WinXPSP2的详细说明防火墙设置
随着网络和组策略的新配置选项
本文将详细描述用于手动配置新Windows防火墙的一组对话框,不同于Windows XP中的ICF(以前版本的SP2),这些配置对话框可以同时配置IPv4和IPv6流量。
Windows XP(SP2之前的版本)在ICF设置包含一个复选框(在高级选项卡;连接属性;限制或阻止互联网这台电脑来保护我的计算机和网络;复选框)和按钮,可以设置使用;这个按钮来配置日志设置,允许流动,ICMP流量。
在Windows XP SP2中,连接的属性复选框上的选项卡已被替换为set按钮;您可以使用此按钮配置连接设置、权限和日志设置中指定的一般设置、过程和服务,从而允许ICMP流量。
Ldquo;设置按钮将运行新的Windows防火墙控制面板程序(它可以在网络和Internet连接和安全中心类别中找到)。
新建Windows防火墙对话框包含以下选项卡:
常规;畸形;高级;常规标签。
在标签上,你可以选择以下选项:
启用(推荐);
选择此选项可使Windows防火墙具有高级选项卡上选择的所有网络连接。
当启用Windows防火墙时,它只允许请求的和异常的传入流量。异常流量可以在异常选项卡上配置。
异常流量是不允许的;
单击此选项仅允许传入的传入流量。这将不允许异常传入流量。Ldquo;异常;选项卡上的设置将被忽略,并且所有连接都将受到保护,而不管高级选项卡上的设置。
禁用;
选择此选项禁用Windows防火墙,这是不推荐的,尤其是对于可以通过Internet直接访问的网络连接。
注:所有的连接和新创建的连接运行Windows XP SP2的计算机,Windows防火墙的默认设置是启用;。这可能会影响程序或依赖未请求的传入流量服务通信。在这种情况下,你必须找出那些不再工作,并加入他们或者他们的流量异常流量。许多程序,如网络浏览器和电子邮件客户端,如Outlook Express,不依靠不请自来的传入流量,使他们能够正确操作的情况下,Windows防火墙。
如果您正在使用组策略配置来运行WindowsXP SP2计算机的Windows防火墙,则可能不允许本地配置来配置组策略设置。在这种情况下,常规选项卡和其他选项卡可能是灰色的,不能选择,甚至本地管理员也不能选择。
Windows防火墙组策略设置允许您配置一个基于域配置文件(一组将在您连接到Windows防火墙应用程序包含一个域控制器的网络设置标准配置文件(Windows)和防火墙应用程序组将你连接到互联网不包含网络设置域控制器)。这些配置对话框只显示Windows防火墙设置,目前正在应用的配置文件。看到设置为当前非应用配置文件,您可以使用防火墙显示命令。改变不适用当前配置文件的设置防火墙配置命令,可以用。
异常标签
在异常选项卡上,您可以启用或禁用现有的程序或服务,或维护用于定义异常流量的程序或服务列表。
Windows XP(SP2之前的版本),您只能根据传输控制协议(TCP)定义异常流量或用户数据报协议(UDP)端口。对于Windows XP SP2,可以根据TCP和UDP端口或者程序或服务的文件的名称定义时异常交通。TCP或UDP端口的程序或服务是未知的或需要动态地确定在程序或服务启动,这种配置的灵活性使得它更容易配置异常流量。
有一组预先配置的程序和服务,包括:
文件和打印共享、远程助手(默认),远程桌面,和UPnP框架,这些预定义的程序和服务不可删除。
如果组策略允许,您也可以通过单击添加程序并创建一个基于指定TCP或UDP端口的异常流量,单击添加端口来创建基于指定程序名的异常流量。
当你点击添加程序时,它就会弹出添加对话框,你可以在上面选择一个程序,或者浏览程序的文件名。
当你点击添加端口时,你弹出了添加端口对话框,你可以在其中配置一个TCP或UDP端口。
一个新的Windows防火墙的特性之一是定义传入流量的范围。范围定义了允许异常流量启动的网络段。当定义程序或端口的范围时,您有两个选项:
Ldquo;任何计算机;允许异常流量来自任何IP地址。
只是我的网络(Zi Wang);
唯一的例外是交通允许来自下列的IP地址,即它与本地网段(子网)连接到接收交通网络连接。例如,如果网络连接的IP地址配置为192.168.0.99,子网掩码为255.255.0.0,然后异常流量只会允许从192.168.0.1的IP地址192.168.255.254。
当你想让一个本地家庭网络连接到同一个子网来访问一个计算机程序或服务时,却不想让用户访问潜在的恶意互联网,那么只有我的网络(子网)设置的地址范围是非常有用的。
一旦添加了程序或端口,它就处于程序和服务中;默认情况下该列表是禁用的。
在例外;选项卡上启用的所有程序或服务都是高级;选项卡上选择的所有连接都处于启用状态。
高级选项卡
高级选项卡包括以下选项:
网络连接设置、安全日志、ICMP、默认设置
网络连接设置;
在网络连接中设置了这个,你可以:
1、指定启用Windows防火墙被启用它的接口设置。启用Windows防火墙,选择背后的网络连接名称复选框。禁用Windows防火墙,清除该复选框。默认情况下,所有网络连接启用Windows防火墙。如果网络连接不上出现在这个列表中,那么它是不是一个标准的网络连接。这样的例子包括一个自定义的拨号程序提供的互联网服务供应商(ISP)。
2,单击网络连接名,然后单击设置一个单独网络连接的高级配置。
如果清零、网络连接设置和所有复选框在其中,那么Windows防火墙就不会保护您的计算机,不管您是否在不中。是选择在常规选项卡上,并且是启用的。如果你选择了上、正常选项卡,不允许异常流量,网络连接设置,网络中的设置将被忽略,所有接口都将在这种情况下受到保护。
当你点击设置;将弹出;高级设置对话框。
在高级设置,对话框,你可以在配置特定服务选项卡,配置TCP或UDP端口,或使特定类型的ICMP流量在icmp,标签。
这两个选项卡相当于Windows XP中的ICF配置的设置选项卡(以前版本的SP2)。
Ldquo;安全日志;
Ldquo;安全日志,请单击,以;日志设置对话框中的;日志设置指定Windows防火墙日志的配置;的对话框,你可以配置是否记录丢弃的数据包或成功的连接,以及指定的日志文件位置名称(默认是systemrootpfirewall。日志),其最大容量。
icmp
icmp,点击设置以icmpICMP流量类型对话框来指定允许在icmp在对话框中,您可以启用和禁用Windows防火墙允许在先进所有类型的ICMP消息传入的连接选项卡。ICMP消息用于诊断,报告错误,并配置。默认情况下,不在这个列表允许ICMP消息。
在连接问题诊断的常用步骤是使用ping工具来测试计算机的地址你试图连接。在测试中,你可以发送一个ICMP回送消息并得到一个ICMP回送应答消息作为响应。默认情况下,Windows防火墙不允许在ICMP回送消息通,所以电脑不能返回ICMP回送应答消息作为响应。为了配置Windows防火墙允许传入的ICMP消息,您必须启用允许传入的回声;要求设置。
默认设置;
单击恢复默认设置;将Windows防火墙重置为初始安装状态。当您单击还原默认设置时,系统提示您在Windows防火墙设置更改之前验证您的决定。