要配置 Windows 防火牆, 可以從安全中心中打開,安全中心位於控制面板,當然也可以直接從控制面板中打開Windows 防火牆控制台,還有第3個選擇,可以從網絡連接的高級選項卡中進入防火牆控制台。在主選項卡中有3個選項:
啟用 (推薦)
不允許例外
關閉 (不推薦)
當你選擇了不允許例外,Windows 防火牆將攔截所有的連接你的計算機的網絡請求, 包括在例外選項卡中列表的應用程序和系統服務。另外,防火牆也將攔截文件和打印機共享,還有網絡設備的偵測。使用不允許例外選項的windows 防火牆比較適用於連接在公共網絡上個人計算機,比如在賓館和機場公共使用的計算機。即使你使用了不允許例外選項的Windows 防火牆,你仍然可以浏覽網頁,發送接受電子郵件,或者使用即使通訊軟件。
例外選項卡中允許添加阻止規則例外的程序和端口來允許特定的進站通訊。對於每一個例外項,你都可以相應的設置一個作用域。對於家用和小型旃矣τ猛纾萍錾柚米饔糜蛭贍艿謀鏡赝纭5比唬阋部梢允止ど柚米饔糜蛑蠭P的范圍。這樣,只有來自特定的IP地址范圍的網絡請求才能被接受。
在例外選項卡中還有一個添加程序的按鈕。如果你希望網絡中(防火牆外)的其他客戶端能夠訪問你本地的某個特定的程序或服務,而你又不知道這個程序或服務將使用哪一個端口和哪一類型端口,這種情況下你可以將這個程序或者服務添加到Windows 防火牆的例外項中以保證它能被外部訪問。
在高級選項卡中可以配置以下設定:
應用在每個網絡界面上的連接特定規則
安全紀錄配置
全局ICMP規則,通過Internet控制消息協議(ICMP)允許網絡上的計算機共享和傳遞錯誤和狀態信息。
默認設置,可以將所有Windows防火牆設置還原為默認狀態
我們可以針對不同的網絡連接配置不同的規則。將例外選項中的設定與高級選項中網絡連接的附加設定組合後稱之為Windows防火牆"合成設置(resultant set)"。
組策略配置
通過使用Windows防火牆,管理員可以使其對小型網絡的公共連接或連接在internet上的單獨計算機進行必要的保護。他們通過在網絡中部署Windows防火牆的適當的配置設定,並啟動它來對網絡提供安全保護。Windows防火牆組策略配置可以通過組策略控制台的以下位置找到:
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Standard profile
在Windows XP SP2中,Windows防火牆默認設定為阻止所有端口,這也意味著服務器到客戶機的應用將無法到達客戶端。這種情況下可以通過在組策略中設定IPSEC來驗證並信任服務器端應用發送到客戶端的請求。"Windows 防火牆: 允許通過驗證的IPSEC旁路"的組策略設定允許你指定是否啟用Windows防火牆的IPSEC驗證來允許來自指定系統的主動傳入消息。
命令行工具
Windows防火牆的配置和狀態信息可以通過命令行 Netsh.exe 獲得。我們可以使用 netsh firewall 命令來獲取防火牆信息和修改防火牆設定。
Commands in this context:
-------------------------------------------------------
? - Displays a list of commands.
add - Adds firewall configuration.
delete - Deletes firewall configuration.
dump - Displays a configuration script.
help - Displays a list of commands.
reset - Resets firewall configuration to default.
set - Sets firewall configuration.
show - Shows firewall configuration.
安全警告
在Windows XP SP2中,當用戶在本地運行一個應用程序並將作為Internet服務器提供服務時,Windows防火牆將彈出一個新的安全警告對話框(如上圖)。你可以使用對話框中的選項將此應用程序或服務添加到Windows防火牆的例外項中。Windows防火牆的例外項配置可以允許特定的進站連接。如果使用這種方法後程序無法正常運行,你可以通過下列分析步驟將問題隔離出來:
添加程序到例外項中;
添加端口到例外項中;
使用防火牆安全紀錄;
禁止防火牆(不推薦).