Windows 7防火牆設置詳解(二)

Windows 7防火牆設置詳解(二)

1、高級安全Windows 防火牆MMC

依次點擊「計算機」——「控制面板」——「Windows防火牆」，點擊控制界面左側的「高級設置」，便可看到以下界面，幾乎全部的防火牆設置均可以在這個高級設置裏完成，並且Windows 7防火牆的的諸多優秀特性也能夠在這裏展示出來。

從簡單到複雜的過一下，右側的操做欄目：

1、導入和導出策略

導入和導出策略是用來經過策略文件（*.wfw）進行配置保存或共享部署之用，導出功能既能夠做爲當前設置的備份也能夠共享給其它計算機進行批量部署之用。

2、還原默認策略

還原默認策略功能跟前一篇《Windows 7防火牆設置詳解(一)》文章中的恢復防火牆默認設置相似，還原默認策略將會重置自動安裝Windows以後對Windows防火牆所作的全部更改，還原後有可能會致使某些程序中止運行。

3、診斷/修復

診斷和修復功能是用來診斷和修復Internet鏈接用的，和本文關係不大，網絡設置能夠參考《Windows 7的ADSL網絡鏈接和撥號鏈接設置方法》和《Windows 7的網絡鏈接和共享設置教程》兩篇文章。

2、高級安全Windows防火牆屬性設置

右側最下面的「屬性」是顯示高級安全設置防火牆屬性（點擊上圖中間的「Windows防火牆屬性」也能夠，只是顯示的標題有點差別），以下圖：

防火牆屬性設置裏，整體分紅四大塊，這個四種配置類型都是獨立配置獨立生效的。

域配置文件

域配置文件主要是面向企業域鏈接使用，普通用戶也能夠把它關閉掉。

專用配置文件

專用配置文件是面向家庭網絡和工做網絡配置使用，你們最常使用。

公用配置文件

公用配置文件是面向公用網絡配置使用，若是在酒店、機場等公共場合時可能須要使用。

IPSec設置

IPSec設置是面向×××等須要進行安全鏈接時使用，關於IPSec知識，能夠參考http://zh.wikipedia.org/zh-cn/IPsec。

上述四種設置中前三種配置方法幾乎徹底相同，因此下文只以專用配置文件和IPSec設置爲例進行介紹：

1、專用配置文件

A、防火牆的狀態，有啓用（推薦）和關閉兩個選項，能夠在這裏進行設置，當前上一篇的常規配置裏也能夠完成防火牆的開啓和關閉，效果相同。

B、入站鏈接，有阻止（默認值）、阻止全部鏈接和容許三個，彷佛除了實驗用機，都不能選擇最後的容許一項，來者不拒會帶來很×××煩。

C、出站鏈接，有阻止和容許（默認值）兩個選項，對於我的計算機仍是須要訪問網絡的就選擇默認值便可。

在指定控制Windows防火牆行爲的設置，以下圖：

第一個設置可使Windows防火牆在某個程序被阻止接收入站鏈接時通知用戶，注意這裏只對沒有設置阻止或容許規格的程序纔有效，若是已經設置了阻止，則Windows防火牆不會發出通知。下面的設置意思是許可對多播或廣播網絡流量的單播響應，所指的多播或廣播都是本機發出的，接收客戶機進行單播響應，默認設置便可。

2、IPSec設置

IPSec設置界面以下圖：

A、IPSec默認值

能夠配置IPSec用來幫助保護網絡流量的密鑰交換、數據保護和身份驗證方法。單擊「自定義」能夠顯示「自定義 IPsec 設置」對話框。當具備活動安全規格時，IPSec將使用該項設置規則創建安全鏈接，若是沒有對密鑰交換（主模式）、數據保護（快速模式）和身份驗證方法進行指定，則創建鏈接時將會使用組策略對象（GPO）中優先級較高的任意設置，順序以下，最高優先級組策略對象（GPO）——本地定義的策略設置——IPSec設置的默認值（好比身份驗證算法默認是Kerberos V5等，更多默承認以直接點擊下面窗口的「什麼是默認值」幫助文件）。

B、IPSec免除

此選項設置肯定包含Internet 控制消息協議 (ICMP) 消息的流量包是否受到IPsec保護，ICMP一般由網絡疑難解答工具和過程使用。注意，此設置僅從高級安全 Windows 防火牆的IPsec部分免除 ICMP，若要確保容許 ICMP 數據包經過Windows防火牆，還必須建立並啓用入站規則（入站規則的設置方法參見下文），另外，若是在「網絡和共享中心」中啓用了文件和打印機共享，則高級安全 Windows 防火牆會自動啓用容許經常使用ICMP 數據包類型的防火牆規則。可能也會啓用與 ICMP 不相關的網絡功能，若是隻但願啓用 ICMP，則在 Windows 防火牆中建立並啓用規則，以容許入站 ICMP 網絡數據包。

C、IPSec隧道受權

只在如下狀況下使用此選項，具備建立從遠程計算機到本地計算機的 IPsec 隧道模式鏈接的鏈接安全規則，並但願指定用戶和計算機，以容許或拒絕其經過隧道訪問本地計算機。選擇「高級」，而後單擊「自定義」能夠顯示「自定義 IPsec 隧道受權」對話框，能夠爲須要受權的計算機或用戶進行隧道規則受權。

3、高級安全Windows防火牆導航樹

下面再來看一下左側的控制樹，大部分都是防火牆規則設置功能，能夠建立防火牆規則以便阻止或容許此計算機向程序、系統服務、計算機或用戶發送流量，或是接收來自這些對象的流量，規則標準只有三個：容許、條件容許和阻止，條件容許是指只容許使用IPSec保護下的鏈接經過。

入站規則	能夠爲入站通訊或。可配置規則以指定計算機或用戶、程序、服務或者端口和協議。能夠指定要應用規則的網絡適配器類型：局域網 (LAN)、無線、遠程訪問，例如虛擬專用網絡 (×××) 鏈接或者全部類型。還能夠將規則配置爲使用任意配置文件或僅使用指定配置文件時應用。
出站規則	爲出站通訊建立或修改規則，功能同入站規則。
鏈接安全規則	使用新建鏈接安全規則嚮導，建立Internet協議安全性（IPSec）規則，以實現不一樣的網絡安全目標，嚮導中已經預約義了四種不一樣的規則類型（隔離、免除身份驗證、服務器到服務器和隧道），固然也建立自定義的規則，爲了便於管理，請在建立鏈接規則時指定一個容易識別和記憶的名稱，方便在命令行中管理。
監視	監視計算機上的活動防火牆規則和鏈接安全規則，但IPSec策略除外。
防火牆	僅顯示活動的防火牆規則，能夠經過右鍵點擊選項卡選擇屬性，查看每一個選項卡的常規、程序和端口和高級特性。
鏈接安全規則	顯示當前活動的鏈接安全規則，屬性查看能夠經過鼠標右鍵選擇屬性或點擊右側的工具欄的屬性進行查看。
安全關聯下的主模式	主模式協商是經過肯定一個加密保護套件集、交換密鑰材料創建共享密鑰以及驗證計算機和用戶身份，最終在兩臺計算機之間創建一個安全的通道。監視主模式SA能夠查看哪些對等計算機鏈接到本機，以及該SA正在使用的保護套件。
安全關聯下的快速模式	快速模式協商在兩臺計算機之間創建安全通道，以保護在兩臺計算機之間交換的數據。一對計算機之間只有一個主模式SA，但能夠有多個快速模式SA，監視快速模式SA能夠查看當前哪些對等計算機鏈接到本機，哪些保護套件在保護正在交換的數據。能夠經過雙擊列表項目查看快速SA信息，

以上列表簡述了高級安全Windows防火MMC管理單元的控制檯導航配置大概狀況，具體配置方法，請參考下一篇文章。