Windows XP防火墻怎樣配置

　　這篇Windows XP防火墻怎樣配置是學(xué)習(xí)啦小編特地為大家整理的，希望對(duì)大家有所幫助!

　　Windows XP Service Pack 2 (SP2) 包含新的 Windows 防火墻，它取代了 Internet 連接防火墻 (ICF)。Windows 防火墻是一個(gè)基于主機(jī)的狀態(tài)防火墻，它會(huì)斷開(kāi)非請(qǐng)求的傳入通信，這些通信指并非為響應(yīng)計(jì)算機(jī)的請(qǐng)求而發(fā)送的通信(請(qǐng)求通信)或被指定為可允許的非請(qǐng)求通信(例外通信)。Windows 防火墻針對(duì)依靠非請(qǐng)求傳入通信攻擊網(wǎng)絡(luò)計(jì)算機(jī)的惡意用戶和程序提供了一定程度的保護(hù)。

　　在 Windows XP SP2 中有許多關(guān)于 Windows 防火墻的新功能，其中包括：

　　默認(rèn)情況下對(duì)計(jì)算機(jī)的所有連接都啟用

　　應(yīng)用于所有連接的新全局配置選項(xiàng)

　　用于本地配置的一組新對(duì)話框

　　新的操作模式

　　啟動(dòng)安全性

　　可按范圍指定例外通信

　　可按應(yīng)用程序文件名指定例外通信

　　對(duì) Internet 協(xié)議版本 6 (IPv6) 通信的內(nèi)置支持

　　關(guān)于 Netsh 和組策略的新配置選項(xiàng)

　　有關(guān)關(guān)于這些更改的更多信息，請(qǐng)參閱 2004 年 1 月 Cable Guy 的文章 New Networking Features in Windows XP Service Pack 2(Windows XP Service Pack 2 中的新的網(wǎng)絡(luò)功能)。

　　這篇文章詳細(xì)說(shuō)明了用于手動(dòng)配置新 Windows 防火墻的對(duì)話框組。不同于裝有 Service Pack 1 (SP1) 和未裝 Service Pack 的 Windows XP 中的 ICF，這些配置對(duì)話框?qū)?IPv4 和 IPv6 通信都可以進(jìn)行配置。

　　在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中，ICF 的設(shè)置包括一個(gè)復(fù)選框(連接屬性的“高級(jí)”選項(xiàng)卡上的“通過(guò)限制或阻止來(lái)自 Internet 的對(duì)此計(jì)算機(jī)的訪問(wèn)來(lái)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”復(fù)選框)和一個(gè)可用于配置例外通信、日志設(shè)置和允許的 ICMP 通信的“設(shè)置”按鈕。

　　在 Windows XP SP2 中，連接屬性的“高級(jí)”選項(xiàng)卡上的復(fù)選框被一個(gè)“設(shè)置”按鈕所取代，使用該按鈕可以配置常規(guī)設(shè)置、程序和服務(wù)的權(quán)限、連接專用設(shè)置、日志設(shè)置和允許的 ICMP 通信。“設(shè)置”按鈕可啟動(dòng)新的 Windows 防火墻控制面板小程序，您也可以從控制面板的“網(wǎng)絡(luò)和 Internet 連接”和“安全中心”分類中啟用該小程序。

　　新的“Windows 防火墻”對(duì)話框包括下列選項(xiàng)卡：

　　常規(guī)

　　例外

　　高級(jí)

　　“常規(guī)”選項(xiàng)卡

　　“常規(guī)”選項(xiàng)卡及其默認(rèn)設(shè)置顯示在下圖中。

　　在“常規(guī)”選項(xiàng)卡中，您可以進(jìn)行下列選擇：

　　打開(kāi)(推薦)

　　選擇對(duì)“高級(jí)”選項(xiàng)卡中選定的所有網(wǎng)絡(luò)連接啟用 Windows 防火墻。啟用 Windows 防火墻后將只允許請(qǐng)求的和例外的傳入通信。例外通信在“例外”選項(xiàng)卡中進(jìn)行配置。

　　不允許例外

　　點(diǎn)擊該選項(xiàng)將只允許請(qǐng)求的傳入通信。例外傳入通信則不被允許。不管“高級(jí)”選項(xiàng)卡中的設(shè)置如何，“例外”選項(xiàng)卡中的設(shè)置將被忽略，所有的網(wǎng)絡(luò)連接都將得到保護(hù)。

　　關(guān)閉(不推薦)

　　選擇該選項(xiàng)將禁用 Windows 防火墻。不推薦使用此選項(xiàng)，尤其是對(duì)于可以直接從 Internet 進(jìn)行訪問(wèn)的網(wǎng)絡(luò)連接，除非您已經(jīng)使用了第三方的主機(jī)防火墻產(chǎn)品。

　　請(qǐng)注意，對(duì)于所有運(yùn)行帶有 SP2 的 Windows XP 的計(jì)算機(jī)連接和新創(chuàng)建的連接，Windows 防火墻的默認(rèn)設(shè)置都是“打開(kāi)(推薦)”。這會(huì)影響那些依賴非請(qǐng)求傳入通信的程序或服務(wù)的通訊。在這種情況下，您必須識(shí)別出哪些程序不再運(yùn)行，并且將這些程 序或其通信添加為例外通信。許多程序，諸如 Internet 瀏覽器和電子郵件客戶端(如 Outlook Express)，并不依賴非請(qǐng)求通信，并且可以在 Windows 防火墻啟用時(shí)正常運(yùn)行。

　　如果您使用組策略來(lái)對(duì)運(yùn)行裝有 SP2 的 Windows XP 的計(jì)算機(jī)配置 Windows 防火墻，您配置的組策略設(shè)置可能不允許本地配置。在這種情況下，“常規(guī)”選項(xiàng)卡和其他選項(xiàng)卡中的選項(xiàng)可能被灰顯并不可用，即使您登錄時(shí)使用的帳戶是本地管 理員組的成員(本地管理員)也是如此。http://www.woaidiannao.com

　　基于組策略的 Windows 防火墻設(shè)置允許您配置域配置文件(當(dāng)您連接到一個(gè)包括域控制器的網(wǎng)絡(luò)時(shí)將應(yīng)用的一組 Windows 防火墻設(shè)置)和標(biāo)準(zhǔn)配置文件(當(dāng)您連接到一個(gè)不包括域控制器的網(wǎng)絡(luò)(如 Internet)時(shí)將應(yīng)用的一組 Windows 防火墻設(shè)置)。配置對(duì)話框只顯示了當(dāng)前應(yīng)用的配置文件的 Windows 防火墻設(shè)置。要查看當(dāng)前沒(méi)有應(yīng)用的配置文件的設(shè)置，請(qǐng)使用netsh firewall show 命令。要更改當(dāng)前沒(méi)有應(yīng)用的配置文件的設(shè)置，請(qǐng)使用netsh firewall set 命令。

　　“例外”選項(xiàng)卡

　　“例外”選項(xiàng)卡及其默認(rèn)設(shè)置請(qǐng)見(jiàn)下圖。

　　在“例外”選項(xiàng)卡中，您可以啟用或禁用一個(gè)現(xiàn)有的程序或服務(wù)，或者維護(hù)用于定義例外通信的程序和服務(wù)列表。在“常規(guī)”選項(xiàng)卡中選定“不允許例外”選項(xiàng)后，例外通信將不被允許。

　　使用裝有 SP1 和未裝 Service Pack 的 Windows XP 時(shí)，您只有通過(guò)傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 端口來(lái)定義例外通信。使用裝有 SP2 的 Windows XP，您可以通過(guò) TCP 和 UDP 端口或者使用某個(gè)程序(應(yīng)用程序或服務(wù))的文件名來(lái)定義例外通信。在程序的 TCP 或 UDP 端口未知時(shí)或者在程序啟動(dòng)被動(dòng)態(tài)定義時(shí)，這種配置靈活性將使得配置例外通信更加容易。

　　有一組預(yù)定義的程序，其中包括：

　　文件和打印共享

　　遠(yuǎn)程協(xié)助(默認(rèn)啟用)

　　遠(yuǎn)程桌面

　　UPnP 框架

　　這些預(yù)定義程序和服務(wù)是不能被刪除的。

　　如果組策略允許，您可以通過(guò)點(diǎn)擊“添加程序”來(lái)指定一個(gè)程序名，從而創(chuàng)建附加例外;也可以通過(guò)點(diǎn)擊“AddPort”來(lái)指定一個(gè) TCP 或 UDP 端口，從而創(chuàng)建例外。

　　當(dāng)您點(diǎn)擊“添加程序”時(shí)，將顯示“添加程序”對(duì)話框，您可以從中選擇一個(gè)程序或者瀏覽查找一個(gè)程序文件名。下圖顯示了一個(gè)示例。

　　當(dāng)您點(diǎn)擊“AddPort”時(shí)，將顯示“添加端口”對(duì)話框，您可以從中配置 TCP 或 UDP 端口。下圖顯示了一個(gè)示例。

　　新的 Windows 防火墻允許您指定例外通信的范圍。這個(gè)范圍定義了哪一部分的網(wǎng)絡(luò)連接產(chǎn)生的例外通信是被允許的。要定義一個(gè)程序或端口的范圍，請(qǐng)點(diǎn)擊“更改范圍”。下圖顯示了一個(gè)示例。

　　在定義一個(gè)程序或端口的范圍時(shí)，您有三個(gè)選項(xiàng)可以選擇：

　　任意一臺(tái)計(jì)算機(jī)(包括 Internet 上的計(jì)算機(jī))

　　從任何 IPv4 地址發(fā)出的例外通信都是被允許的。這種設(shè)置可能會(huì)使您的計(jì)算機(jī)容易受到 Internet 上的惡意用戶或程序的攻擊。電腦

　　僅限我的網(wǎng)絡(luò)(子網(wǎng))

　　只有從符合以下條件的 IPv4 地址發(fā)出的例外通信才是被允許的：與接收通信的網(wǎng)絡(luò)連接所連的本地網(wǎng)絡(luò)段(子網(wǎng))相匹配的 IPv4 地址。比如，如果網(wǎng)絡(luò)連接所配置的 IPv4 地址是 ，并帶有子網(wǎng)掩碼 .0.0，那么只有從 .0.1 到 .255.254 的 IPv4 地址發(fā)出的例外通信才是被允許的。

　　自定義列表

　　您可以指定一個(gè)或多個(gè)用逗號(hào)分割的 IPv4 地址或 IPv4 地址范圍。IPv4 地址范圍通常對(duì)應(yīng)于子網(wǎng)。對(duì) IPv4 地址來(lái)說(shuō)，用點(diǎn)分十進(jìn)制記法鍵入 IPv4 地址。對(duì) IPv4 地址范圍來(lái)說(shuō)，您可以使用點(diǎn)分十進(jìn)制子網(wǎng)掩碼或前綴長(zhǎng)度來(lái)指定一個(gè)范圍。當(dāng)您使用點(diǎn)分十進(jìn)制子網(wǎng)掩碼時(shí)，您可以把范圍指定為一個(gè) IPv4 網(wǎng)絡(luò) ID(如 .0/.255.0)或者使用一個(gè)在范圍內(nèi)的 IPv4 地址(如 .231/.255.0)來(lái)指定范圍。當(dāng)您使用網(wǎng)絡(luò)前綴長(zhǎng)度時(shí)，您可以將范圍指定為一個(gè) IPv4 網(wǎng)絡(luò) ID(如 .0/24)或者使用一個(gè)在范圍內(nèi)的 IPv4 地址(如 .231/24)來(lái)指定范圍。下面是自定義列表的一個(gè)示例：10.91.12.56,10.7.14.9/.255.0,10.116.45.0 /.255.0,172.16.31.11/24,172.16.111.0/24。

　　您不能夠?yàn)?IPv6 通信指定自定義列表。

　　在您想允許本地網(wǎng)絡(luò)中的計(jì)算機(jī)(它們都連接在同一個(gè)子網(wǎng)中)訪問(wèn)一個(gè)程序或服務(wù)，而不允許潛在的惡意 Internet 用戶訪問(wèn)時(shí)，“僅限我的網(wǎng)絡(luò)(子網(wǎng))”范圍會(huì)很有用。

　　程序或端口一旦被添加，它就在“程序和服務(wù)”列表中被默認(rèn)禁用。

　　對(duì)于在“高級(jí)”選項(xiàng)卡中選定的所有連接，所有在“例外”選項(xiàng)卡中啟用的程序和服務(wù)都將啟用。

　　“高級(jí)”選項(xiàng)卡

　　下圖顯示了“高級(jí)”選項(xiàng)卡。

　　“高級(jí)”選項(xiàng)卡包括下面幾個(gè)部分：

　　網(wǎng)絡(luò)連接設(shè)置

　　安全日志

　　ICMP

　　默認(rèn)設(shè)置

　　網(wǎng)絡(luò)連接設(shè)置

　　在“網(wǎng)絡(luò)連接設(shè)置”中，您可以：

　　指定一組用于啟用 Windows 防火墻的接口。如要啟用，請(qǐng)選擇網(wǎng)絡(luò)連接名稱旁邊的復(fù)選框。如要禁用，請(qǐng)清除復(fù)選框。默認(rèn)情況下，所有的網(wǎng)絡(luò)連接都啟用了 Windows 防火墻。如果某個(gè)網(wǎng)絡(luò)連接沒(méi)有出現(xiàn)在此列表中，那么它就不是一個(gè)標(biāo)準(zhǔn)網(wǎng)絡(luò)連接。這方面的例子包括一些 Internet 服務(wù)提供商 (ISP) 提供的自定義撥號(hào)程序。

　　點(diǎn)擊一個(gè)網(wǎng)絡(luò)連接的名稱，然后點(diǎn)擊“設(shè)置”，即可以配置這個(gè)網(wǎng)絡(luò)連接的高級(jí)設(shè)置。

　　如果您清除了“網(wǎng)絡(luò)連接設(shè)置”中的所有復(fù)選框，Windows 防火墻將不再保護(hù)您的計(jì)算機(jī)，不管您是否已經(jīng)在“常規(guī)”選項(xiàng)卡中選擇了“打開(kāi)(推薦)”都是如此。如果您在“常規(guī)”選項(xiàng)卡中選擇了“不允許例外”，“網(wǎng)絡(luò) 連接設(shè)置”中的設(shè)置就會(huì)被忽略，在這種情況下所有的接口都將被保護(hù)。計(jì)算機(jī)基礎(chǔ)知識(shí)

　　當(dāng)您點(diǎn)擊“設(shè)置”時(shí)，“高級(jí)設(shè)置”對(duì)話框即會(huì)顯示，如下圖所示。

　　在“高級(jí)設(shè)置”對(duì)話框中，您可以在“服務(wù)”選項(xiàng)卡中(僅通過(guò) TCP 或 UDP 端口)配置特定的服務(wù)，或者在“ICMP”選項(xiàng)卡中啟用特定的 ICMP 通信類型。這兩個(gè)選項(xiàng)卡等同于在裝有 SP1 和未裝 Service Pack 的 Windows XP 中用于配置 ICF 的設(shè)置選項(xiàng)卡。

　　安全日志

　　在“安全日志”中，點(diǎn)擊“設(shè)置”，在“日志設(shè)置”對(duì)話框中指定 Windows 防火墻日志的配置，如下圖所示。

　　在“日志設(shè)置”對(duì)話框中，您可以配置是否記錄丟棄的數(shù)據(jù)包和成功的連接，并且指定日志文件(默認(rèn)設(shè)置為 Systemroot\)的名稱和位置及其最大的數(shù)據(jù)量。

　　ICMP

　　在“ICMP”中，點(diǎn)擊“設(shè)置”來(lái)指定在“ICMP”對(duì)話框中被允許的 ICMP 通信類型，如下圖所示。

　　在“ICMP”對(duì)話框中，您可以啟用或禁用傳入 ICMP 消息的類型，Windows 防火墻允許所有在“高級(jí)”選項(xiàng)卡中選定的連接使用這些消息。ICMP 消息被用來(lái)進(jìn)行診斷、報(bào)告錯(cuò)誤條件和進(jìn)行配置。默認(rèn)情況下，列表中的任何 ICMP 消息都不被允許。

　　解決連接問(wèn)題的一個(gè)常用方法就是使用 Ping 工具來(lái) Ping 您試圖連接的計(jì)算機(jī)的地址。在 Ping 的時(shí)候，您發(fā)送一個(gè) ICMP Echo 消息并收到一個(gè) ICMP Echo Reply 消息。默認(rèn)情況下，Windows 防火墻不允許傳入 ICMP Echo 消息，因此計(jì)算機(jī)就不能回送一個(gè) ICMP Echo Reply。要配置 Windows 防火墻以使其允許傳入 ICMP Echo 消息，您必須啟用“允許傳入的回顯請(qǐng)求”設(shè)置。

　　默認(rèn)設(shè)置

　　點(diǎn)擊“恢復(fù)默認(rèn)值”來(lái)將 Windows 防火墻重置為它的原始安裝狀態(tài)。當(dāng)您點(diǎn)擊“恢復(fù)默認(rèn)值”時(shí)，Windows 防火墻在更改設(shè)置之前會(huì)提示您對(duì)操作進(jìn)行確認(rèn)。