史萊姆論壇 - 查看單個文章

psac · 2004-08-10, 09:34 PM

Windows 防火牆是在 Windows XP Service Pack 2 中取代原來的 Internet Connection Firewall 的更新版本。預設值狀態下防火牆在所有的網路卡界面均為開啟狀態. 無論是Windows XP全新安裝還是昇級安裝，這個選項都可以在預設值的情況下給網路連接提供更多的保護。

但是，如果某些應用程式不能在這個防火牆過濾狀態下工作的話，他們將無法相容於這個新的操作系統。

更新

用戶界面和新特性

要配置 Windows 防火牆, 可以從安全中心中開啟，安全中心位於控制台，當然也可以直接從控制台中開啟Windows 防火牆控制台，還有第3個選項，可以從網路連接的進階選擇項中進入防火牆控制台。在主選擇項中有3個選項：

啟用 (推薦)
不允許例外
關閉 (不推薦)
當你選項了不允許例外，Windows 防火牆將攔截所有的連接你的電腦的網路請求, 包括在例外選擇項中列表的應用程式和系統服務。另外，防火牆也將攔截文件和列印機共享，還有網路設備的偵測。

使用不允許例外選項的windows 防火牆比較適用於連接在公共網路上個人電腦，比如在賓館和機場公共使用的電腦。

即使你使用了不允許例外選項的windows 防火牆，你仍然可以瀏覽網頁，傳送接受電子郵件，或者使用即使通訊軟體。

http://it.rising.com.cn/image/014/safety0607002.jpg

例外選擇項中允許增加阻止規則例外的程序和連接阜來允許特定的進站通訊。對於每一個例外項，你都可以相應的設定一個作用域。

對於家用和小型辦公室套用網路，推薦設定作用域為可能的本機網路
。當然，你也可以手工設定作用域中IP的範圍。這樣，只有來自特定的IP位址範圍的網路請求才能被接受。

在例外選擇項中還有一個增加程序的按鈕。

如果你希望網路中（防火牆外）的其他客戶端能夠訪問你本機的某個特定的程序或服務，而你又不知道這個程序或服務將使用哪一個連接阜和哪一類型連接阜，這種情況下你可以將這個程序或者服務增加到Windows 防火牆的例外項中以保證它能被外部訪問。

http://it.rising.com.cn/image/014/safety0607003.jpg

在進階選擇項中可以配置以下設定：

套用在每個網路界面上的連接特定規則
安全紀錄配置
全局ICMP規則，通過Internet控制消息傳輸協定(ICMP)允許網路上的電腦共享和傳遞錯誤和狀態資訊。

預設值設定，可以將所有Windows防火牆設定還原為預設值狀態
我們可以針對不同的網路連接配置不同的規則。

將例外選項中的設定與進階選項中網路連接的附加設定組合後稱之為Windows防火牆"合成設定(resultant set)"。

群組原則配置

通過使用Windows防火牆，管理員可以使其對小型網路的公共連接或連接在internet上的單獨電腦進行必要的保護。

他們通過在網路中佈署Windows防火牆的適當的配置設定，並啟動它來對網路提供安全保護。Windows防火牆群組原則配置可以通過群組原則控制台的以下位置找到:

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Standard profile

在Windows XP SP2中，Windows防火牆預設值設定為阻止所有連接阜，這也意味著伺服器到客戶端機的套用將無法到達客戶端。這種情況下可以通過在群組原則中設定IPSEC來驗證並信任伺服器端套用傳送到客戶端的請求。

"Windows 防火牆: 允許通過驗證的IPSEC旁路"的群組原則設定允許你指定是否啟用Windows防火牆的IPSEC驗證來允許來自指定系統的主動傳入消息。

http://it.rising.com.cn/image/014/safety0607004.jpg

指令行工具

Windows防火牆的配置和狀態資訊可以通過指令行 Netsh.exe 獲得。我們可以使用 netsh firewall 指令來獲取防火牆資訊和修改防火牆設定。

Commands in this context:
-------------------------------------------------------
? - Displays a list of commands.
add - Adds firewall configuration.
delete - Deletes firewall configuration.
dump - Displays a configuration script.
help - Displays a list of commands.
reset - Resets firewall configuration to default.
set - Sets firewall configuration.
show - Shows firewall configuration.

安全警告

http://it.rising.com.cn/image/014/safety0607005.jpg

在Windows XP SP2中，當用戶在本機執行一個應用程式並將作為Internet伺服器提供服務時，Windows防火牆將彈出一個新的安全警告對話視窗（如上圖）。

你可以使用對話視窗中的選項將此應用程式或服務增加到Windows防火牆的例外項中。Windows防火牆的例外項配置可以允許特定的進站連接。

如果使用這種方法後程序無法正常執行，你可以通過下列分析步驟將問題隔離出來:

增加程序到例外項中
增加連接阜到例外項中
使用防火牆安全紀錄
禁止防火牆(不推薦)

2004-08-10, 09:34 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Windows XP系統 SP2防火棶妣z Windows 防火牆是在 Windows XP Service Pack 2 中取代原來的 Internet Connection Firewall 的更新版本。預設值狀態下防火牆在所有的網路卡界面均為開啟狀態. 無論是Windows XP全新安裝還是昇級安裝，這個選項都可以在預設值的情況下給網路連接提供更多的保護。但是，如果某些應用程式不能在這個防火牆過濾狀態下工作的話，他們將無法相容於這個新的操作系統。更新用戶界面和新特性要配置 Windows 防火牆, 可以從安全中心中開啟，安全中心位於控制台，當然也可以直接從控制台中開啟Windows 防火牆控制台，還有第3個選項，可以從網路連接的進階選擇項中進入防火牆控制台。在主選擇項中有3個選項：啟用 (推薦) 不允許例外關閉 (不推薦) 當你選項了不允許例外，Windows 防火牆將攔截所有的連接你的電腦的網路請求, 包括在例外選擇項中列表的應用程式和系統服務。另外，防火牆也將攔截文件和列印機共享，還有網路設備的偵測。使用不允許例外選項的windows 防火牆比較適用於連接在公共網路上個人電腦，比如在賓館和機場公共使用的電腦。即使你使用了不允許例外選項的windows 防火牆，你仍然可以瀏覽網頁，傳送接受電子郵件，或者使用即使通訊軟體。例外選擇項中允許增加阻止規則例外的程序和連接阜來允許特定的進站通訊。對於每一個例外項，你都可以相應的設定一個作用域。對於家用和小型辦公室套用網路，推薦設定作用域為可能的本機網路。當然，你也可以手工設定作用域中IP的範圍。這樣，只有來自特定的IP位址範圍的網路請求才能被接受。在例外選擇項中還有一個增加程序的按鈕。如果你希望網路中（防火牆外）的其他客戶端能夠訪問你本機的某個特定的程序或服務，而你又不知道這個程序或服務將使用哪一個連接阜和哪一類型連接阜，這種情況下你可以將這個程序或者服務增加到Windows 防火牆的例外項中以保證它能被外部訪問。在進階選擇項中可以配置以下設定：套用在每個網路界面上的連接特定規則安全紀錄配置全局ICMP規則，通過Internet控制消息傳輸協定(ICMP)允許網路上的電腦共享和傳遞錯誤和狀態資訊。預設值設定，可以將所有Windows防火牆設定還原為預設值狀態我們可以針對不同的網路連接配置不同的規則。將例外選項中的設定與進階選項中網路連接的附加設定組合後稱之為Windows防火牆"合成設定(resultant set)"。群組原則配置通過使用Windows防火牆，管理員可以使其對小型網路的公共連接或連接在internet上的單獨電腦進行必要的保護。他們通過在網路中佈署Windows防火牆的適當的配置設定，並啟動它來對網路提供安全保護。Windows防火牆群組原則配置可以通過群組原則控制台的以下位置找到: Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Standard profile 在Windows XP SP2中，Windows防火牆預設值設定為阻止所有連接阜，這也意味著伺服器到客戶端機的套用將無法到達客戶端。這種情況下可以通過在群組原則中設定IPSEC來驗證並信任伺服器端套用傳送到客戶端的請求。 "Windows 防火牆: 允許通過驗證的IPSEC旁路"的群組原則設定允許你指定是否啟用Windows防火牆的IPSEC驗證來允許來自指定系統的主動傳入消息。指令行工具 Windows防火牆的配置和狀態資訊可以通過指令行 Netsh.exe 獲得。我們可以使用 netsh firewall 指令來獲取防火牆資訊和修改防火牆設定。 Commands in this context: ------------------------------------------------------- ? - Displays a list of commands. add - Adds firewall configuration. delete - Deletes firewall configuration. dump - Displays a configuration script. help - Displays a list of commands. reset - Resets firewall configuration to default. set - Sets firewall configuration. show - Shows firewall configuration. 安全警告 http://it.rising.com.cn/image/014/safety0607005.jpg 在Windows XP SP2中，當用戶在本機執行一個應用程式並將作為Internet伺服器提供服務時，Windows防火牆將彈出一個新的安全警告對話視窗（如上圖）。你可以使用對話視窗中的選項將此應用程式或服務增加到Windows防火牆的例外項中。Windows防火牆的例外項配置可以允許特定的進站連接。如果使用這種方法後程序無法正常執行，你可以通過下列分析步驟將問題隔離出來: 增加程序到例外項中增加連接阜到例外項中使用防火牆安全紀錄禁止防火牆(不推薦)

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次