标题: [06-23] Win XP SP2防火墙设置详细讲解 [打印本页] 作者: ⒉⒋κ〆帥 时间: 2006-6-23 23:36 标题: [06-23] Win XP SP2防火墙设置详细讲解
目前已经发布的英文版windows xp service pack 2(sp2)包括了全新的windows防火墙,即以前所称的internet连接防火墙(icf)。windows防火墙是一个基于主机的状态防火墙,它丢弃所有未请求的传入流量,即那些既没有对应于为响应计算机的某个请求而发送的流量(请求的流量),也没有对应于已指定为允许的未请求的流量(异常流量)。windows防火墙提供某种程度的保护,避免那些依赖未请求的传入流量来攻击网络上的计算机的恶意用户和程序。' c' d+ D% M7 i
6 k6 k8 [' O7 p" H$ a在windows xp sp2中,windows防火墙有了许多新增特性,其中包括:; ~* G8 f+ b! A2 A% h- B8 k4 |
默认对计算机的所有连接启用) M# _5 S/ X' a' s
应用于所有连接的全新的全局配置选项4 X- v" s( I y- P
用于全局配置的新增对话框集 * J, R5 ^; J/ i1 y D2 H% E 全新的操作模式 5 W5 D( Z4 C2 M1 L x 启动安全性9 r3 p" h; y+ [) G$ S6 i" O8 ]6 \
本地网络限制 / u. Y3 f/ Z( |# C" B3 f1 x' C 异常流量可以通过应用程序文件名指定 $ l: O- k4 x) z2 e4 e; r; ] 对internet协议第6版(ipv6)的内建支持 % ^4 m2 @% h& ?! B$ y + i# y u. \/ a# w& U. `
采用netsh和组策略的新增配置选项! W- z7 {# O- C5 H0 P
本文将详细描述用于手动配置全新的windows防火墙的对话框集。与windows xp(sp2之前的版本)中的icf不同,这些配置对话框可同时配置ipv4和ipv6流量。 , b. ~) W5 U4 g7 D) M( cwindows xp(sp2之前的版本)中的icf设置包含单个复选框(在连接属性的“高级”选项卡上“通过限制或阻止来自internet对此计算机的访问来保护我的计算机和网络”复选框)和一个“设置”按钮,您可以使用该按钮来配置流量、日志设置和允许的icmp流量。 ! Y# a: K1 q4 F- t" A1 Z0 _在windows xp sp2中,连接属性的“高级”选项卡上的复选框被替换成了一个“设置”按钮,您可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许的icmp流量。9 T4 ~& M4 L/ g. e
“设置”按钮将运行全新的windows防火墙控制面板程序(可在“网络和internet连接与安全中心”类别中找到)。' |# Q5 @+ \/ u
新的windows防火墙对话框包含以下选项卡:8 f: y d* F0 n" `8 W) J
“常规”% ~6 v Z- f. u# [( `2 g7 C( ?
“异常”+ G) C$ H& j" X
“高级” * h" Q" B9 o, _( s- v“常规”选项卡2 T1 I' x9 q) u; [
在“常规”选项卡上,您可以选择以下选项: t6 |( W3 ]+ V4 ]2 B
“启用(推荐)” # ~, w& P* t- {( [, r( {3 F5 ] 选择这个选项来对“高级”选项卡上选择的所有网络连接启用windows防火墙。 4 y8 I. _9 X3 w+ ?0 |windows防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在“异常”选项卡上进行配置。 2 I$ q7 ~% o6 ? “不允许异常流量”: t7 @1 }: f7 P S2 {& x
单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽略,所有的连接都将受到保护,而不管“高级”选项卡上的设置如何。 ) r. N, } Z" C4 ] “禁用”5 K. K! P! ?9 z: `! C) x
选择这个选项来禁用windows防火墙。不推荐这样做,特别是对于可通过internet直接访问的网络连接。1 ~- x' w4 h3 }& v& O
' R' z! @( R. w: `( J 注意对于运行windows xp sp2的计算机的所有连接和新创建的连接,windows防火墙的默认设置是“启用(推荐)”。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这样的情况下,您必须识别出那些已不再运作的程序,将它们或它们的流量添加为异常流量。许多程序,比如internet浏览器和电子邮件客户端(如:outlook express),不依赖未请求的传入流量,因而能够在启用windows防火墙的情况下正确地运作。4 s/ I I( K% S$ T
3 f2 v6 S& u; q5 `0 u# L, b 如果您在使用组策略配置运行windows xp sp2的计算机的windows防火墙,您所配置的组策略设置可能不允许进行本地配置。在这样的情况下,“常规”选项卡和其他选项卡上的选项可能是灰色的,而无法选择,甚至本地管理员也无法进行选择。# d, X% V2 ?: k! k. Q+ r2 I% t
9 Y# l* T5 @2 f2 k3 m
基于组策略的windows防火墙设置允许您配置一个域配置文件(一组将在您连接到一个包含域控制器的网络时所应用的windows防火墙设置)和标准配置文件(一组将在您连接到像internet这样没有包含域控制器的网络时所应用的windows防火墙设置)。这些配置对话框仅显示当前所应用的配置文件的windows防火墙设置。要查看当前未应用的配置文件的设置,可使用netsh firewall show命令。要更改当前没有被应用的配置文件的设置,可使用netsh firewall set命令。: w3 Q) y7 ]# i* B; Z% [! ], s
' I9 Y+ _- \6 N“异常”选项卡 8 |1 k! s, K1 ~' {# _ 在“异常”选项卡上,您可以启用或禁用某个现有的程序或服务,或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上的“不允许异常流量”选项时,异常流量将被拒绝。0 G- S" S, c0 Q! {) b
对于windows xp(sp2之前的版本),您只能根据传输控制协议(tcp)或用户数据报协议(udp)端口来定义异常流量。对于windows xp sp2,您可以根据tcp和udp端口或者程序或服务的文件名来定义异常流量。在程序或服务的tcp或udp端口未知或需要在程序或服务启动时动态确定的情况下,这种配置灵活性使得配置异常流量更加容易。 1 {: L' c6 @3 U/ p6 A 已有一组预先配置的程序和服务,其中包括:0 L X( _' [! W2 d* q* P" y
文件和打印共享 7 A3 F9 E% c8 e/ \ 远程助手(默认启用) 2 R6 E+ G# f9 W( f 远程桌面 + w' L2 v A/ K2 Q upnp框架 ( l4 m( I+ w6 j! O 这些预定义的程序和服务不可删除。/ Y0 V. h! C' P1 e" h( C
如果组策略允许,您还可以通过单击“添加程序” . I7 |/ i! J; ?! j% y. s,创建基于指定的程序名称的附加异常流量,以及通过单击“添加端口”,创建基于指定的tcp或udp端口的异常流量。3 E7 l: `9 \" |/ t9 T
当您单击“添加程序”时,将弹出“添加程序”对话框,您可以在其上选择一个程序或浏览某个程序的文件名。 1 X* \0 }' T3 K$ i 当您单击“添加端口”时,将弹出“添加端口”对话框,您可以在其中配置一个tcp或udp端口。4 r8 w- }% d& v l E# K
全新的windows防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时,您有两种选择: 2 ~2 q* X+ W0 s! h% K& z “任何计算机”' E2 |- q% c# N) Y
允许异常流量来自任何ip地址。$ J; w6 v* _4 N, P
“仅只是我的网络(子网)”& _8 F8 C, ~- R. M3 W
仅允许异常流量来自如下ip地址,即它与接收该流量的网络连接所连接到的本地网段(子网)相匹配。例如,如果该网络连接的ip地址被配置为 192.168.0.99,子网掩码为255.255.0.0,那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的 ip地址。 3 K$ t5 A+ f8 Y3 f3 U% h 当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务,但是又不希望允许潜在的恶意internet用户进行访问,那么“仅只是我的网络(子网)”设定的地址范围很有用。 8 v. \: l* q: M5 P1 t2 e8 l 一旦添加了某个程序或端口,它在“程序和服务”列表中就被默认禁用。6 f" `, _8 `+ U4 p; O
在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。9 }& l: L) Z3 l; G o" l5 }1 u
“高级”选项卡 0 `9 q0 ` I* @ “高级”选项卡包含以下选项:/ i5 L4 h+ } r6 F8 P1 ~
网络连接设置 ; ~7 s8 v- _/ j3 G% @# m 安全日志7 w Z. `8 o0 L. Z
icmp 3 [: H; @. ?/ Q" y1 P; `( H 默认设置 ; P5 j2 e% Y4 [% D4 D “网络连接设置”( k: e7 L) [: @9 @2 e* {
在“网络连接设置”中,您可以: 9 d% O: U* }3 `% a/ k+ n 9 @3 ]& T7 Z. @- i( S' F4 J
1、指定要在其上启用windows防火墙的接口集。要启用windows防火墙,请选中网络连接名称后面的复选框。要禁用windows防火墙,则清除该复选框。默认情况下,所有网络连接都启用了windows防火墙。如果某个网络连接没有出现在这个列表中,那么它就不是一个标准的网络连接。这样的例子包括internet服务提供商(isp)提供的自定义拨号程序。 2 B. a+ @, J5 a. ` 2、通过单击网络连接名称,然后单击“设置”,配置单独的网络连接的高级配置。 8 |: A& v( m7 P4 o) i4 V& ^. ` 如果清除“网络连接设置”中的所有复选框,那么windows防火墙就不会保护您的计算机,而不管您是否在“常规”选项卡上选中了“启用(推荐)”。如果您在“常规”选项卡上选中了“不允许异常流量”,那么“网络连接设置”中的设置将被忽略,这种情况下所有接口都将受到保护。 . }+ t# D- Z; f! G; L 当您单击“设置”时,将弹出“高级设置”对话框。 9 `# D8 N- [$ c( Y4 K* |; n/ | 在“高级设置”对话框上,您可以在“服务”选项卡中配置特定的服务(仅根据tcp或udp端口来配置),或者在“icmp”选项卡中启用特定类型的icmp流量。 ( V" `8 p4 r: D! V4 ^- w8 W这两个选项卡等价于windows xp(sp2之前的版本)中的icf配置的设置选项卡。9 v# g# i* d& H% X
2 F# F4 o: G8 B3 K% ~
“安全日志”: B: `" w3 |) \; Z* w
在“安全日志”中,请单击“设置”,以便在“日志设置”对话框中指定windows防火墙日志的配置, 6 B: h( D+ R1 N" o4 E 在“日志设置”对话框中,您可以配置是否要记录丢弃的数据包或成功的连接,以及指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。' |2 d7 |9 H7 U0 d
“icmp” : x! E: ]% {' C9 C6 k/ Q 在“icmp”中,请单击“设置”以便在“icmp”对话框中指定允许的icmp流量类型,' T' P9 @9 [8 U8 Z
在“icmp”对话框中,您可以启用和禁用windows防火墙允许在“高级”选项卡上选择的所有连接传入的icmp消息的类型。icmp消息用于诊断、报告错误情况和配置。默认情况下,该列表中不允许任何icmp消息。 d+ U" I1 x% z: P) E 诊断连接问题的一个常用步骤是使用ping工具检验您尝试连接到的计算机地址。在检验时,您可以发送一条icmp echo消息,然后获得一条icmp echo reply消息作为响应。默认情况下,windows防火墙不允许传入icmp echo消息,因此该计算机无法发回一条icmp echo reply消息作为响应。为了配置windows防火墙允许传入的icmp echo消息,您必须启用“允许传入的echo请求”设置。 8 a: n0 `* w( [) I “默认设置”9 y: r4 p+ P" I. k5 B
单击“还原默认设置”,将windows防火墙重设回它的初始安装状态。( D. d: d0 m$ ?* s
当您单击“还原默认设置”时,系统会在windows防火墙设置改变之前提示您核实自己的决定 作者: 浪淘沙 时间: 2006-7-5 07:28
