如何在单台计算机上配置 Windows 防火墙.docx
《如何在单台计算机上配置 Windows 防火墙.docx》由会员分享,可在线阅读,更多相关《如何在单台计算机上配置 Windows 防火墙.docx(31页珍藏版)》请在冰豆网上搜索。
如何在单台计算机上配置Windows防火墙
主页>安全中心
如何在单台计算机上配置Windows防火墙
发布日期:
2004年12月10日
本页内容
简介
开始之前
配置Windows防火墙常规设置
配置Windows防火墙例外
配置Windows防火墙高级设置
相关信息
简介
Windows防火墙是Microsoft®Windows®XPServicePack2(SP2)的一项新功能,在默认情况下已打开。
它可以监视并限制在计算机与网络(例如Internet)之间来回传送的信息。
Windows防火墙建立一道屏障,阻止他人XX通过网络访问您的计算机。
它还有助于防止恶意软件和蠕虫,并提供一种记录安全事件的方法。
Windows防火墙通过阻止垃圾通信来保护您的计算机。
垃圾通信是指试图通过网络连接与您的计算机进行通信,但是计算机上运行的程序并未特定请求。
因此,Microsoft®InternetExplorer或Outlook®Express等程序将在启用Windows防火墙的情况下继续成功操作。
本文档介绍了在推荐的默认设置不符合您的要求时,如何在单台计算机上配置Windows防火墙。
例如,如果您使用的某个程序需要Internet开放连接,或者您将移动计算机连接至酒店或机场的公共网络,则可能需要对设置进行调整。
本文档重点介绍了:
•
如何配置Windows防火墙常规设置
•
如何配置Windows防火墙例外
•
如何配置Windows防火墙高级设置
重要:
本文档包括的所有逐步说明都是使用“开始”菜单形成的,此菜单在安装操作系统时默认显示。
如果修改了“开始”菜单,操作步骤会略有不同。
返回页首
开始之前
本文档提供了配置WindowsXPSP2的Windows防火墙功能的指导。
它重点介绍了在小型企业环境中的单台计算机上配置Windows防火墙。
有关安全相关术语定义的更多信息,请参阅下面的资源:
•
Microsoft网站上的“MicrosoftSecurityGlossary”
返回页首
配置Windows防火墙常规设置
Windows防火墙常规设置允许您配置以下选项:
•
启用(推荐)。
这是默认设置(未选择“不允许例外”)。
•
不允许例外。
选定此复选框后,防火墙将进入“启用且不允许例外”模式,阻止连接至计算机的任何恶意请求。
这包括对“例外”选项卡上选择的程序或服务的请求。
如果您的计算机需要最大程度的保护(例如连接至酒店或机场中的公共网络时),或者已发现漏洞而您没有时间为计算机下载修补程序或根本没有修补程序时,请使用“不允许例外”设置。
安装最新的操作系统ServicePack和软件更新之后,您可以将操作模式返回到“启用并清除不允许例外”以恢复正常的Internet功能。
•
关闭(不推荐)。
关闭Windows防火墙可能会使计算机更容易遭受病毒、蠕虫或入侵者的攻击。
要修改推荐的Windows防火墙默认常规设置,请执行以下任务:
•
打开Windows安全中心
•
打开Windows防火墙
•
配置Windows防火墙“启用且不允许例外”模式
•
禁用Windows防火墙
•
验证Windows防火墙常规设置是否已应用
注:
此处列出了禁用Windows防火墙的步骤,但是只应由高级用户针对计算机管理任务而执行,或者在计算机受另一种硬件或软件防火墙保护时执行。
执行此任务的要求
•
凭据:
您必须作为本地管理员组的成员登录。
打开Windows安全中心
打开Windows安全中心
1.
在WindowsXPSP2桌面上单击“开始”,然后单击“控制面板”。
图1 控制面板
查看大图
2.
在“控制面板”中,单击“安全中心”。
图2 Windows安全中心
查看大图
打开Windows防火墙
打开Windows防火墙
1.
在“Windows 安全中心”的“管理安全设置”下,单击“Windows 防火墙”。
图3 Windows防火墙
配置Windows防火墙“启用且不允许例外”
配置Windows防火墙“启用且不允许例外”模式
1.
在“Windows 防火墙”对话框中选择“不允许例外”复选框
图4 处于启用且不允许例外模式的Windows防火墙
2.
单击“确定”。
禁用Windows防火墙
警告:
如果没有使用其它防火墙,禁用Windows防火墙会使计算机暴露在Internet上。
本节中讨论的设置只能由高级用户针对计算机管理任务而使用,或者在计算机受另一个防火墙保护时使用。
禁用Windows防火墙
1.
在“Windows 安全中心”的“管理安全设置”下,单击“Windows 防火墙”。
2.
在“Windows 防火墙”对话框中,单击“关闭(不推荐)”。
图5 禁用Windows防火墙
3.
单击“确定”,然后关闭“安全中心”和“控制面板”。
验证Windows防火墙常规设置是否已应用
验证Windows防火墙设置时,“Windows防火墙”对话框中的某些选项卡和选项可能无法使用,视您的配置而定。
验证Windows防火墙常规设置是否已应用
1.
在WindowsXPSP2桌面上单击“开始”,然后单击“控制面板”。
2.
在“选择一个类别”下单击“安全中心”。
3.
在“管理安全设置”下,单击“Windows防火墙”。
4.
单击“常规”选项卡,验证您的配置是否已应用于Windows防火墙,然后单击“确定”。
返回页首
配置Windows防火墙例外
由于Windows防火墙会限制计算机与Internet之间的通信,因此您可能需要为某些要求Internet开放连接的程序调整设置。
对于Windows防火墙例外列表中的任何程序,无论应用程序是从何处运行,Windows都会自动打开必要的连接。
注:
防火墙将指定只有在程序等待接收连接时,才打开连接。
其它时间端口都将关闭。
防火墙将指定只有在程序等待接收连接时,才打开连接。
其它时间端口都将关闭,并在出现恶意请求时保护您的计算机。
如果您必须允许例外,请通过以下方法尽量降低安全风险:
•
仅在确实需要时才允许例外。
•
对于不熟悉的程序,切勿允许例外。
•
尽快删除不再需要的例外。
要启用Windows防火墙例外,您必须执行以下任务:
•
配置通知
•
为程序添加例外
•
为端口添加例外
•
编辑例外
•
验证Windows防火墙例外设置是否已应用
执行此任务的要求
•
凭据:
您必须作为本地管理员组的成员登录。
配置通知
默认情况下,只要阻止了一个程序,Windows防火墙都会显示一个通知对话框,与图6中所示的对话框相类似。
图6 Windows安全警告
该对话框将提示哪个程序已被阻止,并允许您选择是否允许运行此程序。
可用选项包括:
•
保持阻止。
使用此选项,使程序在没有您的许可时不能连接。
•
解除阻止。
使用此选项,将程序加入Windows防火墙例外列表中。
•
稍后询问。
如果您不知道是应该阻止还是应该解除阻止程序,请使用此选项。
此选项将保持阻止该程序,以确保更高的安全性。
下一次阻止此程序时,此消息将再次出现。
如果您不希望收到任何通知,请完成以下步骤。
配置通知
1.
在“安全中心”的“管理安全设置”下,单击“Windows 防火墙”。
2.
在“例外”选项卡上,清除或者选择“Windows防火墙阻止程序时通知我”。
图7 已启用通知的“例外”选项卡
3.
单击“确定”。
为程序配置例外
您可以将例外配置为默认防火墙设置,从而允许垃圾请求连接至计算机上的程序。
您还可以更改请求的来源范围,从而更具体地指定允许启动来自何处的请求。
范围是一项可选配置,使您可以指定哪些计算机可以使用您的计算机上的例外程序。
对于家庭和小型办公室网络,Microsoft建议您将范围设置为您可以执行此操作的本地网络。
如果您仅将范围设置为本地网络,则相同网络上的计算机可以连接至该计算机上的程序。
但是,不允许来自远程计算机的通信。
如果您要允许例外的程序未在“例外”选项卡中列出,则可以在计算机上的程序列表中搜索并添加。
配置Windows防火墙程序例外
1.
在“Windows 防火墙”对话框中,单击“例外”选项卡。
图8 Windows防火墙例外列表
2.
在“程序和服务”中选择您要允许的程序或服务所对应的复选框,然后单击“确定”。
3.
如果您要允许的程序或服务并未列出,请单击“添加程序”。
图9 添加程序
4.
在列表中滚动选择您要添加的程序,然后单击“确定”。
注:
如果您希望添加的程序未在“添加程序”框中列出,请单击“浏览”。
有关浏览查找程序的步骤,请跳到本过程的步骤8。
5.
单击“更改范围”。
注:
更改范围是一项可选配置,使您可以指定哪些计算机可以使用您的计算机上的例外程序。
如果您不需要设置范围,则可以跳到步骤7。
图10 更改范围
6.
指定要为其阻止此程序的一系列计算机,然后单击“确定”。
图11 已添加Messenger的例外列表
7.
单击“确定”。
8.
如果您要允许的程序未在“添加程序”对话框中列出,请单击“添加程序”,然后单击“浏览”。
图12 浏览查找程序
查看大图
程序通常都存储在计算机的“程序文件”文件夹中。
9.
浏览到您要添加的程序并选择,然后单击“打开”。
图13 已添加到“添加程序”对话框的程序
10.
单击“确定”。
程序现在将出现在“添加程序”对话框的“程序”下。
图14 更新后的例外列表
11.
单击“确定”。
为端口配置例外
您可以将例外配置为默认Windows防火墙设置,从而允许垃圾请求连接至端口。
您还可以定义范围,从而更具体地指定允许启动来自何处的请求。
端口就象防火墙上的一扇小门,它允许通过该处进行通信。
您必须指定要打开的实际端口号,但是切记在完成使用之后立即关闭,否而它会无限期地保持打开。
范围是一项可选配置,使您可以指定哪些计算机可以使用您的计算机上的例外端口。
对于家庭和小型办公室网络,Microsoft建议您将范围设置为您可以执行此操作的本地网络。
如果您仅将范围设置为本地网络,则相同网络上的计算机可以连接至该计算机上的端口。
但是,不允许来自远程计算机的通信。
添加程序的方法比打开端口更好,因为:
•
您可以轻松完成。
•
不需要知道所用的端口号。
•
防火墙将指定只有在程序等待接收连接时,才打开端口。
其它时间端口都将关闭,并在出现恶意请求时保护您的计算机。
但是如果用户手动打开某个端口,则该端口在程序不使用时仍然会打开。
只有高级用户才应为单独连接打开端口并配置连接的范围。
此限制可以尽量减少入侵者连接至计算机或网络的机会。
注:
有关端口的更多信息,请参阅下面的资源:
•
Microsoft帮助和支持网站上的Microsoft知识库文章842242
配置Windows防火墙端口例外
1.
在“Windows 防火墙”对话框中,单击“例外”选项卡。
图15 Windows防火墙例外列表
2.
单击“添加端口”。
图16 添加端口
3.
键入您要允许的端口名称,键入端口号,然后单击“TCP”或“UDP”以提示这是TCP还是UDP端口。
4.
单击“更改范围”。
注:
更改范围是一项可选配置,使您可以指定哪些计算机可以使用您的计算机上的例外程序。
如果您不需要设置范围,则可以跳到步骤6。
图17 更改范围
5.
指定要为其阻止此端口的一系列计算机,然后单击“确定”。
6.
单击“确定”。
编辑例外
您可以在Windows防火墙的“例外”选项卡中编辑任何程序或端口例外。
编辑例外
1.
在“Windows 防火墙”对话框中,单击“例外”选项卡。
2.
在“程序或服务”中选择程序、端口或服务例外,然后单击“编辑”。
如果您选择编辑程序,请在“编辑程序”对话框中单击“更改范围”,选择您需要的选项,然后单击两次“确定”。
注:
更改范围是一项可选配置,使您可以指定哪些计算机可以使用您的计算机上的例外程序。
图18 编辑程序
如果您在“编辑端口”对话框中选择一个端口,请执行必要的编辑,然后单击“确定”。
图19 编辑端口
如果您在“编辑服务”对话框中选择一项服务,请选择与要打开的服务相关的任何端口,然后单击“确定”。
图20 编辑服务
验证Windows防火墙例外设置是否已应用
验证Windows防火墙设置时,“Windows防火墙”对话框中的某些选项卡和选项可能无法使用,视您的配置而定。
验证Windows防火墙例外设置是否已应用
1.
在WindowsXPSP2桌面上单击“开始”,然后单击“控制面板”。
2.
在“选择一个类别”下单击“安全中心”。
3.
在“管理安全设置”下,单击“Windows防火墙”。
4.
单击“例外”选项卡,然后验证您的配置是否已应用于Windows防火墙。
返回页首
配置Windows防火墙高级设置
Windows防火墙的“高级”选项卡上提供了几项可以配置的设置。
这些设置分为四个部分:
•
网络连接设置。
高级用户可以修改这些设置,以便为适用于计算机的单独硬件连接定义Windows防火墙设置。
例如,您可以将Windows防火墙配置为仅阻止连接至USB端口的设备的连接尝试,并允许通过您的网卡进行连接。
独立计算机上的标准配置是为可用的每项硬件连接配置相同的设置。
•
安全日志记录。
高级用户可以记录在Windows防火墙上尝试的成功和不成功连接。
选择记录不成功的尝试时,则会收集Windows防火墙检测到并阻止的每次连接尝试的相关信息。
选择记录成功的连接时,则会收集通过防火墙进入的每次成功连接的相关信息。
这些信息集中在一起,就形成了进出计算机环境的所有事务的日志。
•
ICMP。
高级用户可以选择通过Windows防火墙可以使用Internet控制消息协议(ICMP)的哪些部分。
要配置这些设置,必须深入了解ICMP机制。
ICMP的配置如果不正确,可能会严重影响计算机的安全性。
•
默认设置。
具有管理员权限的用户可以使用此选项,将Windows防火墙设置还原为原始默认设置。
执行此任务的要求
•
凭据:
您必须作为本地管理员组的成员登录,并且已打开Windows防火墙。
打开Windows防火墙高级设置
打开Windows防火墙高级设置
1.
在“Windows 防火墙”对话框中,单击“高级”选项卡。
图21 Windows防火墙高级设置
配置网络连接设置
Windows防火墙的默认配置是为所有连接启用。
您可以为单个连接更改此配置,还可以为不同的连接设置不同的配置。
例如,您可能希望在Internet连接上禁用电子邮件,但是在本地连接中允许电子邮件。
使用网络连接设置
1.
在“Windows防火墙”中的“高级”选项卡上的“网络连接设置”中,清除不需要Windows防火墙保护的所有连接。
2.
单击以选择要更改其默认防火墙设置的特定连接,然后单击“设置”。
图22 按网络连接的Windows防火墙高级设置
3.
选择或取消选择要为此连接启用或禁用的特定服务。
4.
如果您希望为此连接启用的服务并未显示,请单击“添加”。
图23 特定网络连接的服务设置
5.
在您希望启用的服务的每个字段中键入特定连接详细信息,然后单击“确定”。
注:
对于每项服务,您必须提供服务的描述、服务主机计算机的名称或IP地址,以及所使用的TCP或UDP内部和外部端口。
配置安全日志设置
Windows防火墙可以保存一份日志,其中包含通过防火墙的成功连接以及任何被阻止的连接。
选择记录被丢弃的数据包时,将会收集检测并阻止的每次防火墙通过尝试的相关信息。
选择记录成功的连接时,则会收集通过防火墙进入的每次成功连接的相关信息。
例如,计算机使用Web浏览器成功地连接至网站点时,将会在日志中记录该连接。
安全日志分为两个部分:
•
标题。
此部分显示的信息与安全日志版本以及可用于输入信息的字段相关。
•
正文。
这是收集和记录的所有信息的完整报告,与进出的通信或防火墙通过尝试相关。
安全日志的正文是动态列表,新数据项显示在日志底部。
配置安全日志设置
1.
在“Windows 防火墙”的“高级”选项卡上的“安全日志”下,单击“设置”。
图 24 安全日志设置
2.
在“日志设置”对话框中,单击“记录丢弃的数据包”以记录被防火墙拒绝的所有连接尝试,并单击“记录成功连接”以记录防火墙允许的所有连接尝试。
3.
键入日志的路径和名称(默认为pfirewall.log)。
注:
您必须确保为日志指定一个安全位置,以免遭受任何故意或意外修改。
4.
配置大小限制(例如4096KB)以确保日志大小不会达到无法管理的程度,然后单击“确定”。
注:
达到大小限制的日志将被重命名,方法是在日志名称结尾处添加.old。
将会使用原来的日志名称创建新的日志文件,并且继续记录。
配置ICMP设置
ICMP可以在网络中用于诊断许多网络问题。
命名,ping实用工具使用ICMP回显请求和响应消息来测试计算机之间的连接。
注:
有关ICMP的更多信息,请参阅下面的资源:
•
MicrosoftWindowsXP网站上的“InternetControlMessageProtocol(ICMP)”
WindowsXPSP2无法发现使用ICMP数据包是确实为了测试还是用于恶意目的。
也正因为如此,请勿更改这些设置,除非您是高级用户。
通过Windows防火墙中的ICMP设置,您可以选择计算机响应哪些控制消息。
注:
在“例外”选项卡上启用“文件和打印机共享”时,还会启用“允许传入回显请求”选项。
配置ICMP选项
1.
在“Windows 防火墙”的“高级”选项卡上的“ICMP”下,单击“设置”。
图 25 ICMP设置
2.
选择需要计算机响应的适当请求,然后单击“确定”。
还原Windows防火墙设置
这是一个配置选项,允许您将所有Windows防火墙设置还原为原始默认设置。
此选项非常重要,因为Windows防火墙可能曾被配置为允许传入连接(通过在Windows防火墙例外列表中添加应用程序或端口),而现在不再需要这些连接。
使用还原默认设置
1.
在“Windows防火墙”的“高级”选项卡上的“默认设置”部分中,单击“还原为默认值”。
图26 还原为默认值确认
查看大图
2.
在“还原为默认值确认”对话框中,单击“是”。
3.
单击“确定”以关闭Windows防火墙设置。
验证Windows防火墙高级设置是否已应用
验证Windows防火墙设置时,“Windows防火墙”对话框中的某些选项卡和选项可能无法使用,视您的配置而定。
验证Windows防火墙设置是否已应用
1.
在WindowsXPSP2中单击“开始”,然后单击“控制面板”。
2.
在“选择一个类别”下单击“安全中心”。
3.
在“管理安全设置”下,单击“Windows防火墙”。
4.
单击“高级”选项卡,然后验证您的配置是否已应用于Windows防火墙。
返回页首
相关信息
有关WindowsXPSP2防火墙的更多信息,请参阅下面的资源:
•
Microsoft下载中心网站上的“DeployingWindowsFirewallSettingsforMicrosoftWindowsXPwithServicePack2”
•
MicrosoftTechNet网站上的“CableGuy-2004年2月-在WindowsXPServicePack2中手动配置Windows防火墙”
•
MicrosoftWindowsXP网站上的“了解WindowsFirewall”
有关WindowsXPSP2安全性的更多信息,请参阅下面的资源:
•
Microsoft下载中心网站上的“WindowsXPSecurityGuidev2updatedforServicePack2”
•
MicrosoftTechNet网站上的“WindowsXPSecurityGuideAppendixA:
AdditionalGuidanceforWindowsXPServicePack2”
有关安全相关术语的定义,请参阅下面的资源:
•
Microsoft网站上的“MicrosoftSecurityGlossary”
升级会员 