組策略配置

通過使用Windows防火墻，管理員可以使其對(duì)小型網(wǎng)絡(luò)的公共連接或連接在internet上的單獨(dú)計(jì)算機(jī)進(jìn)行必要的保護(hù)。他們通過在網(wǎng)絡(luò)中部署Windows防火墻的適當(dāng)?shù)呐渲迷O(shè)定，并啟動(dòng)它來對(duì)網(wǎng)絡(luò)提供安全保護(hù)。Windows防火墻組策略配置可以通過組策略控制臺(tái)的以下位置找到:

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Standard profile

在Windows XP SP2中，Windows防火墻默認(rèn)設(shè)定為阻止所有端口，這也意味著服務(wù)器到客戶機(jī)的應(yīng)用將無法到達(dá)客戶端。這種情況下可以通過在組策略中設(shè)定IPSEC來驗(yàn)證并信任服務(wù)器端應(yīng)用發(fā)送到客戶端的請求。'Windows 防火墻: 允許通過驗(yàn)證的IPSEC旁路'的組策略設(shè)定允許你指定是否啟用Windows防火墻的IPSEC驗(yàn)證來允許來自指定系統(tǒng)的主動(dòng)傳入消息。

命令行工具

Windows防火墻的配置和狀態(tài)信息可以通過命令行 Netsh.exe 獲得。我們可以使用 netsh firewall 命令來獲取防火墻信息和修改防火墻設(shè)定。

Commands in this context:

-------------------------------------------------------

? - Displays a list of commands.

add - Adds firewall configuration.

delete - Deletes firewall configuration.

dump - Displays a configuration script.

help - Displays a list of commands.

reset - Resets firewall configuration to default.

set - Sets firewall configuration.

show - Shows firewall configuration.

安全警告

在Windows XP SP2中，當(dāng)用戶在本地運(yùn)行一個(gè)應(yīng)用程序并將作為Internet服務(wù)器提供服務(wù)時(shí)，Windows防火墻將彈出一個(gè)新的安全警告對(duì)話框（如上圖）。你可以使用對(duì)話框中的選項(xiàng)將此應(yīng)用程序或服務(wù)添加到Windows防火墻的例外項(xiàng)中。Windows防火墻的例外項(xiàng)配置可以允許特定的進(jìn)站連接。如果使用這種方法后程序無法正常運(yùn)行，你可以通過下列分析步驟將問題隔離出來:

添加程序到例外項(xiàng)中;

添加端口到例外項(xiàng)中;

使用防火墻安全紀(jì)錄;

禁止防火墻(不推薦).

Windows 防火墻是在 Windows XP Service Pack 2 中取代原來的 Internet Connection Firewall 的更新版本. 默認(rèn)狀態(tài)下防火墻在所有的網(wǎng)卡界面均為開啟狀態(tài). 無論是windows xp全新安裝還是升級(jí)安裝，這個(gè)選項(xiàng)都可以在默認(rèn)的情況下給網(wǎng)絡(luò)連接提供更多的保護(hù)。但是，如果某些應(yīng)用程序不能在這個(gè)防火墻過濾狀態(tài)下工作的話，他們將無法兼容于這個(gè)新的操作系統(tǒng)。

更新

用戶界面和新特性

要配置 Windows 防火墻, 可以從安全中心中打開，安全中心位于控制面板，當(dāng)然也可以直接從控制面板中打開Windows 防火墻控制臺(tái)，還有第3個(gè)選擇，可以從網(wǎng)絡(luò)連接的高級(jí)選項(xiàng)卡中進(jìn)入防火墻控制臺(tái)。在主選項(xiàng)卡中有3個(gè)選項(xiàng)：

啟用 (推薦)

不允許例外

關(guān)閉 (不推薦)

;選擇了不允許例外，Windows 防火墻將攔截所有的連接你的計(jì)算機(jī)的網(wǎng)絡(luò)請求, 包括在例外選項(xiàng)卡中列表的應(yīng)用程序和系統(tǒng)服務(wù)。另外，防火墻也將攔截文件和打印機(jī)共享，還有網(wǎng)絡(luò)設(shè)備的偵測。使用不允許例外選項(xiàng)的windows 防火墻比較適用于連接在公共網(wǎng)絡(luò)上個(gè)人計(jì)算機(jī)，比如在賓館和機(jī)場公共使用的計(jì)算機(jī)。即使你使用了不允許例外選項(xiàng)的windows 防火墻，你仍然可以瀏覽網(wǎng)頁，發(fā)送接受電子郵件，或者使用即使通訊軟件。

例外選項(xiàng)卡中允許添加阻止規(guī)則例外的程序和端口來允許特定的進(jìn)站通訊。對(duì)于每一個(gè)例外項(xiàng)，你都可以相應(yīng)的設(shè)置一個(gè)作用域。對(duì)于家用和小型辦公室應(yīng)用網(wǎng)絡(luò)，推薦設(shè)置作用域?yàn)榭赡艿谋镜鼐W(wǎng)絡(luò)。當(dāng)然，你也可以手工設(shè)置作用域中IP的范圍。這樣，只有來自特定的IP地址范圍的網(wǎng)絡(luò)請求才能被接受。

在例外選項(xiàng)卡中還有一個(gè)添加程序的按鈕。如果你希望網(wǎng)絡(luò)中（防火墻外）的其他客戶端能夠訪問你本地的某個(gè)特定的程序或服務(wù)，而你又不知道這個(gè)程序或服務(wù)將使用哪一個(gè)端口和哪一類型端口，這種情況下你可以將這個(gè)程序或者服務(wù)添加到Windows 防火墻的例外項(xiàng)中以保證它能被外部訪問。

在高級(jí)選項(xiàng)卡中可以配置以下設(shè)定：

應(yīng)用在每個(gè)網(wǎng)絡(luò)界面上的連接特定規(guī)則

安全紀(jì)錄配置

全局ICMP規(guī)則，通過Internet控制消息協(xié)議(ICMP)允許網(wǎng)絡(luò)上的計(jì)算機(jī)共享和傳遞錯(cuò)誤和狀態(tài)信息。

默認(rèn)設(shè)置，可以將所有Windows防火墻設(shè)置還原為默認(rèn)狀態(tài)

我們可以針對(duì)不同的網(wǎng)絡(luò)連接配置不同的規(guī)則。將例外選項(xiàng)中的設(shè)定與高級(jí)選項(xiàng)中網(wǎng)絡(luò)連接的附加設(shè)定組合后稱之為Windows防火墻'合成設(shè)置(resultant set)'。