WinXP SP2(以下簡稱SP2)中的Windows防火牆取代了原來的Internet Connection Firewall(ICF,互聯網連接防火牆)。這個改進的防火牆默認設置為開啟狀態,並且支持IPv4和IPv6兩種網絡協議,可以為我們的電腦提供更多的安全保護。本文將帶領大家來認識Windows防火牆的新特性以及基本設置方法。
一、防火牆新特性
與ICF相比,SP2中的Windows防火牆有了明顯的改進。首先是防火牆的運行時間。在以前版本的WinXP中,從網絡堆棧開始加載到ICF運行之間還有一段時間的間隔,這意味著在系統啟動到防火牆完全運行這一段時間內整個系統是完全暴露的,並沒有受到防火牆的保護。這是因為ICF運行所需要的系統服務是在系統引導完成後才開始啟動的,而ICF服務還依賴於其他的一些系統服務,那些服務還沒有運行的時候ICF的服務自然也就無法運行。在SP2系統中新增了一個名為“引導時策略”(Boot-Time Policy)的比較簡單的防護,通過這個防護,我們只能使用到少數必需的網絡服務,例如DNS服務器和DHCP服務器的聯絡等,直到防火牆啟動後網絡活動才能正常。
新的Windows防火牆不僅默認處於開啟狀態,而且其配置界面也更加美觀。除此之外,Windows防火牆新的特性還包括:本地子網限制;應用到所有連接的通用配置選項;內建IPv6支持;新的組策略配置選項;可通過應用程序的文件名指定特定的通信(原先的ICF只能指定端口,而不能指定程序,現在則可以在允許的通訊中直接選擇特定的程序)。
二、安全警報
在SP2中,當用戶在本地運行一個應用程序並將其作為Internet服務器提供服務時,Windows防火牆將會彈出一個新的安全警報對話框。通過對話框中的選項可以將此應用程序或服務添加到Windows防火牆的例外項中(即選擇“解除阻止此程序”),Windows防火牆的例外項配置將允許特定的進站連接。當然,也可以通過手工添加程序到例外項中或者添加端口到例外項中,具體的添加方法參見後面的防火牆選項設置。
一旦程序提供連接服務,防火牆就會提醒用戶
三、防火牆選項設置
依次單擊“開始→控制面板”,然後在控制面板經典視圖中雙擊“Windows防火牆”一項,即可打開Windows防火牆控制台。此外,還可以在SP2新增加的安全中心界面下,點擊“Windows防火牆”打開防火牆控制台
1.常規選項卡
在Windows防火牆控制台“常規”選項卡中有兩個主選項:啟用(推薦)和關閉(不推薦),一個子選項“不允許例外”。如果選擇了不允許例外,Windows防火牆將攔截所有的連接用戶計算機的網絡請求,包括在例外選項卡列表中的應用程序和系統服務。另外,防火牆也將攔截文件和打印機共享,還有網絡設備的偵測。使用不允許例外選項的Windows防火牆簡直就完全“閉關”了,比較適用於“高危”環境,如餐館、賓館和機場等場所連接到公共網絡上的個人計算機。
2.例外選項卡
不要隨意允許服務器生效
某些程序需要對外通訊,就可以把它們添加到“例外”選項卡中,這裡的程序將被特許可以提供連接服務,即可以監聽和接受來自網絡上的連接。
在“例外”選項卡界面下方有兩個添加按鈕,分別是:“添加程序”和“添加端口”,可以根據具體的情況手工添加例外項。如果不清楚某個應用程序是通過哪個端口與外界通信,或者不知道它是基於UDP還是TCP的,可以通過“添加程序”來添加例外項。例如要允許Windows Messenger通信,則點擊“添加程序”按鈕,選擇應用程序“C:\Program Files\ Messenger\Messenger\msmsgs.exe”,然後點擊“確定”把它加入列表。
如果對端口號以及TCP/UDP比較熟悉,則可以采用後一種方式,即指定端口號的添加方式。對於每一個例外項,可以通過“更改范圍”指定其作用域。對於家用和小型辦公室應用網絡,推薦設置作用域為可能的本地網絡。當然,也可以自定義作用域中的IP范圍,這樣只有來自特定的IP地址范圍的網絡請求才能被接受。
3.高級選項卡
在“高級”選項卡中包含了網絡連接設置、安全記錄、ICMP設置和還原默認設置四組選項,可以根據實際情況進行配置。
◆網絡連接設置
這裡可以選擇Windows防火牆應用到哪些連接上,當然也可以對某個連接進行單獨的配置,這樣可以使防火牆應用更靈活。
◆安全記錄
新版Windows防火牆的日志記錄與ICF大同小異,日志選項裡面的設置可以記錄防火牆的跟蹤記錄,包括丟棄和成功的所有事項。在日志文件選項裡,可以更改記錄文件存放的位置,還可以手工指定日志文件的大小。系統默認的選項是不記錄任何攔截或成功的事項,而記錄文件的大小默認為4MB。
◆ICMP設置
Internet控制消息協議(ICMP)允許網絡上的計算機共享錯誤和狀態信息。在ICMP設置對話框中選定某一項時,界面下方會顯示出相應的描述信息,可以根據需要進行配置。在缺省狀態下,所有的ICMP都沒有打開。
◆默認設置
如果要將所有Windows防火牆設置恢復為默認狀態,可以單擊右側的“還原為默認值”按鈕。
四、組策略部署
組策略的設置具有很高的優先級
在ICF中,只能通過網絡連接、網絡創建向導和Internet連接向導執行啟用或關閉ICF,而新版的Windows防火牆則可以通過組策略來控制防火牆狀態、允許的例外等設置。
依次單擊“開始→運行”,在“運行”對話框中輸入“gpedit.msc”,然後點擊“確定”即可打開WinXP組策略編輯器。進入組策略編輯器後,就可以用它配置Windows防火牆了。從左側窗格中依次展開“計算機配置→管理模板→網絡→網絡連接→Windows Firewall”。在Windows Firewall下可以看到兩個分支,一個是域配置文件,一個是標准配置文件。簡單的說,當計算機連接到有域控制器的網絡中時(即有專門的管理服務器時),是域配置文件起作用,相反,則是標准配置文件起作用。即使沒有配置標准配置文件,缺省的值也會生效。
提示:Windows防火牆的配置和狀態信息還可以通過命令行工具Netsh.exe獲得,可以在命令提示符窗口下輸入“netsh firewall”命令來獲取防火牆信息和修改防火牆設定。
從前面的介紹可以看出,SP2中集成的Windows防火牆,在功能上已經接近不少成熟的個人防火牆產品。雖然這個新版的防火牆還欠缺一些第三方廠商的產品所擁有的功能(如輸出過濾),但它對個人用戶來說,無疑是一個不錯的選擇。