Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows XP系統教程 >> XP系統基礎知識 >> Windows XP SP2的新增網絡特性

Windows XP SP2的新增網絡特性

日期:2017/1/24 11:14:49      編輯:XP系統基礎知識
新的 Windows 防火牆 
  Windows XP SP2 包含新的 Windows 防火牆,它取代了裝有 Service Pack 1 (SP1) 和未裝 Service Pack 的 Windows XP 所附帶的 Internet 連接防火牆 (ICF)。Windows 防火牆是狀態防火牆,它會斷開非請求的傳入通信,這些通信指並非為響應計算機的請求而發送的通信(請求通信)或被指定為可允許的非請求通信(例外通信)。Windows 防火牆針對依靠非請求傳入通信攻擊計算機的惡意用戶和程序提供了一定程度的保護。
  
  在裝有 SP1 和未裝 Service Pack 的 Windows XP 中,默認情況下對所有連接都禁用 ICF,除非通過網絡設置向導或 Internet 連接向導進行更改。通過連接屬性的“高級”選項卡上的一個復選框,可對每個連接手動啟用 ICF,您還可從該選項卡通過指定傳輸控制協議 (TCP) 或用戶數據報協議 (UDP) 端口來配置例外通信的集合。
  
  Windows XP SP2 中的 Windows 防火牆有許多更改,包括下列幾條: 
  
  • 默認情況下對計算機的所有連接都啟用 
   
  • 應用於所有連接的新全局配置選項 
   
  • 用於本地配置的一組新對話框 
   
  • 新的操作模式 
   
  • 啟動安全性 
   
  • 可按范圍指定例外通信
   
  • 可按應用程序文件名指定例外通信 
   
  • 對 IPv6 的內置支持 
   
  • 關於 Netsh 和組策略的新配置選項 
   
  默認情況下對計算機的所有連接都啟用
  Windows XP SP2 中的 Windows 防火牆默認情況下是全局啟用的。這意味著在默認情況下,運行裝有 SP2 的 Windows XP 的計算機的所有連接都啟用 Windows 防火牆,包括 LAN(有線和無線)、撥號和虛擬專用網 (VPN) 連接。新連接在默認情況下也啟用 Windows 防火牆。
  
  盡管此行為為基於 Windows XP 的計算機提供了更多保護,但此默認行為也可能對組織網絡的信息技術 (IT) 部門帶來關於應用程序兼容性和管理網絡上計算機的能力的不利後果。 
  
  有關如何在企業環境中在 Windows XP SP2 中部署 Windows 防火牆的更多信息,請參閱 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(為裝有 Service Pack 2 的 Microsoft Windows XP 部署 Windows 防火牆設置)。
  
  應用於所有連接的新全局配置選項
  Windows XP SP2 中的 Windows 防火牆允許您配置應用於計算機的所有連接的設置(全局配置)。在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中,ICF 設置是針對每個連接配置的,這意味著如果您要對多個連接啟用 Windows 防火牆並配置例外通信,就必須分別配置每個連接。當您更改全局 Windows 防火牆設置時,該更改會應用到所有啟用 Windows 防火牆的連接。
  
  Windows XP SP2 中的 Windows 防火牆也允許針對每個連接進行配置。特定於連接的配置會覆蓋全局配置。
  
  用於本地配置的一組新對話框
  在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中,ICF 的設置包括一個復選框(連接屬性的“高級”選項卡上的“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡”復選框)和一個可用於配置例外通信、日志設置和允許的 ICMP 通信的“設置”按鈕。
  
  在 Windows XP SP2 中,復選框已被“設置”按鈕取代,該按鈕可在控制面板中啟動新的 Windows 防火牆組件。您可從新的“Windows 防火牆”對話框配置常規設置、程序和服務的權限、連接特定設置、日志設置以及允許的 ICMP 通信。 
  
  下圖顯示新的“Windows 防火牆”對話框。
   
  新的操作模式
  在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中,ICF 要麼啟用(允許請求的和例外的通信),要麼禁用(允許所有通信)。
  
  在 Windows XP SP2 中,可選擇新的操作模式,它對應“Windows 防火牆”對話框的“常規”選項卡中的“不允許例外”復選框。當 Windows 防火牆在此新模式下運行時,所有非請求的通信都會被斷開,包括例外通信在內。此模式可用於在已知的網絡攻擊期間或惡意程序傳播時暫時鎖定計算機。一旦網絡攻擊結束並且安裝了合適的更新程序以阻止今後的攻擊行為,就可將 Windows 防火牆置於允許例外通信的正常操作模式(對應“打開(推薦)”選項)。
  
  啟動安全性
  在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中,當 Internet 連接防火牆 (ICF)/Internet 連接共享 (ICS) 服務成功啟動時,ICF 在啟用它的連接上是活動的。因此,當運行裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 的計算機啟動時,從該計算機在網絡上啟用到 ICF 開始保護連接之間有一個延遲。此延遲使計算機有可能在啟動時遭到非請求通信的攻擊。
  
  在 Windows XP SP2 中,有一個用於執行狀態包過濾的啟動策略,它允許計算機使用動態主機配置協議 (DHCP) 和域名系統 (DNS) 執行基本網絡啟動任務,以及與域控制器通信來獲取組策略更新。一旦 Windows 防火牆 (WF)/Internet 連接共享 (ICS) 服務啟動,它就使用其配置並刪除啟動策略。啟動策略設置是不能進行配置的。
  
  可按范圍指定例外通信
  在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中,例外通信可源自任何 IP 地址。在 Windows XP SP2 中,Windows 防火牆允許您指定例外通信可源自三個范圍之一:任何 IP 地址,一個與接收通信的連接相連的本地子網匹配的 IP 地址,或源自一個或多個 IPv4 地址或 IPv4 地址范圍的列表。 
  
  這對家庭聯網可能很有用,在這種情況下您可能希望允許本地家庭網絡上連接到同一子網的計算機訪問程序或服務,但不允許潛在的惡意 Internet 用戶進行訪問。在此情況下,您只要為本地子網配置例外通信。
  
  可按應用程序文件名指定例外通信
  在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中,您要通過指定與特定應用程序或服務通信對應的 TCP 和 UDP 端口集來手動配置例外通信。對於不知道應用程序或服務的 TCP 和 UDP 端口集是什麼或不知道如何找到它們的用戶來說,這可能很難配置。而且此配置對於不在特定的 UDP 或 TCP 端口集上偵聽的應用程序也不起作用。
  
  為了使例外通信的指定更簡便,可以在裝有 SP2 的 Windows XP 中配置程序的文件名(應用程序或服務)。當程序運行時,Windows 防火牆會監視程序偵聽的端口並把它們自動添加到例外通信的列表中。
  
  為了允許您為通常允許的非請求傳入通信快速啟用例外,Windows 防火牆預定義了常用 Windows 組件和服務的程序,如“文件和打印機共享”與“遠程協助”。另外,Windows 防火牆中的通知機制允許本地管理員在被提示後自動將新程序添加到例外程序列表。
  
  對 IPv6 的內置支持
  Windows XP SP2 包含網際協議版本 6 (IPv6),它包括在 Advanced Networking Pack for Windows XP 中。Windows 防火牆中包含 IPv6 支持,並且自動在所有 IPv6 連接上啟用。IPv4 和 IPv6 共享相同的例外通信設置。例如,如果將文件和打印共享通信設置為例外,則基於 IPv4 和基於 IPv6 的非請求傳入文件和打印共享通信都是被允許的。
  
  關於 Netsh 和組策略的新配置選項
  在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中,要啟用或禁用 ICF 只能通過“網絡連接”文件夾、網絡設置向導和 Internet 連接向導。要配置例外通信,要麼必須使用“網絡連接”文件夾,要麼您的應用程序必須能識別 ICF,在此情況下它運行時會自動啟用例外通信。
  
  在 Windows XP SP2 中,您有以下附加配置選項: 
  
  • Netsh 命令 
  
  Netsh 是一個命令行工具,可通過它配置網絡組件的設置。要配置組件,它必須通過 Netsh 上下文支持一組命令。裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 沒有用於 Windows 防火牆的 Netsh 上下文。在 Windows XP SP2 中,現在您可通過“netsh 防火牆”上下文中的一系列命令配置 Windows 防火牆設置。您可使用 Netsh 創建 Netsh 腳本來自動配置一組用於 TCP/IP 和 IPv6 的 Windows 防火牆設置。有關更多信息,請參閱 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(為裝有 Service Pack 2 的 Microsoft Windows XP 部署 Windows 防火牆設置)的附錄 B。 
   
  • 新配置 API 
  
  在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中,有一些可被應用程序用於自動配置例外通信和配置 ICF 設置的 API。在 Windows XP SP2 中,有一些新的 API,通過它們可以為所有可通過 Windows 防火牆控制面板小程序使用的項配置 Windows 防火牆的全局設置以及連接特定設置。可使用這些 API 創建可由用戶在組織網絡上運行的自定義配置程序。有關新 Windows 防火牆 API 的信息,請參閱 Windows Software Development Kit (SDK) 中的 Windows Firewall(Windows 防火牆)。
   
  • 對使用組策略配置設置的廣泛支持 
  
  要在使用 Active Directory® 目錄服務的組織網絡中集中配置大量計算機,可通過計算機配置組策略為運行裝有 SP2 的 Windows XP 的計算機部署 Windows 防火牆設置。一組新的計算機配置組策略 Windows 防火牆設置允許網絡管理員使用組策略對象配置 Windows 防火
Copyright © Windows教程網 All Rights Reserved