Windows 防火牆 Windows XP Service Pack
(SP
) 包含新的 Windows 防火牆
它取代了 Internet 連接防火牆 (ICF)
Windows 防火牆是一個基於主機的狀態防火牆
它會斷開非請求的傳入通信
這些通信指並非為響應計算機的請求而發送的通信(請求通信)或被指定為可允許的非請求通信(例外通信)
Windows 防火牆針對依靠非請求傳入通信攻擊網絡計算機的惡意用戶和程序提供了一定程度的保護
在 Windows XP SP
中有許多關於 Windows 防火牆的新功能
其中包括
&#
; 默認情況下對計算機的所有連接都啟用
&#
; 應用於所有連接的新全局配置選項
&#
; 用於本地配置的一組新對話框
&#
; 新的操作模式
&#
; 啟動安全性
&#
; 可按范圍指定例外通信
&#
; 可按應用程序文件名指定例外通信
&#
; 對 Internet 協議版本
(IPv
) 通信的內置支持
&#
; 關於 Netsh 和組策略的新配置選項
有關關於這些更改的更多信息
請參閱
年
月 Cable Guy 的文章 New Networking Features in Windows XP Service Pack
(Windows XP Service Pack
中的新的網絡功能)
這篇文章詳細說明了用於手動配置新 Windows 防火牆的對話框組
不同於裝有 Service Pack
(SP
) 和未裝 Service Pack 的 Windows XP 中的 ICF
這些配置對話框對 IPv
和 IPv
通信都可以進行配置
在裝有 SP
的 Windows XP 和未安裝 Service Pack 的 Windows XP 中
ICF 的設置包括一個復選框(連接屬性的
高級
選項卡上的
通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡
復選框)和一個可用於配置例外通信
日志設置和允許的 ICMP 通信的
設置
按鈕
在 Windows XP SP
中
連接屬性的
高級
選項卡上的復選框被一個
設置
按鈕所取代
使用該按鈕可以配置常規設置
程序和服務的權限
連接專用設置
日志設置和允許的 ICMP 通信
設置
按鈕可啟動新的 Windows 防火牆控制面板小程序
您也可以從控制面板的
網絡和 Internet 連接
和
安全中心
分類中啟用該小程序
新的
Windows 防火牆
對話框包括下列選項卡
&#
; 常規
&#
; 例外
&#
; 高級
常規選項卡 常規
選項卡及其默認設置顯示在下圖中
在
常規
選項卡中
您可以進行下列選擇
&#
; 打開(推薦)
選擇對
高級
選項卡中選定的所有網絡連接啟用 Windows 防火牆
啟用 Windows 防火牆後將只允許請求的和例外的傳入通信
例外通信在
例外
選項卡中進行配置
&#
; 不允許例外
點擊該選項將只允許請求的傳入通信
例外傳入通信則不被允許
不管
高級
選項卡中的設置如何
例外
選項卡中的設置將被忽略
所有的網絡連接都將得到保護
&#
; 關閉(不推薦)
選擇該選項將禁用 Windows 防火牆
不推薦使用此選項
尤其是對於可以直接從 Internet 進行訪問的網絡連接
除非您已經使用了第三方的主機防火牆產品
請注意
對於所有運行帶有 SP
的 Windows XP 的計算機連接和新創建的連接
Windows 防火牆的默認設置都是
打開(推薦)
這會影響那些依賴非請求傳入通信的程序或服務的通訊
在這種情況下
您必須識別出哪些程序不再運行
並且將這些程序或其通信添加為例外通信
許多程序
諸如 Internet 浏覽器和電子郵件客戶端(如 Outlook Express)
並不依賴非請求通信
並且可以在 Windows 防火牆啟用時正常運行
如果您使用組策略來對運行裝有 SP
的 Windows XP 的計算機配置 Windows 防火牆
您配置的組策略設置可能不允許本地配置
在這種情況下
常規
選項卡和其他選項卡中的選項可能被灰顯並不可用
即使您登錄時使用的帳戶是本地管理員組的成員(本地管理員)也是如此
基於組策略的 Windows 防火牆設置允許您配置域配置文件(當您連接到一個包括域控制器的網絡時將應用的一組 Windows 防火牆設置)和標准配置文件(當您連接到一個不包括域控制器的網絡(如 Internet)時將應用的一組 Windows 防火牆設置)
配置對話框只顯示了當前應用的配置文件的 Windows 防火牆設置
要查看當前沒有應用的配置文件的設置
請使用netsh firewall show 命令
要更改當前沒有應用的配置文件的設置
請使用netsh firewall set 命令
例外選項卡 例外
選項卡及其默認設置請見下圖
在
例外
選項卡中
您可以啟用或禁用一個現有的程序或服務
或者維護用於定義例外通信的程序和服務列表
在
常規
選項卡中選定
不允許例外
選項後
例外通信將不被允許
使用裝有 SP
和未裝 Service Pack 的 Windows XP 時
您只有通過傳輸控制協議 (TCP) 或用戶數據報協議 (UDP) 端口來定義例外通信
使用裝有 SP
的 Windows XP
您可以通過 TCP 和 UDP 端口或者使用某個程序(應用程序或服務)的文件名來定義例外通信
在程序的 TCP 或 UDP 端口未知時或者在程序啟動被動態定義時
這種配置靈活性將使得配置例外通信更加容易
有一組預定義的程序
其中包括
&#
; 文件和打印共享
&#
; 遠程協助(默認啟用)
&#
; 遠程桌面
&#
; UPnP 框架
這些預定義程序和服務是不能被刪除的
如果組策略允許
您可以通過點擊
添加程序
來指定一個程序名
從而創建附加例外
也可以通過點擊
AddPort
來指定一個 TCP 或 UDP 端口
從而創建例外
當您點擊
添加程序
時
將顯示
添加程序
對話框
您可以從中選擇一個程序或者浏覽查找一個程序文件名
下圖顯示了一個示例
當您點擊
AddPort
時
將顯示
添加端口
對話框
您可以從中配置 TCP 或 UDP 端口
下圖顯示了一個示例
新的 Windows 防火牆允許您指定例外通信的范圍
這個范圍定義了哪一部分的網絡連接產生的例外通信是被允許的
要定義一個程序或端口的范圍
請點擊
更改范圍
下圖顯示了一個示例
在定義一個程序或端口的范圍時
您有三個選項可以選擇
&#
; 任意一台計算機(包括 Internet 上的計算機)
從任何 IPv
地址發出的例外通信都是被允許的
這種設置可能會使您的計算機容易受到 Internet 上的惡意用戶或程序的攻擊
&#
; 僅限我的網絡(子網)
只有從符合以下條件的 IPv
地址發出的例外通信才是被允許的
與接收通信的網絡連接所連的本地網絡段(子網)相匹配的 IPv
地址
比如
如果網絡連接所配置的 IPv
地址是
並帶有子網掩碼
那麼只有從
到
的 IPv
地址發出的例外通信才是被允許的
&#
; 自定義列表
您可以指定一個或多個用逗號分割的 IPv
地址或 IPv
地址范圍
IPv
地址范圍通常對應於子網
對 IPv
地址來說
用點分十進制記法鍵入 IPv
地址
對 IPv
地址范圍來說
您可以使用點分十進制子網掩碼或前綴長度來指定一個范圍
當您使用點分十進制子網掩碼時
您可以把范圍指定為一個 IPv
網絡 ID(如
/
)或者使用一個在范圍內的 IPv
地址(如
/
)來指定范圍
當您使用網絡前綴長度時
您可以將范圍指定為一個 IPv
網絡 ID(如
/
)或者使用一個在范圍內的 IPv
地址(如
/
)來指定范圍
下面是自定義列表的一個示例
/
/
/
/
您不能夠為 IPv
通信指定自定義列表
在您想允許本地網絡中的計算機(它們都連接在同一個子網中)訪問一個程序或服務
而不允許潛在的惡意 Internet 用戶訪問時
僅限我的網絡(子網)
范圍會很有用
程序或端口一旦被添加
它就在
程序和服務
列表中被默認禁用
對於在
高級
選項卡中選定的所有連接
所有在
例外
選項卡中啟用的程序和服務都將啟用
高級選項卡 下圖顯示了
高級
選項卡
高級
選項卡包括下面幾個部分
&#
; 網絡連接設置
&#
; 安全日志
&#
; ICMP
&#
; 默認設置
網絡連接設置 在
網絡連接設置
中
您可以
&#
; 指定一組用於啟用 Windows 防火牆的接口
如要啟用
請選擇網絡連接名稱旁邊的復選框
如要禁用
請清除復選框
默認情況下
所有的網絡連接都啟用了 Windows 防火牆
如果某個網絡連接沒有出現在此列
From:http://tw.wingwit.com/Article/os/youhua/201311/10841.html
