自從微軟釋出windows vista 以來,社會各界褒貶不一,緊随其後的windows 7就改善很多了,但是不得不說vista确實是微軟劃時代的作品,從windows xp 、windows 2003的核心nt5 直接更新到vista 的nt6.0,再到win7的nt6.1,以及最近win8的nt6.2,核心層面做了很多翻天覆地的改變,第一感覺很漂亮,當然系統内在的調整也很多,例如以前被很多人稱為陪襯的windows防火牆 現在在vista win7下變得不再雞肋,反而非常的安全,本人在此強烈建議win7下開啟自帶防火牆,下面就來帶大家一起領略一下這個功能非常實用的防火牆。
本文介紹windows 7防火牆的設定方法,自從vista開始,windows的防火牆功能已經是越加臻于完善、今非昔比了,系統防火牆已經成為系統的一個不可或缺的部分,不再像xp那樣防護功能簡單、配置單一,是以無論是安裝哪個第三方防火牆,windows 7自帶的系統防火牆都不應該被關閉掉,反而應該學着使用和熟悉它,對我們的系統資訊保護将會大有裨益。
防火牆有軟體的也有硬體德,當然了,其實硬體仍然是按照軟體的邏輯進行工作的,是以也并非所有的硬防就一定比軟防好,防火牆的作用是用來檢查網絡或internet的互動資訊,并根據一定的規則設定阻止或許可這些資訊包通過,進而實作保護計算機的目的,下面這張圖是windows 7幫助裡截出來的工作原理圖:
windows 7防火牆的正常設定方法還算比較簡單,依次打開“計算機”——“控制台”——“windows防火牆”,如下圖所示:
上圖中,啟用的是工作網絡,家庭網絡和工作網絡同屬于私有網絡,或者叫專用網絡,圖下面還有個公用網絡,實際上windows 7已經支援對不同網絡類型進行獨立配置,而不會互相影響,這是windows 7的一個改進點。圖2中除了右側是兩個幫助連接配接,全部設定都在左側,如果需要設定網絡連接配接,可以點選左側下面的網絡和共享中心,具體設定方法,可以參考《windows 7的adsl網絡連接配接和撥接上網設定方法》和《windows 7的網絡連接配接和共享設定教程》兩篇文章,另外如果對家庭網絡、工作網絡和公用網絡有疑問也可參考一下。
下面來看一下windows 7防火牆的幾個正常設定方法:
一、打開和關閉windows防火牆
點選圖2左側的打開和關閉windows防火牆(另外點選更改通知設定也會到這個界面),如下圖:
從上圖可以看出,私有網絡和公用網絡的配置是完全分開的,在啟用windows防火牆裡還有兩個選項:
1、“阻止所有傳入連接配接,包括位于允許程式清單中的程式”,這個預設即可,否則可能會影響允許程式清單裡的一些程式使用。
2、“windows防火牆阻止新程式時通知我”這一項對于個人日常使用肯定需要選中的,友善自己随時作出判斷響應。
如果需要關閉,隻需要選擇對應網絡類型裡的“關閉windows防火牆(不推薦)”這一項,然後點選确定即可。
二、還原預設設定
如果自己的防火牆配置的有點混亂,可以使用圖2左側的“還原預設設定”一項,還原時,windows 7會删除所有的網絡防火牆配置項目,恢複到初始狀态,比如,如果關閉了防火牆則會自動開啟,如果設定了允許程式清單,則會全部删除掉添加的規則。
三、允許程式規則配置
點選圖2中上側的“允許程式或功能通過windows防火牆”,如下圖:
大家看到這個配置圖會很熟悉,就是設定允許程式清單或基本服務,跟早期的windows xp很類似,不過還是有些功能變化:
1、正常配置沒有端口配置,是以也不再需要手動指定端口tcp、udp協定了,因為對于很多使用者根本不知道這兩個東西是什麼,這些配置都已轉到進階配置裡,對于普通使用者一般隻是用到增加應用程式許可規則。
2、應用程式的許可規則可以區分網絡類型,并支援獨立配置,互不影響,這對于雙網卡的使用者就很有作用。
不過,我們在第一次設定時可能需要點一下右側的更改設定按鈕後才可操作(要管理者權限)。比如,上文選擇了,允許檔案和列印機共享,并且隻對家庭或工作網絡有效(見圖右側)。如果需要了解某個功能的具體内容,可以在點選該項之後,點選下面的詳細資訊即可檢視。
如果是添加自己的應用程式許可規則,可以通過下面的“允許允許另一程式”按鈕進行添加,方法跟早期防火牆設定類似,點選後如下圖:
選擇将要添加的程式名稱(如果清單裡沒有就點選“浏覽”按鈕找到該應用程式,再點選”打開“),下面的網絡位置類型還是私有網絡和公用網絡兩個選項,不用管,我們可以回到上一界面再設定修改,添加後如下圖
添加後如果需要删除(比如原程式已經解除安裝了等),則隻需要在上圖中點選對應的程式項,再點選下面的“删除”按鈕即可,當然系統的服務項目是無法删除的,隻能禁用。
另外如果還想對增加的允許規則進行詳細定制,比如端口、協定、安全連接配接及作用域等等,則需要到進階設定這個大倉庫裡看看了。
一、進階安全windows 防火牆mmc
依次點選“計算機”——“控制台”——“windows防火牆”,點選控制界面左側的“進階設定”,即可看到如下界面,幾乎所有的防火牆設定都可以在這個進階設定裡完成,而且windows 7防火牆的的諸多優秀特性也可以在這裡展現出來。
從簡單到複雜的過一下,右側的操作欄目:
1、導入和導出政策
導入和導出政策是用來通過政策檔案(*.wfw)進行配置儲存或共享部署之用,導出功能既可以作為目前設定的備份也可以共享給其它計算機進行批量部署之用。
2、還原預設政策
還原預設政策功能跟前一篇《經驗交流:windows 7防火牆設定詳解(一)》文章中的恢複防火牆預設設定類似,還原預設政策将會重置自動安裝windows之後對windows防火牆所做的所有更改,還原後有可能會導緻某些程式停止運作。
3、診斷/修複
二、進階安全windows防火牆屬性設定
右側最下面的“屬性”是顯示進階安全設定防火牆屬性(點選上圖中間的“windows防火牆屬性”也可以,隻是顯示的标題有點差異),如下圖:
防火牆屬性設定裡,總體分成四大塊,這個四種配置類型都是獨立配置獨立生效的。
域配置檔案
域配置檔案主要是面向企業域連接配接使用,普通使用者也可以把它關閉掉。
專用配置檔案
專用配置檔案是面向家庭網絡和工作網絡配置使用,大家最常使用。
公用配置檔案
公用配置檔案是面向公用網絡配置使用,如果在酒店、機場等公共場合時可能需要使用。
ipsec設定
ipsec設定是面向×××等需要進行安全連接配接時使用,關于ipsec知識,可以參考http://zh.wikipedia.org/zh-cn/ipsec。
上述四種設定中前三種配置方法幾乎完全相同,是以下文隻以專用配置檔案和ipsec設定為例進行介紹:
1、專用配置檔案
a、防火牆的狀态,有啟用(推薦)和關閉兩個選項,可以在這裡進行設定,目前上一篇的正常配置裡也可以完成防火牆的開啟和關閉,效果相同。
b、入站連接配接,有阻止(預設值)、阻止所有連接配接和允許三個,似乎除了實驗用機,都不能選擇最後的允許一項,來者不拒會帶來很×××煩。
c、出站連接配接,有阻止和允許(預設值)兩個選項,對于個人計算機還是需要通路網絡的就選擇預設值即可。
在指定控制windows防火牆行為的設定,如下圖:
第一個設定可以使windows防火牆在某個程式被阻止接收入站連接配接時通知使用者,注意這裡隻對沒有設定阻止或允許規格的程式才有效,如果已經設定了阻止,則windows防火牆不會發出通知。下面的設定意思是許可對多點傳播或廣播網絡流量的單點傳播響應,所指的多點傳播或廣播都是本機發出的,接收客戶機進行單點傳播響應,預設設定即可。
2、ipsec設定
ipsec設定界面如下圖:
a、ipsec預設值
可以配置ipsec用來幫助保護網絡流量的密鑰交換、資料保護和身份驗證方法。單擊“自定義”可以顯示“自定義 ipsec 設定”對話框。當具有活動安全規格時,ipsec将使用該項設定規則建立安全連接配接,如果沒有對密鑰交換(主模式)、資料保護(快速模式)和身份驗證方法進行指定,則建立連接配接時将會使用組政策對象(gpo)中優先級較高的任意設定,順序如下,最高優先級組政策對象(gpo)——本地定義的政策設定——ipsec設定的預設值(比如身份驗證算法預設是kerberos v5等,更多預設可以直接點選下面視窗的“什麼是預設值”幫助檔案)。
b、ipsec免除
此選項設定确定包含internet 控制消息協定 (icmp) 消息的流量包是否受到ipsec保護,icmp通常由網絡疑難解答工具和過程使用。注意,此設定僅從進階安全 windows 防火牆的ipsec部分免除 icmp,若要確定允許 icmp 資料包通過windows防火牆,還必須建立并啟用入站規則(入站規則的設定方法參見下文),另外,如果在“網絡和共享中心”中啟用了檔案和列印機共享,則進階安全 windows 防火牆會自動啟用允許常用icmp 資料包類型的防火牆規則。可能也會啟用與 icmp 不相關的網絡功能,如果隻希望啟用 icmp,則在 windows 防火牆中建立并啟用規則,以允許入站 icmp 網絡資料包。
c、ipsec隧道授權
隻在以下情況下使用此選項,具有建立從遠端計算機到本地計算機的 ipsec 隧道模式連接配接的連接配接安全規則,并希望指定使用者和計算機,以允許或拒絕其通過隧道通路本地計算機。選擇“進階”,然後單擊“自定義”可以顯示“自定義 ipsec 隧道授權”對話框,可以為需要授權的計算機或使用者進行隧道規則授權。
三、進階安全windows防火牆導航樹
下面再來看一下左側的控制樹,大部分都是防火牆規則設定功能,可以建立防火牆規則以便阻止或允許此計算機向程式、系統服務、計算機或使用者發送流量,或是接收來自這些對象的流量,規則标準隻有三個:允許、條件允許和阻止,條件允許是指隻允許使用ipsec保護下的連接配接通過。
入站規則
可以為入站通信或。可配置規則以指定計算機或使用者、程式、服務或者端口和協定。可以指定要應用規則的網絡擴充卡類型:區域網路 (lan)、無線、遠端通路,例如虛拟專用網絡 (×××) 連接配接或者所有類型。還可以将規則配置為使用任意配置檔案或僅使用指定配置檔案時應用。
出站規則
為出站通信建立或修改規則,功能同入站規則。
連接配接安全規則
使用建立連接配接安全規則向導,建立internet協定安全性(ipsec)規則,以實作不同的網絡安全目标,向導中已經預定義了四種不同的規則類型(隔離、免除身份驗證、伺服器到伺服器和隧道),當然也建立自定義的規則,為了便于管理,請在建立連接配接規則時指定一個容易識别和記憶的名稱,友善在指令行中管理。
監視
監視計算機上的活動防火牆規則和連接配接安全規則,但ipsec政策除外。
防火牆
僅顯示活動的防火牆規則,可以通過右鍵點選頁籤選擇屬性,檢視每個頁籤的正常、程式和端口和進階特性。
顯示目前活動的連接配接安全規則,屬性檢視可以通過滑鼠右鍵選擇屬性或點選右側的工具欄的屬性進行檢視。
安全關聯下的主模式
主模式協商是通過确定一個加密保護套件集、交換密鑰材料建立共享密鑰以及驗證計算機和使用者身份,最終在兩台計算機之間建立一個安全的通道。監視主模式sa可以檢視哪些對等計算機連接配接到本機,以及該sa正在使用的保護套件。
安全關聯下的快速模式
快速模式協商在兩台計算機之間建立安全通道,以保護在兩台計算機之間交換的資料。一對計算機之間隻有一個主模式sa,但可以有多個快速模式sa,監視快速模式sa可以檢視目前哪些對等計算機連接配接到本機,哪些保護套件在保護正在交換的資料。可以通過輕按兩下清單項目檢視快速sa資訊,
一、如何禁用或啟用規則
方法:隻需要在需要禁用或啟動的規則上,滑鼠右鍵選擇啟用或禁止規則即可,或點選右側的操作欄進行規則啟用或禁止。
二、入站規則和出站規則
由于入站和出站管理方法基本相同,是以把它們放到一起介紹,我們在windows防火牆的“允許程式或功能通過windows防火牆”中每增加或減少一個設定項,都會反應到入站或出站規則中來,這些規則從整體上看可以分成兩個部分,一是使用者規則,比如我們手動增加的允許程式規則就屬于使用者規則,還有一些系統預定義規則,預定義規則大部分都是系統已經預先設定好的,而且很多設定都是不允許修改的,我們點選上一篇增加的winrar程式允許規則(滑鼠右鍵選擇屬性或直接左鍵輕按兩下)。
上圖的屬性設定可以看出手動增加的程式規則幾乎都可以完全定制,而系統的預定義規則中的“程式和服務”與“協定和端口”兩個部分幾乎都不可以修改,系統規則也會明确×××頭标注明,大部分系統規則,我們隻需要啟用或禁止即可。
我們在允許程式或服務管理中,每增加一條程式或啟用一個服務,我們可以在進階安全管理界面裡看到可能會n條規則,規則記錄數的多少是跟程式或服務實際使用的協定數有關系,比如上文增加的winrar記錄如果隻選擇專用網絡,則會預設增加适合專網tcp、udp兩條規則記錄,當然這些規則全部都可以在屬性界面修改掉。
下表列出了上圖中幾個頁籤的具體設定情況,因為相關抓圖太多了,無法一一展示出來,隻能用文字粗略描述一下,另外如果遇到不懂的地方,可以随時在界面中檢視幫助檔案,防火牆幫助檔案非常完善:
正常
該部分包含規則的辨別資訊,可以啟動或禁用規則,名稱最好唯一友善netsh管理,操作部分隻有三個選項,允許、允許安全、阻止。如果要使用僅允許安全的連接配接選項,則ipsec設定必須在單獨的連接配接安全規則中定義。
程式和服務
程式部分包含如何比對來自程式的網絡資料包資訊,兩個選擇一個是符合指定條件的所有程式(條件就是指其它頁籤設定的條件),還有一個就是指定程式,正常增加的規則都是指定程式。使用者程式一般都會标示完整的路徑,而系統程式則可能隻顯示system。
服務是用來比對來來自計算機上所有程式和服務、僅服務或指定服務的資料包。設定中有四個選項,一級比一級嚴格,最後一個應用于具有下列服務短名稱的服務一項屬于篩選作用。
計算機
該部分可以指定允許或阻止執行該規則的連接配接的計算機或組帳戶。
協定和端口
協定就是指網絡流量篩選的協定。
作用域
本地ip位址由本地計算機用于确定規則是否适用。規則僅适用于通過配置為使用一個石碇本地ip位址的網絡擴充卡比對規則。
遠端ip位址則指定應用規則的遠端ip位址,如果目标ip位址是清單中的位址之一,則網絡流量比對規則。
進階
進階部分可以修改應用此防火牆規則的配置檔案和接口類型。
配置檔案的适用連接配接範圍,windows 7可以根據網絡擴充卡的網絡位置應用相應的配置檔案,支援三種配置檔案(域、專用和公用)。
接口類型是指定應用連接配接安全規則的接口類型,支援所有、區域網路、遠端和無線的任意組合。
邊緣周遊可以允許計算機接受未經請求的入站資料包,這些資料包已認證邊緣裝置(nat路由器或防火牆)。
使用者
使用者部分可以用來設定指定哪些使用者或使用者組可以連接配接到計算機。
三、連接配接安全規則
連接配接安全包括在兩台計算機開始通信之前對他們進行身份驗證,并確定在兩台計算機之間發送的資訊的安全性。進階安全windows防火牆使用ipsec實作連接配接安全,方式是通過使用密鑰、身份驗證、資料完整性和資料加密等措施。要建立一個安全規則隻需要點選連接配接安全規則,然後在中間的視窗中滑鼠右鍵,選擇建立規則,如下圖:
選擇後,會彈出建立“建立連接配接安全規則向導”,如下圖:
隧道終結點
-
y
隧道終結點(拓撲結構參下面附圖)可以為ipsec隧道規則配置終結點選項,隧道終結點一般是網關伺服器,終結點1和終結點2都是隧道本地端的計算機集合,配置時可以使用ip位址、ip子網位址、ip位址範圍或預定義的計算機集。
身份驗證方法
“伺服器和伺服器”和“隧道”兩個連接配接安全規則類型的×××連接配接方法隻有兩種,分别是計算機證書和進階自定義第一和第二身份驗證設定。其餘的身份驗證方法都支援四種:預設使用ipsec設定方法、計算機和使用者、計算機、進階自定義第一和第二身份驗證方法。
協定和端口是用來指定網路哦資料包中指定的哪個協定和哪些端口比對該連接配接的安全規則。僅網絡流量比對此頁上的條件,“終結點”頁比對該規則,且服從其身份驗證要求。
配置檔案
指定該規則的使用範圍,上文已經提到的域、專用或公用三個選項。
名稱
為該規則起一個容易記憶和管理名字,如果需要也可以加入描述友善了解。
附隧道終結點連接配接關系拓撲圖:
最後,連接配接規則建立完成後,就可以在連接配接安全規則中進行統一啟動或禁止及修改管理,如下圖:
四、如何複制安全規則
在進階安全設定裡還支援規則的複制粘貼,使用方法:在需要複制的規則上滑鼠右鍵選擇複制,然後再次粘貼即可,然後可以進行再次編輯。
--------------------------------------------------------------------------------------------------
您的頂帖是我發帖的動力↘