Win XP SP2自帶防火牆設置詳細講解

在windows xp sp2中，windows防火牆有了許多新增特性，其中包括:

默認對計算機的全部鏈接啓用、應用於全部鏈接的全新的全局配置選項、用於全局配置的新增對話框集、全新的操做模式、啓動安全性、本地網絡限制、異常流量能夠經過應用程序文件名指定對internet協議第6版(ipv6)的內建支持、採用netsh和組策略的新增配置選項。

本文將詳細描述用於手動配置全新的windows防火牆的對話框集。與windows xp(sp2以前的版本)中的icf不一樣，這些配置對話框可同時配置ipv4和ipv6流量。

windows xp(sp2以前的版本)中的icf設置包含單個複選框(在鏈接屬性的「高級」選項卡上「經過限制或阻止來自internet對此計算機的訪問來保護個人計算機和網絡」複選框)和一個「設置」按鈕，您可使用該按鈕來配置流量、日誌設置和容許的icmp流量。

在windows xp sp2中，鏈接屬性的「高級」選項卡上的複選框被替換成了一個「設置」按鈕，您可使用該按鈕來配置常規設置、程序和服務的權限、指定於鏈接的設置、日誌設置和容許的icmp流量。

「設置」按鈕將運行全新的windows防火牆控制面板程序(可在「網絡和internet鏈接與安全中心」類別中找到)。

新的windows防火牆對話框包含如下選項卡:

「常規」　「異常」　「高級」　「常規」選項卡

在「常規」選項卡上，您能夠選擇如下選項:

「啓用(推薦)」

選擇這個選項來對「高級」選項卡上選擇的全部網絡鏈接啓用windows防火牆。

windows防火牆啓用後將僅容許請求的和異常的傳入流量。異常流量可在「異常」選項卡上進行配置。

「不容許異常流量」

單擊這個選項來僅容許請求的傳入流量。這樣將不容許異常的傳入流量。「異常」選項卡上的設置將被忽略，全部的鏈接都將受到保護，而無論「高級」選項卡上的設置如何。

「禁用」

選擇這個選項來禁用windows防火牆。不推薦這樣作，特別是對於可經過internet直接訪問的網絡鏈接。

注意對於運行windows xp sp2的計算機的全部鏈接和新建立的鏈接，windows防火牆的默認設置是「啓用(推薦)」。這可能會影響那些依賴未請求的傳入流量的程序或服務的通訊。在這樣的狀況下，您必須識別出那些已再也不運做的程序，將它們或它們的流量添加爲異常流量。許多程序，好比internet瀏覽器和電子郵件客戶端(如:outlook express)，不依賴未請求的傳入流量，於是可以在啓用windows防火牆的狀況下正確地運做。

若是您在使用組策略配置運行windows xp sp2的計算機的windows防火牆，您所配置的組策略設置可能不容許進行本地配置。在這樣的狀況下，「常規」選項卡和其餘選項卡上的選項多是灰色的，而沒法選擇，甚至本地管理員也沒法進行選擇。

基於組策略的windows防火牆設置容許您配置一個域配置文件(一組將在您鏈接到一個包含域控制器的網絡時所應用的windows防火牆設置)和標準配置文件(一組將在您鏈接到像internet這樣沒有包含域控制器的網絡時所應用的windows防火牆設置)。這些配置對話框僅顯示當前所應用的配置文件的windows防火牆設置。要查看當前未應用的配置文件的設置，可以使用netsh firewall show命令。要更改當前沒有被應用的配置文件的設置，可以使用netsh firewall set命令。

 

「異常」選項卡

在「異常」選項卡上，您能夠啓用或禁用某個現有的程序或服務，或者維護用於定義異常流量的程序或服務的列表。當選中「常規」選項卡上的「不容許異常流量」選項時，異常流量將被拒絕。

對於windows xp(sp2以前的版本)，您只能根據傳輸控制協議(tcp)或用戶數據報協議(udp)端口來定義異常流量。對於windows xp sp2，您能夠根據tcp和udp端口或者程序或服務的文件名來定義異常流量。在程序或服務的tcp或udp端口未知或須要在程序或服務啓動時動態肯定的狀況下，這種配置靈活性使得配置異常流量更加容易。

已有一組預先配置的程序和服務，其中包括:

文件和打印共享、遠程助手(默認啓用)、遠程桌面、upnp框架，這些預約義的程序和服務不可刪除。

若是組策略容許，您還能夠經過單擊「添加程序」，建立基於指定的程序名稱的附加異常流量，以及經過單擊「添加端口」，建立基於指定的tcp或udp端口的異常流量。

當您單擊「添加程序」時，將彈出「添加程序」對話框，您能夠在其上選擇一個程序或瀏覽某個程序的文件名。

當您單擊「添加端口」時，將彈出「添加端口」對話框，您能夠在其中配置一個tcp或udp端口。

全新的windows防火牆的特性之一就是可以定義傳入流量的範圍。範圍定義了容許發起異常流量的網段。在定義程序或端口的範圍時，您有兩種選擇:

「任何計算機」

容許異常流量來自任何ip地址。

「僅只是個人網絡(子網)」

僅容許異常流量來自以下ip地址，即它與接收該流量的網絡鏈接所鏈接到的本地網段(子網)相匹配。例如，若是該網絡鏈接的ip地址被配置爲 192.168.0.99，子網掩碼爲255.255.0.0，那麼異常流量僅容許來自192.168.0.1到192.168.255.254範圍內的 ip地址。

當您但願容許本地家庭網絡上全都鏈接到相同子網上的計算機以訪問某個程序或服務，可是又不但願容許潛在的惡意internet用戶進行訪問，那麼「僅只是個人網絡(子網)」設定的地址範圍頗有用。

一旦添加了某個程序或端口，它在「程序和服務」列表中就被默認禁用。

在「異常」選項卡上啓用的全部程序或服務對「高級」選項卡上選擇的全部鏈接都處於啓用狀態。

「高級」選項卡

「高級」選項卡包含如下選項:

網絡鏈接設置、安全日誌、icmp、默認設置

「網絡鏈接設置」

在「網絡鏈接設置」中，您能夠:

一、指定要在其上啓用windows防火牆的接口集。要啓用windows防火牆，請選中網絡鏈接名稱後面的複選框。要禁用windows防火牆，則清除該複選框。默認狀況下，全部網絡鏈接都啓用了windows防火牆。若是某個網絡鏈接沒有出如今這個列表中，那麼它就不是一個標準的網絡鏈接。這樣的例子包括internet服務提供商(isp)提供的自定義撥號程序。

二、經過單擊網絡鏈接名稱，而後單擊「設置」，配置單獨的網絡鏈接的高級配置。

若是清除「網絡鏈接設置」中的全部複選框，那麼windows防火牆就不會保護您的計算機，而無論您是否在「常規」選項卡上選中了「啓用(推薦)」。若是您在「常規」選項卡上選中了「不容許異常流量」，那麼「網絡鏈接設置」中的設置將被忽略，這種狀況下全部接口都將受到保護。

當您單擊「設置」時，將彈出「高級設置」對話框。

在「高級設置」對話框上，您能夠在「服務」選項卡中配置特定的服務(僅根據tcp或udp端口來配置)，或者在「icmp」選項卡中啓用特定類型的icmp流量。

這兩個選項卡等價於windows xp(sp2以前的版本)中的icf配置的設置選項卡。

「安全日誌」

在「安全日誌」中，請單擊「設置」，以便在「日誌設置」對話框中指定windows防火牆日誌的配置，在「日誌設置」對話框中，您能夠配置是否要記錄丟棄的數據包或成功的鏈接，以及指定日誌文件的名稱和位置(默認設置爲systemrootpfirewall.log)及其最大容量。

「icmp」

在「icmp」中，請單擊「設置」以便在「icmp」對話框中指定容許的icmp流量類型，

在「icmp」對話框中，您能夠啓用和禁用windows防火牆容許在「高級」選項卡上選擇的全部鏈接傳入的icmp消息的類型。icmp消息用於診斷、報告錯誤狀況和配置。默認狀況下，該列表中不容許任何icmp消息。

診斷鏈接問題的一個經常使用步驟是使用ping工具檢驗您嘗試鏈接到的計算機地址。在檢驗時，您能夠發送一條icmp echo消息，而後得到一條icmp echo reply消息做爲響應。默認狀況下，windows防火牆不容許傳入icmp echo消息，所以該計算機沒法發回一條icmp echo reply消息做爲響應。爲了配置windows防火牆容許傳入的icmp echo消息，您必須啓用「容許傳入的echo請求」設置。

「默認設置」

單擊「還原默認設置」，將windows防火牆重設回它的初始安裝狀態。

當您單擊「還原默認設置」時，系統會在windows防火牆設置改變以前提示您覈實本身的決定。