Windows 防火墙
Windows XP Service Pack (SP) 包含新的 Windows 防火墙它取代了 Internet 连接防火墙 (ICF)Windows 防火墙是一个基于主机的状态防火墙它会断开非请求的传入通信这些通信指并非为响应计算机的请求而发送的通信(请求通信)或被指定为可允许的非请求通信(例外通信)Windows 防火墙针对依靠非请求传入通信攻击网络计算机的恶意用户和程序提供了一定程度的保护
在 Windows XP SP 中有许多关于 Windows 防火墙的新功能其中包括
&#; 默认情况下对计算机的所有连接都启用
&#; 应用于所有连接的新全局配置选项
&#; 用于本地配置的一组新对话框
&#; 新的操作模式
&#; 启动安全性
&#; 可按范围指定例外通信
&#; 可按应用程序文件名指定例外通信
&#; 对 Internet 协议版本 (IPv) 通信的内置支持
&#; 关于 Netsh 和组策略的新配置选项
有关关于这些更改的更多信息请参阅 年 月 Cable Guy 的文章 New Networking Features in Windows XP Service Pack (Windows XP Service Pack 中的新的网络功能)
这篇文章详细说明了用于手动配置新 Windows 防火墙的对话框组不同于装有 Service Pack (SP) 和未装 Service Pack 的 Windows XP 中的 ICF这些配置对话框对 IPv 和 IPv 通信都可以进行配置
在装有 SP 的 Windows XP 和未安装 Service Pack 的 Windows XP 中ICF 的设置包括一个复选框(连接属性的高级选项卡上的通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络复选框)和一个可用于配置例外通信日志设置和允许的 ICMP 通信的设置按钮
在 Windows XP SP 中连接属性的高级选项卡上的复选框被一个设置按钮所取代使用该按钮可以配置常规设置程序和服务的权限连接专用设置日志设置和允许的 ICMP 通信设置按钮可启动新的 Windows 防火墙控制面板小程序您也可以从控制面板的网络和 Internet 连接和安全中心分类中启用该小程序
新的Windows 防火墙对话框包括下列选项卡
&#; 常规
&#; 例外
&#; 高级
常规选项卡
常规选项卡及其默认设置显示在下图中
在常规选项卡中您可以进行下列选择
&#; 打开(推荐)
选择对高级选项卡中选定的所有网络连接启用 Windows 防火墙启用 Windows 防火墙后将只允许请求的和例外的传入通信例外通信在例外选项卡中进行配置
&#; 不允许例外
点击该选项将只允许请求的传入通信例外传入通信则不被允许不管高级选项卡中的设置如何例外选项卡中的设置将被忽略所有的网络连接都将得到保护
&#; 关闭(不推荐)
选择该选项将禁用 Windows 防火墙不推荐使用此选项尤其是对于可以直接从 Internet 进行访问的网络连接除非您已经使用了第三方的主机防火墙产品
请注意对于所有运行带有 SP 的 Windows XP 的计算机连接和新创建的连接Windows 防火墙的默认设置都是打开(推荐)这会影响那些依赖非请求传入通信的程序或服务的通讯在这种情况下您必须识别出哪些程序不再运行并且将这些程序或其通信添加为例外通信许多程序诸如 Internet 浏览器和电子邮件客户端(如 Outlook Express)并不依赖非请求通信并且可以在 Windows 防火墙启用时正常运行
如果您使用组策略来对运行装有 SP 的 Windows XP 的计算机配置 Windows 防火墙您配置的组策略设置可能不允许本地配置在这种情况下常规选项卡和其他选项卡中的选项可能被灰显并不可用即使您登录时使用的帐户是本地管理员组的成员(本地管理员)也是如此
基于组策略的 Windows 防火墙设置允许您配置域配置文件(当您连接到一个包括域控制器的网络时将应用的一组 Windows 防火墙设置)和标准配置文件(当您连接到一个不包括域控制器的网络(如 Internet)时将应用的一组 Windows 防火墙设置)配置对话框只显示了当前应用的配置文件的 Windows 防火墙设置要查看当前没有应用的配置文件的设置请使用netsh firewall show 命令要更改当前没有应用的配置文件的设置请使用netsh firewall set 命令
例外选项卡
例外选项卡及其默认设置请见下图
在例外选项卡中您可以启用或禁用一个现有的程序或服务或者维护用于定义例外通信的程序和服务列表在常规选项卡中选定不允许例外选项后例外通信将不被允许
使用装有 SP 和未装 Service Pack 的 Windows XP 时您只有通过传输控制协议 (TCP) 或用户数据报协议 (UDP) 端口来定义例外通信使用装有 SP 的 Windows XP您可以通过 TCP 和 UDP 端口或者使用某个程序(应用程序或服务)的文件名来定义例外通信在程序的 TCP 或 UDP 端口未知时或者在程序启动被动态定义时这种配置灵活性将使得配置例外通信更加容易
有一组预定义的程序其中包括
&#; 文件和打印共享
&#; 远程协助(默认启用)
&#; 远程桌面
&#; UPnP 框架
这些预定义程序和服务是不能被删除的
如果组策略允许您可以通过点击添加程序来指定一个程序名从而创建附加例外也可以通过点击AddPort来指定一个 TCP 或 UDP 端口从而创建例外
当您点击添加程序时将显示添加程序对话框您可以从中选择一个程序或者浏览查找一个程序文件名下图显示了一个示例
当您点击AddPort时将显示添加端口对话框您可以从中配置 TCP 或 UDP 端口下图显示了一个示例
新的 Windows 防火墙允许您指定例外通信的范围这个范围定义了哪一部分的网络连接产生的例外通信是被允许的要定义一个程序或端口的范围请点击更改范围下图显示了一个示例
在定义一个程序或端口的范围时您有三个选项可以选择
&#; 任意一台计算机(包括 Internet 上的计算机)
从任何 IPv 地址发出的例外通信都是被允许的这种设置可能会使您的计算机容易受到 Internet 上的恶意用户或程序的攻击
&#; 仅限我的网络(子网)
只有从符合以下条件的 IPv 地址发出的例外通信才是被允许的与接收通信的网络连接所连的本地网络段(子网)相匹配的 IPv 地址比如如果网络连接所配置的 IPv 地址是 并带有子网掩码 那么只有从 到 的 IPv 地址发出的例外通信才是被允许的
&#; 自定义列表
您可以指定一个或多个用逗号分割的 IPv 地址或 IPv 地址范围IPv 地址范围通常对应于子网对 IPv 地址来说用点分十进制记法键入 IPv 地址对 IPv 地址范围来说您可以使用点分十进制子网掩码或前缀长度来指定一个范围当您使用点分十进制子网掩码时您可以把范围指定为一个 IPv 网络 ID(如 /)或者使用一个在范围内的 IPv 地址(如 /)来指定范围当您使用网络前缀长度时您可以将范围指定为一个 IPv 网络 ID(如 /)或者使用一个在范围内的 IPv 地址(如 /)来指定范围下面是自定义列表的一个示例////
您不能够为 IPv 通信指定自定义列表
在您想允许本地网络中的计算机(它们都连接在同一个子网中)访问一个程序或服务而不允许潜在的恶意 Internet 用户访问时仅限我的网络(子网)范围会很有用
程序或端口一旦被添加它就在程序和服务列表中被默认禁用
对于在高级选项卡中选定的所有连接所有在例外选项卡中启用的程序和服务都将启用
高级选项卡
下图显示了高级选项卡
高级选项卡包括下面几个部分
&#; 网络连接设置
&#; 安全日志
&#; ICMP
&#; 默认设置
网络连接设置
在网络连接设置中您可以
&#; 指定一组用于启用 Windows 防火墙的接口如要启用请选择网络连接名称旁边的复选框如要禁用请清除复选框默认情况下所有的网络连接都启用了 Windows 防火墙如果某个网络连接没有出现在此列
