Windows操作系统的防火墙是一种纯软件的主机防火墙。本节介绍Windows7的防火墙的基本配置方法。
1. 打开和关闭防火墙
在Windows 7中,依次点出“开始”→“控制面板”→“Windows防火墙”,打开防火墙,如图5-21所示。
图5-21 防火墙的主界面
在图5-21中点出左侧的“打开和关闭Windows防火墙”(另外点击更改通知设置也会到这个界面),进入防火墙的启动与关闭界面,如图5-22所示。
图5-22 防火墙的启动与关闭
在启用Windows防火墙里还有两个选项:
“阻止所有传入连接,包括位于允许程序列表中的程序”:这一项默认即可,否则可能会影响允许程序列表里的一些程序使用。
“Windows防火墙阻止新程序时通知我”:这一项对于个人日常使用肯定需要选中的,方便自己随时做出判断响应。
如果需要关闭,只需要选择对应网络类型里的“关闭Windows防火墙(不推荐)”这一项,然后点击“确定”即可。
2. 还原默认设置
如果自己的防火墙配置有些混乱,可以使用图5-21左侧的“还原默认设置”一项,还原时,Windows 7会删除所有的网络防火墙配置项目,恢复到初始状态。例如,如果关闭了防火墙,则会自动开启,如果设置了允许程序列表,则会全部删除掉添加的规则。
3. 允许程序规则配置
点击图5-21中左侧的“允许程序或功能通过Windows防火墙”,进入如图5-23所示的界面,设置允许程序列表或基本服务。应用程序的许可规则可以区分网络类型(家庭/工作网络和公用网络),并支持独立配置,互不影响,这对于双网卡的用户就很有作用。
图5-23 允许程序规则配置
在第一次设置时,可能需要点一下右侧的“更改设置”按钮后,才可操作(需要管理员权限)。例如,上文选择了“允许文件和打印机共享”,并且只对家庭或工作网络有效(见图右侧)。如果需要了解某个功能的具体内容,可以在点选该项之后,点击下面的详细信息即可查看。
如果需要添加自己的应用程序许可规则,可以通过下面的“允许运行另一程序”按钮进行添加,点击后如图5-24所示。
图5-24 添加应用程序许可规则
添加后,如果需要删除(如原程序已经卸载了等),则只需要在图5-24中点选对应的程序项,再点击下面的“删除”按钮即可,当然系统的服务项目是无法删除的,只能禁用。另外,如果还想对增加的允许规则进行详细定制,如端口、协议、安全连接及作用域等,则需要到“高级设置”里进行设置。
4. Windows防火墙的高级设置
点击图5-21中左侧的“高级设置”,进入高级设置的界面,如图5-25所示。“高级设置”是Windows7防火墙的重点所在,几乎所有的防火墙设置都可以在这个高级设置里完成。整个“高级设置”可分为左、中、右三大块。左侧是防火墙的控制导航树,中间是防火墙设置的主要内容,右侧是操作栏。
(1)操作栏主要包括以下操作:
导入和导出策略:导入和导出策略是用来通过策略文件(*.wfw)进行配置保存或共享部署之用。导出功能既可以作为当前设置的备份,也可以共享给其他计算机进行批量部署。
还原默认策略:还原默认策略功能跟前面恢复防火墙默认设置类似,还原默认策略将会重置自动安装Windows之后对Windows防火墙所做的所有更改,还原后有可能会导致某些程序停止运行。
诊断/修复:用来诊断和修复Internet连接。
属性:与中间栏的“Windows防火墙属性”是相同的。
图5-25 Windows 7防火墙的高级设置
(2)Windows防火墙属性设置。
Windows防火墙属性设置,包括域配置文件、专用配置文件、公用配置文件、IPSec设置等四大块。(www.daowen.com)
域配置文件:主要是面向企业域连接使用,普通用户也可以把它关闭掉。
专用配置文件:是面向家庭网络和工作网络配置使用,大家最常使用。
公用配置文件:是面向公用网络配置使用,如果在酒店、机场等公共场合时可能需要使用。
IPSec设置:是面向VPN等需要进行安全连接时使用。
上述四种设置:前三种配置方法几乎完全相同,所以下文只以专用配置文件和IPSec设置为例进行介绍:
① 专用配置文件。
专用配置文件标签的主界面如图5-26所示。它主要用于指定将计算机连接专用网络位置时的行为,主要设置内容如下:
防火墙的状态:有启用(推荐)和关闭两个选项,可以在这里进行设置,防火墙的常规配置里也可以完成防火墙的开启和关闭,效果相同。
入站连接:有阻止(默认值)、阻止所有连接和允许三个选项,似乎除了实验用机,都不能选择最后的允许一项,来者不拒会带来很大麻烦。
出站连接:有阻止和允许(默认值)两个选项,对于个人计算机还是需要访问网络的就选择默认值即可。
当点击“指定控制Windows防火墙行为的设置”右侧的“自定义”后会出现如图5-27所示的界面。
图5-26 防火墙属性
图5-27 自定义防火墙的行为设置
第一个设置可以使Windows防火墙在某个程序被阻止接收入站连接时通知用户,注意这里只对没有设置阻止或允许规格的程序才有效,如果已经设置了阻止,则Windows防火墙不会发出通知。下面的设置意思是许可对多播或广播网络流量的单播响应,所指的多播或广播都是本机发出的,接收客户机进行单播响应,默认设置即可。
② IPSec设置。
IPSec设置的界面如图5-28所示。
图5-28 IPSec标签
IPSec默认值:可以配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”可以显示“自定义IPSec设置”对话框。当具有活动安全规格时,IPSec将使用该项设置规则建立安全连接,如果没有对密钥交换(主模式)、数据保护(快速模式)和身份验证方法进行指定,则建立连接时将会使用组策略对象(GPO)中优先级较高的任意设置,顺序如下:最高优先级组策略对象(GPO)→本地定义的策略设置→IPSec设置的默认值(如身份验证算法默认是Kerberos V5等,更多默认可以直接点击下面窗口的“什么是默认值”帮助文件)。
IPSec免除:此选项设置确定包含Internet控制消息协议(ICMP)消息的流量包是否受到IPSec保护,ICMP通常由网络疑难解答工具和过程使用。注意,此设置仅从高级安全Windows 防火墙的IPSec部分免除ICMP,若要确保允许ICMP数据包通过Windows防火墙,还必须创建并启用入站规则(入站规则的设置方法参见下文),另外,如果在“网络和共享中心”中启用了文件和打印机共享,则高级安全Windows防火墙会自动启用允许常用ICMP数据包类型的防火墙规则。可能也会启用与ICMP不相关的网络功能,如果只希望启用ICMP,则在 Windows防火墙中创建并启用规则,以允许入站ICMP网络数据包。
IPSec隧道授权:只在以下情况下使用此选项,具有创建从远程计算机到本地计算机的IPSec隧道模式连接的连接安全规则,并希望指定用户和计算机,以允许或拒绝其通过隧道访问本地计算机。选择“高级”,然后单击“自定义”可以显示“自定义IPSec隧道授权”对话框,如图5-29所示,可以为需要授权的计算机或用户进行隧道规则授权。
图5-29 IPSec设置
(3)Windows防火墙规则的定制。
Windows防火墙高级设置左侧的控制导航树,大部分都是防火墙规则设置功能,可以创建防火墙规则以便阻止或允许此计算机向程序、系统服务、计算机或用户发送流量,或是接收来自这些对象的流量。规则标准只有3个:允许、条件允许和阻止。条件允许是指只允许使用IPSec保护下的连接通过。
我们在Windows防火墙的“允许程序或功能通过Windows防火墙”中每增加或减少一个设置项,都会反映到入站或出站规则中来。这些规则从整体上看可以分成两个部分,一是用户规则,如我们手动增加的允许程序规则就属于用户规则,还有一些系统预定义规则,预定义规则大部分都是系统已经预先设置好的,而且很多设置都是不允许修改的,我们点击前面增加的WinRAR程序允许规则(单击鼠标右键选择属性或直接双击左键)。
在图5-30所示的属性设置可以看出手动增加的程序规则几乎都可以完全定制,而系统的预定义规则中的“程序和服务”与“协议和端口”两个部分几乎都不可以修改,系统规则也会明确黄色头标注明,大部分系统规则,我们只需要启用或禁止即可。
我们在允许程序或服务管理中,每增加一条程序或启用一个服务,我们可以在高级安全管理界面里看到可能会N条规则,规则记录数的多少是跟程序或服务实际使用的协议数有关系,如上文增加的WinRAR记录如果只选择专用网络,则会默认增加适合专网TCP、UDP两条规则记录,当然这些规则全部都可以在属性界面修改掉。
图5-30 连接规则设置
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。