WinXP SP2(以下簡稱SP2)中的Windows防火墻取代了原來的Internet Connection Firewall(ICF，互聯(lián)網(wǎng)連接防火墻)。這個改進的防火墻默認設(shè)置為開啟狀態(tài)，并且支持IPv4和IPv6兩種網(wǎng)絡(luò)協(xié)議，可以為我們的電腦提供更多的安全保護。本文將帶領(lǐng)大家來認識Windows防火墻的新特性以及基本設(shè)置方法。

一、防火墻新特性

與ICF相比，SP2中的Windows防火墻有了明顯的改進。首先是防火墻的運行時間。在以前版本的WinXP中，從網(wǎng)絡(luò)堆棧開始加載到ICF運行之間還有一段時間的間隔，這意味著在系統(tǒng)啟動到防火墻完全運行這一段時間內(nèi)整個系統(tǒng)是完全暴露的，并沒有受到防火墻的保護。這是因為ICF運行所需要的系統(tǒng)服務(wù)是在系統(tǒng)引導(dǎo)完成后才開始啟動的，而ICF服務(wù)還依賴于其他的一些系統(tǒng)服務(wù)，那些服務(wù)還沒有運行的時候ICF的服務(wù)自然也就無法運行。在SP2系統(tǒng)中新增了一個名為“引導(dǎo)時策略”(Boot-Time Policy)的比較簡單的防護，通過這個防護，我們只能使用到少數(shù)必需的網(wǎng)絡(luò)服務(wù)，例如DNS服務(wù)器和DHCP服務(wù)器的聯(lián)絡(luò)等，直到防火墻啟動后網(wǎng)絡(luò)活動才能正常。

新的Windows防火墻不僅默認處于開啟狀態(tài)，而且其配置界面也更加美觀。除此之外，Windows防火墻新的特性還包括:本地子網(wǎng)限制;應(yīng)用到所有連接的通用配置選項;內(nèi)建IPv6支持;新的組策略配置選項;可通過應(yīng)用程序的文件名指定特定的通信(原先的ICF只能指定端口，而不能指定程序，現(xiàn)在則可以在允許的通訊中直接選擇特定的程序)。

二、安全警報

在SP2中，當(dāng)用戶在本地運行一個應(yīng)用程序并將其作為Internet服務(wù)器提供服務(wù)時，Windows防火墻將會彈出一個新的安全警報對話框。通過對話框中的選項可以將此應(yīng)用程序或服務(wù)添加到Windows防火墻的例外項中(即選擇“解除阻止此程序”)，Windows防火墻的例外項配置將允許特定的進站連接。當(dāng)然，也可以通過手工添加程序到例外項中或者添加端口到例外項中，具體的添加方法參見后面的防火墻選項設(shè)置。

一旦程序提供連接服務(wù)，防火墻就會提醒用戶

三、防火墻選項設(shè)置

依次單擊“開始→控制面板”，然后在控制面板經(jīng)典視圖中雙擊“Windows防火墻”一項，即可打開Windows防火墻控制臺。此外，還可以在SP2新增加的安全中心界面下，點擊“Windows防火墻”打開防火墻控制臺。

1.常規(guī)選項卡

防火墻控制臺是SP2的新增項

在Windows防火墻控制臺“常規(guī)”選項卡中有兩個主選項:啟用(推薦)和關(guān)閉(不推薦)，一個子選項“不允許例外”。如果選擇了不允許例外，Windows防火墻將攔截所有的連接用戶計算機的網(wǎng)絡(luò)請求，包括在例外選項卡列表中的應(yīng)用程序和系統(tǒng)服務(wù)。另外，防火墻也將攔截文件和打印機共享，還有網(wǎng)絡(luò)設(shè)備的偵測。使用不允許例外選項的Windows防火墻簡直就完全“閉關(guān)”了，比較適用于“高危”環(huán)境，如餐館、賓館和機場等場所連接到公共網(wǎng)絡(luò)上的個人計算機。

2.例外選項卡

不要隨意允許服務(wù)器生效

某些程序需要對外通訊，就可以把它們添加到“例外”選項卡中，這里的程序?qū)⒈惶卦S可以提供連接服務(wù)，即可以監(jiān)聽和接受來自網(wǎng)絡(luò)上的連接。

在“例外”選項卡界面下方有兩個添加按鈕，分別是:“添加程序”和“添加端口”，可以根據(jù)具體的情況手工添加例外項。如果不清楚某個應(yīng)用程序是通過哪個端口與外界通信，或者不知道它是基于UDP還是TCP的，可以通過“添加程序”來添加例外項。例如要允許Windows Messenger通信，則點擊“添加程序”按鈕，選擇應(yīng)用程序“C:Program FilesMessengerMessengermsmsgs.exe”，然后點擊“確定”把它加入列表。

如果對端口號以及TCP/UDP比較熟悉，則可以采用后一種方式，即指定端口號的添加方式。對于每一個例外項，可以通過“更改范圍”指定其作用域。對于家用和小型辦公室應(yīng)用網(wǎng)絡(luò)，推薦設(shè)置作用域為可能的本地網(wǎng)絡(luò)。當(dāng)然，也可以自定義作用域中的IP范圍，這樣只有來自特定的IP地址范圍的網(wǎng)絡(luò)請求才能被接受

3.高級選項卡

使系統(tǒng)更安全，要好好研究一下高級設(shè)置項

在“高級”選項卡中包含了網(wǎng)絡(luò)連接設(shè)置、安全記錄、ICMP設(shè)置和還原默認設(shè)置四組選項，可以根據(jù)實際情況進行配置。

◆網(wǎng)絡(luò)連接設(shè)置

這里可以選擇Windows防火墻應(yīng)用到哪些連接上，當(dāng)然也可以對某個連接進行單獨的配置，這樣可以使防火墻應(yīng)用更靈活。

◆安全記錄

新版Windows防火墻的日志記錄與ICF大同小異，日志選項里面的設(shè)置可以記錄防火墻的跟蹤記錄，包括丟棄和成功的所有事項。在日志文件選項里，可以更改記錄文件存放的位置，還可以手工指定日志文件的大小。系統(tǒng)默認的選項是不記錄任何攔截或成功的事項，而記錄文件的大小默認為4MB。

◆ICMP設(shè)置

Internet控制消息協(xié)議(ICMP)允許網(wǎng)絡(luò)上的計算機共享錯誤和狀態(tài)信息。在ICMP設(shè)置對話框中選定某一項時，界面下方會顯示出相應(yīng)的描述信息，可以根據(jù)需要進行配置。在缺省狀態(tài)下，所有的ICMP都沒有打開。

◆默認設(shè)置

如果要將所有Windows防火墻設(shè)置恢復(fù)為默認狀態(tài)，可以單擊右側(cè)的“還原為默認值”按鈕。

四、組策略部署

組策略的設(shè)置具有很高的優(yōu)先級

在ICF中，只能通過網(wǎng)絡(luò)連接、網(wǎng)絡(luò)創(chuàng)建向?qū)Ш虸nternet連接向?qū)?zhí)行啟用或關(guān)閉ICF，而新版的Windows防火墻則可以通過組策略來控制防火墻狀態(tài)、允許的例外等設(shè)置。

依次單擊“開始→運行”，在“運行”對話框中輸入“gpedit.msc”，然后點擊“確定”即可打開WinXP組策略編輯器。進入組策略編輯器后，就可以用它配置Windows防火墻了。從左側(cè)窗格中依次展開“計算機配置→管理模板→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接→Windows Firewall”。在Windows Firewall下可以看到兩個分支，一個是域配置文件，一個是標(biāo)準(zhǔn)配置文件。簡單的說，當(dāng)計算機連接到有域控制器的網(wǎng)絡(luò)中時(即有專門的管理服務(wù)器時)，是域配置文件起作用，相反，則是標(biāo)準(zhǔn)配置文件起作用。即使沒有配置標(biāo)準(zhǔn)配置文件，缺省的值也會生效。

提示:Windows防火墻的配置和狀態(tài)信息還可以通過命令行工具Netsh.exe獲得，可以在命令提示符窗口下輸入“netsh firewall”命令來獲取防火墻信息和修改防火墻設(shè)定。

從前面的介紹可以看出，SP2中集成的Windows防火墻，在功能上已經(jīng)接近不少成熟的個人防火墻產(chǎn)品。雖然這個新版的防火墻還欠缺一些第三方廠商的產(chǎn)品所擁有的功能(如輸出過濾)，但它對個人用戶來說，無疑是一個不錯的選擇。