Windows操作系统的防火墙是一种纯软件的主机防火墙。本节介绍Windows7的防火墙的基本配置方法。

1. 打开和关闭防火墙

在Windows 7中，依次点出“开始”→“控制面板”→“Windows防火墙”，打开防火墙，如图5-21所示。

图5-21　防火墙的主界面

在图5-21中点出左侧的“打开和关闭Windows防火墙”（另外点击更改通知设置也会到这个界面），进入防火墙的启动与关闭界面，如图5-22所示。

图5-22　防火墙的启动与关闭

在启用Windows防火墙里还有两个选项：

“阻止所有传入连接，包括位于允许程序列表中的程序”：这一项默认即可，否则可能会影响允许程序列表里的一些程序使用。

“Windows防火墙阻止新程序时通知我”：这一项对于个人日常使用肯定需要选中的，方便自己随时做出判断响应。

如果需要关闭，只需要选择对应网络类型里的“关闭Windows防火墙（不推荐）”这一项，然后点击“确定”即可。

2. 还原默认设置

如果自己的防火墙配置有些混乱，可以使用图5-21左侧的“还原默认设置”一项，还原时，Windows 7会删除所有的网络防火墙配置项目，恢复到初始状态。例如，如果关闭了防火墙，则会自动开启，如果设置了允许程序列表，则会全部删除掉添加的规则。

3. 允许程序规则配置

点击图5-21中左侧的“允许程序或功能通过Windows防火墙”，进入如图5-23所示的界面，设置允许程序列表或基本服务。应用程序的许可规则可以区分网络类型（家庭/工作网络和公用网络），并支持独立配置，互不影响，这对于双网卡的用户就很有作用。

图5-23　允许程序规则配置

在第一次设置时，可能需要点一下右侧的“更改设置”按钮后，才可操作（需要管理员权限）。例如，上文选择了“允许文件和打印机共享”，并且只对家庭或工作网络有效（见图右侧）。如果需要了解某个功能的具体内容，可以在点选该项之后，点击下面的详细信息即可查看。

如果需要添加自己的应用程序许可规则，可以通过下面的“允许运行另一程序”按钮进行添加，点击后如图5-24所示。

图5-24　添加应用程序许可规则

添加后，如果需要删除（如原程序已经卸载了等），则只需要在图5-24中点选对应的程序项，再点击下面的“删除”按钮即可，当然系统的服务项目是无法删除的，只能禁用。另外，如果还想对增加的允许规则进行详细定制，如端口、协议、安全连接及作用域等，则需要到“高级设置”里进行设置。

4. Windows防火墙的高级设置

点击图5-21中左侧的“高级设置”，进入高级设置的界面，如图5-25所示。“高级设置”是Windows7防火墙的重点所在，几乎所有的防火墙设置都可以在这个高级设置里完成。整个“高级设置”可分为左、中、右三大块。左侧是防火墙的控制导航树，中间是防火墙设置的主要内容，右侧是操作栏。

（1）操作栏主要包括以下操作：

导入和导出策略：导入和导出策略是用来通过策略文件（*.wfw）进行配置保存或共享部署之用。导出功能既可以作为当前设置的备份，也可以共享给其他计算机进行批量部署。

还原默认策略：还原默认策略功能跟前面恢复防火墙默认设置类似，还原默认策略将会重置自动安装Windows之后对Windows防火墙所做的所有更改，还原后有可能会导致某些程序停止运行。

诊断/修复：用来诊断和修复Internet连接。

属性：与中间栏的“Windows防火墙属性”是相同的。

图5-25　Windows 7防火墙的高级设置

（2）Windows防火墙属性设置。

Windows防火墙属性设置，包括域配置文件、专用配置文件、公用配置文件、IPSec设置等四大块。(www.daowen.com)

域配置文件：主要是面向企业域连接使用，普通用户也可以把它关闭掉。

专用配置文件：是面向家庭网络和工作网络配置使用，大家最常使用。

公用配置文件：是面向公用网络配置使用，如果在酒店、机场等公共场合时可能需要使用。

IPSec设置：是面向VPN等需要进行安全连接时使用。

上述四种设置：前三种配置方法几乎完全相同，所以下文只以专用配置文件和IPSec设置为例进行介绍：

① 专用配置文件。

专用配置文件标签的主界面如图5-26所示。它主要用于指定将计算机连接专用网络位置时的行为，主要设置内容如下：

防火墙的状态：有启用（推荐）和关闭两个选项，可以在这里进行设置，防火墙的常规配置里也可以完成防火墙的开启和关闭，效果相同。

入站连接：有阻止（默认值）、阻止所有连接和允许三个选项，似乎除了实验用机，都不能选择最后的允许一项，来者不拒会带来很大麻烦。

出站连接：有阻止和允许（默认值）两个选项，对于个人计算机还是需要访问网络的就选择默认值即可。

当点击“指定控制Windows防火墙行为的设置”右侧的“自定义”后会出现如图5-27所示的界面。

图5-26　防火墙属性

图5-27　自定义防火墙的行为设置

第一个设置可以使Windows防火墙在某个程序被阻止接收入站连接时通知用户，注意这里只对没有设置阻止或允许规格的程序才有效，如果已经设置了阻止，则Windows防火墙不会发出通知。下面的设置意思是许可对多播或广播网络流量的单播响应，所指的多播或广播都是本机发出的，接收客户机进行单播响应，默认设置即可。

② IPSec设置。

IPSec设置的界面如图5-28所示。

图5-28　IPSec标签

IPSec默认值：可以配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”可以显示“自定义IPSec设置”对话框。当具有活动安全规格时，IPSec将使用该项设置规则建立安全连接，如果没有对密钥交换（主模式）、数据保护（快速模式）和身份验证方法进行指定，则建立连接时将会使用组策略对象（GPO）中优先级较高的任意设置，顺序如下：最高优先级组策略对象（GPO）→本地定义的策略设置→IPSec设置的默认值（如身份验证算法默认是Kerberos V5等，更多默认可以直接点击下面窗口的“什么是默认值”帮助文件）。

IPSec免除：此选项设置确定包含Internet控制消息协议（ICMP）消息的流量包是否受到IPSec保护，ICMP通常由网络疑难解答工具和过程使用。注意，此设置仅从高级安全Windows 防火墙的IPSec部分免除ICMP，若要确保允许ICMP数据包通过Windows防火墙，还必须创建并启用入站规则（入站规则的设置方法参见下文），另外，如果在“网络和共享中心”中启用了文件和打印机共享，则高级安全Windows防火墙会自动启用允许常用ICMP数据包类型的防火墙规则。可能也会启用与ICMP不相关的网络功能，如果只希望启用ICMP，则在 Windows防火墙中创建并启用规则，以允许入站ICMP网络数据包。

IPSec隧道授权：只在以下情况下使用此选项，具有创建从远程计算机到本地计算机的IPSec隧道模式连接的连接安全规则，并希望指定用户和计算机，以允许或拒绝其通过隧道访问本地计算机。选择“高级”，然后单击“自定义”可以显示“自定义IPSec隧道授权”对话框，如图5-29所示，可以为需要授权的计算机或用户进行隧道规则授权。

图5-29　IPSec设置

（3）Windows防火墙规则的定制。

Windows防火墙高级设置左侧的控制导航树，大部分都是防火墙规则设置功能，可以创建防火墙规则以便阻止或允许此计算机向程序、系统服务、计算机或用户发送流量，或是接收来自这些对象的流量。规则标准只有3个：允许、条件允许和阻止。条件允许是指只允许使用IPSec保护下的连接通过。

我们在Windows防火墙的“允许程序或功能通过Windows防火墙”中每增加或减少一个设置项，都会反映到入站或出站规则中来。这些规则从整体上看可以分成两个部分，一是用户规则，如我们手动增加的允许程序规则就属于用户规则，还有一些系统预定义规则，预定义规则大部分都是系统已经预先设置好的，而且很多设置都是不允许修改的，我们点击前面增加的WinRAR程序允许规则（单击鼠标右键选择属性或直接双击左键）。

在图5-30所示的属性设置可以看出手动增加的程序规则几乎都可以完全定制，而系统的预定义规则中的“程序和服务”与“协议和端口”两个部分几乎都不可以修改，系统规则也会明确黄色头标注明，大部分系统规则，我们只需要启用或禁止即可。

我们在允许程序或服务管理中，每增加一条程序或启用一个服务，我们可以在高级安全管理界面里看到可能会N条规则，规则记录数的多少是跟程序或服务实际使用的协议数有关系，如上文增加的WinRAR记录如果只选择专用网络，则会默认增加适合专网TCP、UDP两条规则记录，当然这些规则全部都可以在属性界面修改掉。

图5-30　连接规则设置