要防火牆保持啟用狀態且該複選框未選中,該應用程式就無法與外部世界通訊。

進階封鎖:在 Windows 防火牆中建立特定的出站規則

當您需要精細控制哪些程式可以使用網路時,最好進入… 「Windows Defender 進階安全防火牆」的進階設置這裡會為每個可執行檔建立詳細的退出規則。

在左側面板中,您將看到該部分 “退出規則”任何試圖連接到互聯網的程序都必須遵守這些規則;如果某個程序阻止了它的流量,它將無法建立連接。

在右側面板的“操作”下方,有一個選項 “新規定…”點擊它會開啟嚮導,您可以在其中選擇規則類型(要封鎖成人網站和程序,通常類型為「程序」)。

選擇“程序”並繼續,您將能夠指示 你要控制的可執行檔的確切路徑您可以在這裡手動輸入(例如,C:\Program Files\Application\app.exe),或使用「瀏覽」按鈕找到它。

接下來,助手會詢問您如何處理這些流量。我們在此感興趣的是… 選擇“阻止連線”因此,該可執行檔試圖連接到網路的任何嘗試都會被防火牆直接阻止。

下一步,您必須指定該規則將套用於哪些網路設定檔: 領域、私人領域與公共領域在大多數情況下,最好啟用所有三個選項,以便無論裝置是在公司網路、家庭 WiFi 網路還是公共存取點上,鎖定功能都能正常運作。

最後,剩下的就是給統治者一個 一個描述性的名稱,能夠清楚地識別程式及其模組的用途。這樣,如果您以後想要停用或修改它,就更容易找到它了。

在 Windows 防火牆中啟用、停用和使用白名單

有些時候,你不只想屏蔽,而且 確保某些應用程式始終能夠通過防火牆 因為它們對公司或系統至關重要。這就是白名單概念發揮作用的地方。

在經典防火牆視圖中,您可以使用下列選項 “允許應用程式或功能通過 Windows Defender 防火牆” 若要管理這些白名單,請點選「變更設定」。點擊後,您可以選擇哪些應用程式可以在私人網路和公有網路上使用。

在「公開」個人資料中選擇應用程式意味著 即使在通常非常不安全的開放式 WiFi 網路上,它也能進行通訊。因此,建議僅將此權限限制為真正需要且不處理敏感資料的程式。

如果您想暫時封鎖一個已經建立了退出規則的程序,則無需刪除該規則。只需… 轉到“出站規則”列表,右鍵單擊並選擇“禁用規則”。當您需要再次使用它時,可以使用相同的步驟再次啟動它。

AppLocker是什麼?為什麼它在鎖定應用程式方面如此強大?

如何使用 Credential Guard、Bitlocker、AppLocker、Device Guard 和 Windows Defender 應用程式控制保護 Windows

防火牆決定 允許或阻止哪些網路流量AppLocker專注於 Windows電腦可以運行哪些應用程式?它是一款主要針對企業環境和伺服器的應用程式控制工具。

AppLocker 將您的設定整理成多個部分。 一系列規則,每條規則都針對特定的文件類型這些檔案包括可執行檔(.exe、.com)、腳本檔案(.ps1、.bat、.cmd、.vbs、.js)、Windows 安裝程式(.msi、.msp、.mst)、打包應用程式(.appx)和 DLL 安裝程式(.dll、.ocx)。

  Telecinco 新聞曝光 DGT 密碼:背景、漏洞及經驗教訓

DLL 規則集合來自 預設已停用,正是因為嚴格的 DLL 控制可能會破壞許多應用程式。 如果規劃不當,則可能造成安全隱患。當需要高度安全的環境時,可以透過本機安全性原則或群組原則中的 AppLocker 屬性啟用此功能。

AppLocker 的最大優勢在於您可以自訂設定。 誰能執行什麼任務,能做到非常細緻入微。使用發布者(數位簽章)、檔案路徑或其加密雜湊等標準。

AppLocker 應用模式:應用程式、稽核或不配置

每個 AppLocker 規則集合(可執行檔、腳本、安裝程式等)都可以位於一個 不同的合規模式這決定了規則是實際應用還是僅僅記錄下來以供分析。

模式“應用規則“這是最嚴格的模式:當受規則影響的應用程式嘗試運行時,系統會阻止它並將事件記錄在 AppLocker 日誌中。如果您清楚要允許什麼以及要禁止什麼,則應使用此模式。”

模式“僅審計它允許應用程式正常運行,但是 它會在事件檢視器中記錄所有活動,這些活動在規則處於強制模式時會被阻止。它非常適合在不破壞任何現有功能的情況下測試新策略。

最後,還有國家“未配置這常常會造成混淆。僅僅因為某個集合「未配置」並不一定意味著它會被忽略: 如果已有相關規定,則應予以執行,除非有其他優先順序更高的指令將其置於僅供審計的狀態。因此,建議始終明確選擇申請還是審核。

當多個 AppLocker 策略組合在同一台電腦上時,這些規則會被聚合,最終的模式由下列因素決定: 集團指令的優先性如果您使用 -merge 選項將本機原則與網域原則混合使用 PowerShell的Windows 選擇 限制性最強的應用模式.

AppLocker 中的規則條件:發布者、路徑和雜湊值

AppLocker 規則使用三種主要類型的條件 準確識別它們適用於哪些文件:按發布者、按路徑或按檔案哈希值。

情況 發布者依賴數位簽章和與文件關聯的元資料。 (供應商名稱、產品、原始檔案名稱、版本號碼等)。它與已簽名軟體配合使用效果非常好,並允許您創建諸如“允許來自該製造商的此產品的所有版本”之類的規則。

選擇參考文件後,精靈會自動填寫發布者、產品、文件名稱和版本欄位。您可以使規則更通用。 透過移動版本滑桿或使用通配符 * 在產品、名稱或版本欄位中,如果您想涵蓋未來的更新,這一點至關重要。

情況 路徑透過應用程式在檔案系統或網路上的位置來標識它們。AppLocker 支援特殊路徑變量,例如 %WINDIR%、%SYSTEM32%、%PROGRAMFILES%、%OSDRIVE%、%REMOVABLE% 或 %HOT%,這有助於建立即使磁碟機號碼變更也能保留的規則。

情況 文件雜湊值是基於為該特定二進位檔案計算出的加密值。每個版本都會產生不同的雜湊值,因此該規則僅適用於特定的檔案。缺點是,任何更新都需要重新計算雜湊值並更新規則。

AppLocker 中的預設規則和規則行為

使用群組原則編輯器建立新的 AppLocker 策略時,您可以生成 旨在保持 Windows 系統運作而不破壞系統的預設規則強烈建議第一次就這樣做。

可執行檔的預設規則包括: 允許本地管理員運行所有應用程式允許所有使用者運行位於 Windows 資料夾中的應用程序,也允許運行位於 Program Files 資料夾中的應用程式。

腳本也遵循類似的規則: 管理員可以執行所有腳本 所有使用者都可以執行位於「Program Files」或「Windows」目錄下的檔案。 Windows 安裝程式還具有預設規則,可讓管理員執行任何 MSI 文件,並允許「Everyone」群組執行已簽署的安裝程式或位於「Windows\Installer」目錄下的檔案。

如果一組規則中沒有規則, 允許運行所有此類文件只要創建了至少一條規則,行為就會改變:只有符合允許規則且不符合任何拒絕規則的操作才會執行。

因此,建議的策略是 主要使用允許規則並添加例外,而不是混合使用許多明確拒絕規則。如果發生衝突,「拒絕」操作總是有效,沒有辦法用其他規則推翻它。

規則例外及其在使用者群組中的應用

AppLocker 可讓您將每個規則套用至 特定使用者或群體這為制定高度精細化的策略打開了大門。例如,您可以為支援人員、一般使用者和服務帳戶建立不同的規則。

如果你創建了一條允許所有人運行一系列應用程式的通用規則,但你需要 阻止部分使用者使用特定工具您可以依賴例外規則。一個典型的例子是允許所有人運行 Windows 系統,但阻止大多數使用者存取註冊表編輯器。

在這種情況下,您可以定義規則“允許除以下情況外的所有人運行 Windows 註冊表編輯器Exe的。“然後添加一條額外的規則,‘允許支援組執行 regedit.exe’。透過使用允許規則和例外,您可以獲得比使用全域拒絕規則更可預測的行為。”

  如何將影片從 iPhone 傳輸到 PC?

要記住的是,AppLocker 的設計初衷是… 當集合中存在規則時,它不允許開啟或執行任何未明確允許的操作。因此,對應用程式進行編目並保持清單更新的工作是持續不斷的,尤其是在瞬息萬變的環境中。

啟用並使用 DLL 規則集

DLL 控制是 AppLocker 最激進的級別,因為 幾乎所有現代程式都會載入幾十個甚至幾百個函式庫。因此,DLL 規則收集預設情況下是停用的,只有在審核模式下對策略進行徹底測試後才應啟用。

要在本地啟用它,您需要 成為團隊管理員組成員從「開始」功能表可以執行 secpol.msc,如果出現使用者帳戶控制提示,請確認,然後導覽至「應用程式控制策略 > AppLocker」。

在 AppLocker 的屬性中,您會看到一個「進階」選項卡,您可以在其中進行以下設定: 選擇“啟用 DLL 規則收集”選項從那時起,您可以按照與發布者、路徑或雜湊相同的邏輯,為動態程式庫定義特定規則。

使用 AppLocker 精靈建立規則

為了方便管理員,Windows 包含 產生 AppLocker 規則的兩個主要嚮導第一個是經典的“規則創建嚮導”, 逐步指南 定義一條規則。

第二個是「嚮導自動產生規則此工具會檢查資料夾或一組已安裝的軟體包應用程序,並一次產生多個允許規則。它非常適合作為參考系統的起點。

有了這個助手,你可以選擇什麼 產生的規則將套用於使用者或使用者群組。 而他本人也盡可能地利用出版商的條件,讓規則更能適應更新。

實際範例:在 RDS 伺服器上使用 AppLocker 鎖定記事本

理解 AppLocker 的一個非常典型的例子是: 阻止特定使用者群組存取記事本 (notepad.exe) 在遠端桌面服務 (RDS) 伺服器上,允許其他伺服器存取。

首先要確保服務“應用程式身份由於 AppLocker 依賴它,因此程式正在運行。預設情況下它通常是停用的,因此您可以手動啟動它,或者定義一個 GPO 來配置它自動啟動。

從控制台“群組原則管理「您需要建立新的 GPO,並將其連結到使用者或 RDS 伺服器所在的 OU。在該策略中,請前往「應用程式控制 > AppLocker」部分,然後造訪「可執行規則」。

在那裡啟動建立新規則的嚮導,然後選擇操作“拒絕”,您可以選擇不應該使用記事本的使用者群組,並且作為條件,您可以選擇“編輯器”或“路徑”來指向 notepad.exe 可執行檔。

在文件版本部分,這一點非常重要。 使用通配符 * 可以涵蓋該程式的任何未來版本。否則,一次小更新就可能將新的可執行檔從鎖定中移除。

如果您是第一次在此環境下使用 AppLocker,系統會給予建議 建立預設規則以避免阻塞關鍵系統組件為了避免Windows系統無法使用,您應該接受此提議。

對於伺服器而言 終端 對於伺服器/RDS,建議進行以下配置: 環回處理 以「取代」或「合併」模式,使 AppLocker GPO 專門應用於伺服器會話,而不會意外影響用戶端電腦。

使用 gpupdate /force 強制更新策略並讓受影響的使用者重新登入後, 當您嘗試開啟記事本時,您會看到一條警告,提示該應用程式已被策略封鎖。無論你是從選單開啟還是從控制台開啟。

封鎖成人網站並控制其他系統和設備上的流量

雖然本文主要討論的是Windows系統, 使用防火牆和過濾來屏蔽成人網站的想法適用於任何作業系統。例如,在 macOS 系統中,內建防火牆可以透過「系統設定」>「網路和網際網路」或「安全性與隱私權」(取決於系統版本)來啟動。

啟動後,您可以查看防火牆選項清單。 允許或阻止的應用程式和服務 點擊“+”按鈕即可新增新的應用程式。對於每個應用,您可以選擇允許或阻止傳入連接,這有助於減少攻擊面。

En 移動 (Android, iOS控制通常是透過以下方式行使的: 防火牆應用程式或家長監護解決方案 整合了按類別進行內容篩選的功能。許多功能在以下層面上運作: VPN 或使用過濾式 DNS,強制所有流量通過該伺服器。 阻止某些網站在安卓系統上運行 以及其他不需要的網站。

路由器作為網路入口點,通常內建防火牆,允許… 在全網範圍內建立阻止規則透過路由器封鎖成人網站,可以確保所有連接的裝置(電腦、平板電腦、手機、智慧電視)都受到保護,而無需單獨配置每個裝置。