Windows 7防火墙设置详解.doc

《Windows 7防火墙设置详解.doc》由会员分享，可在线阅读，更多相关《Windows 7防火墙设置详解.doc（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Windows 7防火墙设置详解 本文介绍Windows 7防火墙的设置方法，自从Vista开始，Windows的防火墙功能已经是越加臻于完善、今非昔比了，系统防火墙已经成为系统的一个不可或缺的部分，不再像XP那样防护功能简单、配置单一，所以无论是安装哪个第三方防火墙，Windows 7自带的系统防火墙都不应该被关闭掉，反而应该学着使用和熟悉它，对我们的系统信息保护将会大有裨益。防火墙有软件的也有硬件的，当然了，其实硬件仍然是按照软件的逻辑进行工作的，所以也并非所有的硬防就一定比软防好，防火墙的作用是用来检查网络或Internet的交互信息，并根据一定的规则设置阻止或许可这些信息包通过，从而实

2、现保护计算机的目的，下面这张图是Windows 7帮助里截出来的工作原理图：Windows 7防火墙的常规设置方法还算比较简单，依次打开“计算机”“控制面板”“Windows防火墙”，如下图所示：上图中，天缘启用的是工作网络，家庭网络和工作网络同属于私有网络，或者叫专用网络，图下面还有个公用网络，实际上Windows 7已经支持对不同网络类型进行独立配置，而不会互相影响，这是windows 7的一个改进点。图2中除了右侧是两个帮助连接，全部设置都在左侧，如果需要设置网络连接，可以点击左侧下面的网络和共享中心，具体设置方法，可以参考Windows 7的ADSL网络连接和拨号连接设置方法和Wind

3、ows 7的网络连接和共享设置教程两篇文章，另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。下面来看一下Windows 7防火墙的几个常规设置方法：一、打开和关闭Windows防火墙点击图2左侧的打开和关闭Windows防火墙（另外点击更改通知设置也会到这个界面），如下图：从上图可以看出，私有网络和公用网络的配置是完全分开的，在启用Windows防火墙里还有两个选项：1、“阻止所有传入连接，包括位于允许程序列表中的程序”，这个默认即可，否则可能会影响允许程序列表里的一些程序使用。2、“Windows防火墙阻止新程序时通知我”这一项对于个人日常使用肯定需要选中的，方便自己随时作出判断响

4、应。如果需要关闭，只需要选择对应网络类型里的“关闭Windows防火墙（不推荐）”这一项，然后点击确定即可。二、还原默认设置如果自己的防火墙配置的有点混乱，可以使用图2左侧的“还原默认设置”一项，还原时，Windows 7会删除所有的网络防火墙配置项目，恢复到初始状态，比如，如果关闭了防火墙则会自动开启，如果设置了允许程序列表，则会全部删除掉添加的规则。三、允许程序规则配置点击图2中上侧的“允许程序或功能通过Windows防火墙”，如下图：大家看到这个配置图会很熟悉，就是设置允许程序列表或基本服务，跟早期的Windows XP很类似，不过还是有些功能变化：1、常规配置没有端口配置，所以也不再需

5、要手动指定端口TCP、UDP协议了，因为对于很多用户根本不知道这两个东西是什么，这些配置都已转到高级配置里，对于普通用户一般只是用到增加应用程序许可规则。2、应用程序的许可规则可以区分网络类型，并支持独立配置，互不影响，这对于双网卡的用户就很有作用。不过，我们在第一次设置时可能需要点一下右侧的更改设置按钮后才可操作（要管理员权限）。比如，上文选择了，允许文件和打印机共享，并且只对家庭或工作网络有效（见图右侧）。如果需要了解某个功能的具体内容，可以在点选该项之后，点击下面的详细信息即可查看。如果是添加自己的应用程序许可规则，可以通过下面的“允许允许另一程序”按钮进行添加，方法跟早期防火墙设置类似

6、，点击后如下图：选择将要添加的程序名称（如果列表里没有就点击“浏览”按钮找到该应用程序，再点击”打开“），下面的网络位置类型还是私有网络和公用网络两个选项，不用管，我们可以回到上一界面再设置修改，添加后如下图：添加后如果需要删除（比如原程序已经卸载了等），则只需要在上图中点选对应的程序项，再点击下面的“删除”按钮即可，当然系统的服务项目是无法删除的，只能禁用。另外如果还想对增加的允许规则进行详细定制，比如端口、协议、安全连接及作用域等等，则需要到高级设置这个大仓库里看看了。一、高级安全Windows 防火墙MMC依次点击“计算机”“控制面板”“Windows防火墙”，点击控制界面左侧的“高级设

7、置”，即可看到如下界面，几乎所有的防火墙设置都可以在这个高级设置里完成，而且Windows 7防火墙的的诸多优秀特性也可以在这里展现出来。从简单到复杂的过一下，右侧的操作栏目：1、导入和导出策略导入和导出策略是用来通过策略文件（*.wfw）进行配置保存或共享部署之用，导出功能既可以作为当前设置的备份也可以共享给其它计算机进行批量部署之用。2、还原默认策略还原默认策略功能跟前一篇经验交流：Windows 7防火墙设置详解(一)文章中的恢复防火墙默认设置类似，还原默认策略将会重置自动安装Windows之后对Windows防火墙所做的所有更改，还原后有可能会导致某些程序停止运行。3、诊断/修复二、高

8、级安全Windows防火墙属性设置右侧最下面的“属性”是显示高级安全设置防火墙属性（点击上图中间的“Windows防火墙属性”也可以，只是显示的标题有点差异），如下图：防火墙属性设置里，总体分成四大块，这个四种配置类型都是独立配置独立生效的。域配置文件域配置文件主要是面向企业域连接使用，普通用户也可以把它关闭掉。专用配置文件专用配置文件是面向家庭网络和工作网络配置使用，大家最常使用。公用配置文件公用配置文件是面向公用网络配置使用，如果在酒店、机场等公共场合时可能需要使用。IPSec设置IPSec设置是面向VPN等需要进行安全连接时使用，关于IPSec知识，可以参考http:/zh.wikipe

9、dia.org/zh-cn/IPsec。上述四种设置中前三种配置方法几乎完全相同，所以下文只以专用配置文件和IPSec设置为例进行介绍：1、专用配置文件A、防火墙的状态，有启用（推荐）和关闭两个选项，可以在这里进行设置，当前上一篇的常规配置里也可以完成防火墙的开启和关闭，效果相同。B、入站连接，有阻止（默认值）、阻止所有连接和允许三个，似乎除了实验用机，都不能选择最后的允许一项，来者不拒会带来很大麻烦。C、出站连接，有阻止和允许（默认值）两个选项，对于个人计算机还是需要访问网络的就选择默认值即可。在指定控制Windows防火墙行为的设置，如下图：第一个设置可以使Windows防火墙在某个程序被

10、阻止接收入站连接时通知用户，注意这里只对没有设置阻止或允许规格的程序才有效，如果已经设置了阻止，则Windows防火墙不会发出通知。下面的设置意思是许可对多播或广播网络流量的单播响应，所指的多播或广播都是本机发出的，接收客户机进行单播响应，默认设置即可。2、IPSec设置IPSec设置界面如下图：A、IPSec默认值可以配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”可以显示“自定义 IPsec 设置”对话框。当具有活动安全规格时，IPSec将使用该项设置规则建立安全连接，如果没有对密钥交换（主模式）、数据保护（快速模式）和身份验证方法进行指定，则建立连接时

11、将会使用组策略对象（GPO）中优先级较高的任意设置，顺序如下，最高优先级组策略对象（GPO）本地定义的策略设置IPSec设置的默认值（比如身份验证算法默认是Kerberos V5等，更多默认可以直接点击下面窗口的“什么是默认值”帮助文件）。B、IPSec免除此选项设置确定包含Internet 控制消息协议 (ICMP) 消息的流量包是否受到IPsec保护，ICMP通常由网络疑难解答工具和过程使用。注意，此设置仅从高级安全 Windows 防火墙的IPsec部分免除 ICMP，若要确保允许 ICMP 数据包通过Windows防火墙，还必须创建并启用入站规则（入站规则的设置方法参见下文），另外，如

12、果在“网络和共享中心”中启用了文件和打印机共享，则高级安全 Windows 防火墙会自动启用允许常用ICMP 数据包类型的防火墙规则。可能也会启用与 ICMP 不相关的网络功能，如果只希望启用 ICMP，则在 Windows 防火墙中创建并启用规则，以允许入站 ICMP 网络数据包。C、IPSec隧道授权只在以下情况下使用此选项，具有创建从远程计算机到本地计算机的 IPsec 隧道模式连接的连接安全规则，并希望指定用户和计算机，以允许或拒绝其通过隧道访问本地计算机。选择“高级”，然后单击“自定义”可以显示“自定义 IPsec 隧道授权”对话框，可以为需要授权的计算机或用户进行隧道规则授权。三、

13、高级安全Windows防火墙导航树下面再来看一下左侧的控制树，大部分都是防火墙规则设置功能，可以创建防火墙规则以便阻止或允许此计算机向程序、系统服务、计算机或用户发送流量，或是接收来自这些对象的流量，规则标准只有三个：允许、条件允许和阻止，条件允许是指只允许使用IPSec保护下的连接通过。入站规则可以为入站通信或。可配置规则以指定计算机或用户、程序、服务或者端口和协议。可以指定要应用规则的网络适配器类型：局域网 (LAN)、无线、远程访问，例如虚拟专用网络 (VPN) 连接或者所有类型。还可以将规则配置为使用任意配置文件或仅使用指定配置文件时应用。出站规则为出站通信创建或修改规则，功能同入站规

14、则。连接安全规则使用新建连接安全规则向导，创建Internet协议安全性（IPSec）规则，以实现不同的网络安全目标，向导中已经预定义了四种不同的规则类型（隔离、免除身份验证、服务器到服务器和隧道），当然也创建自定义的规则，为了便于管理，请在创建连接规则时指定一个容易识别和记忆的名称，方便在命令行中管理。监视监视计算机上的活动防火墙规则和连接安全规则，但IPSec策略除外。防火墙仅显示活动的防火墙规则，可以通过右键点击选项卡选择属性，查看每个选项卡的常规、程序和端口和高级特性。连接安全规则显示当前活动的连接安全规则，属性查看可以通过鼠标右键选择属性或点击右侧的工具栏的属性进行查看。安全关联下的

15、主模式主模式协商是通过确定一个加密保护套件集、交换密钥材料建立共享密钥以及验证计算机和用户身份，最终在两台计算机之间建立一个安全的通道。监视主模式SA可以查看哪些对等计算机连接到本机，以及该SA正在使用的保护套件。安全关联下的快速模式快速模式协商在两台计算机之间建立安全通道，以保护在两台计算机之间交换的数据。一对计算机之间只有一个主模式SA，但可以有多个快速模式SA，监视快速模式SA可以查看当前哪些对等计算机连接到本机，哪些保护套件在保护正在交换的数据。可以通过双击列表项目查看快速SA信息，一、如何禁用或启用规则方法：只需要在需要禁用或启动的规则上，鼠标右键选择启用或禁止规则即可，或点击右侧的

16、操作栏进行规则启用或禁止。二、入站规则和出站规则由于入站和出站管理方法基本相同，所以把它们放到一起介绍，我们在Windows防火墙的“允许程序或功能通过Windows防火墙”中每增加或减少一个设置项，都会反应到入站或出站规则中来，这些规则从整体上看可以分成两个部分，一是用户规则，比如我们手动增加的允许程序规则就属于用户规则，还有一些系统预定义规则，预定义规则大部分都是系统已经预先设置好的，而且很多设置都是不允许修改的，我们点击上一篇增加的WinRAR程序允许规则（鼠标右键选择属性或直接左键双击）。上图的属性设置可以看出手动增加的程序规则几乎都可以完全定制，而系统的预定义规则中的“程序和服务”与

17、“协议和端口”两个部分几乎都不可以修改，系统规则也会明确黄色头标注明，大部分系统规则，我们只需要启用或禁止即可。我们在允许程序或服务管理中，每增加一条程序或启用一个服务，我们可以在高级安全管理界面里看到可能会N条规则，规则记录数的多少是跟程序或服务实际使用的协议数有关系，比如上文增加的WINRAR记录如果只选择专用网络，则会默认增加适合专网TCP、UDP两条规则记录，当然这些规则全部都可以在属性界面修改掉。下表列出了上图中几个选项卡的具体设置情况，因为相关抓图太多了，无法一一展示出来，只能用文字粗略描述一下，另外如果遇到不懂的地方，可以随时在界面中查看帮助文件，防火墙帮助文件非常完善：常规该部

18、分包含规则的标识信息，可以启动或禁用规则，名称最好唯一方便netsh管理，操作部分只有三个选项，允许、允许安全、阻止。如果要使用仅允许安全的连接选项，则IPSec设置必须在单独的连接安全规则中定义。程序和服务程序部分包含如何匹配来自程序的网络数据包信息，两个选择一个是符合指定条件的所有程序（条件就是指其它选项卡设置的条件），还有一个就是指定程序，常规增加的规则都是指定程序。用户程序一般都会标示完整的路径，而系统程序则可能只显示system。服务是用来匹配来来自计算机上所有程序和服务、仅服务或指定服务的数据包。设置中有四个选项，一级比一级严格，最后一个应用于具有下列服务短名称的服务一项属于筛选作

19、用。计算机该部分可以指定允许或阻止执行该规则的连接的计算机或组帐户。协议和端口协议就是指网络流量筛选的协议。作用域本地IP地址由本地计算机用于确定规则是否适用。规则仅适用于通过配置为使用一个石碇本地IP地址的网络适配器匹配规则。远程IP地址则指定应用规则的远程IP地址，如果目标IP地址是列表中的地址之一，则网络流量匹配规则。高级高级部分可以修改应用此防火墙规则的配置文件和接口类型。配置文件的适用连接范围，Windows 7可以根据网络适配器的网络位置应用相应的配置文件，支持三种配置文件（域、专用和公用）。接口类型是指定应用连接安全规则的接口类型，支持所有、局域网、远程和无线的任意组合。边缘遍历

20、可以允许计算机接受未经请求的入站数据包，这些数据包已通过边缘设备（NAT路由器或防火墙）。用户用户部分可以用来设置指定哪些用户或用户组可以连接到计算机。三、连接安全规则连接安全包括在两台计算机开始通信之前对他们进行身份验证，并确保在两台计算机之间发送的信息的安全性。高级安全Windows防火墙使用IPsec实现连接安全，方式是通过使用密钥、身份验证、数据完整性和数据加密等措施。要创建一个安全规则只需要点击连接安全规则，然后在中间的窗口中鼠标右键，选择新建规则，如下图：选择后，会弹出新建“新建连接安全规则向导”，如下图：上面的设置内容也是太多了，为了方便对比和参考，天缘把全部的设置项目及其包含关

21、系列到下表中，实际上这些配置都是独立的，天缘只是有意的把它们放到一起方便理解而已：隔离免除身份验证服务器到服务器隧道自定义备注免除计算机-Y-配置不要求身份验证的远程计算机，可以根据IP地址、地址范围或计算机集指定终结点-Y-Y指定只在终结点1到终结点2之间创建安全连接，可以适用任何IP或指定IP地址。隧道类型-Y-隧道类型支持自定义配置、客户端到网关、网关到客户端三种类型隧道。要求Y-YYY分三种验证方式：入站和出站请求验证、入站要求验证出站请求验证、入站和出站要求验证。其中“隧道”连接安全规则类型支持身份验证的时间有细微差异。隧道终结点-Y-隧道终结点（拓扑结构参下面附图）可以为IPsec

22、隧道规则配置终结点选项，隧道终结点一般是网关服务器，终结点1和终结点2都是隧道本地端的计算机集合，配置时可以使用IP地址、IP子网地址、IP地址范围或预定义的计算机集。身份验证方法Y-YYY“服务器和服务器”和“隧道”两个连接安全规则类型的身份证连接方法只有两种，分别是计算机证书和高级自定义第一和第二身份验证设置。其余的身份验证方法都支持四种：默认使用IPsec设置方法、计算机和用户、计算机、高级自定义第一和第二身份验证方法。协议和端口-Y协议和端口是用来指定网路哦数据包中指定的哪个协议和哪些端口匹配该连接的安全规则。仅网络流量匹配此页上的条件，“终结点”页匹配该规则，且服从其身份验证要求。配置文件YYYYY指定该规则的使用范围，上文已经提到的域、专用或公用三个选项。名称YYYYY为该规则起一个容易记忆和管理名字，如果需要也可以加入描述方便理解。附隧道终结点连接关系拓扑图：最后，连接规则创建完成后，就可以在连接安全规则中进行统一启动或禁止及修改管理，如下图：四、如何复制安全规则在高级安全设置里还支持规则的复制粘贴，使用方法：在需要复制的规则上鼠标右键选择复制，然后再次粘贴即可，然后可以进行再次编辑。