Windows 防火墙
Windows XP Service Pack 2 (SP2) 包含新的 Windows 防火墙,它取代了 Internet 连接防火墙 (ICF)。Windows 防火墙是一个基于主机的状态防火墙,它会断开非请求的传入通信,这些通信指并非为响应计算机的请求而发送的通信(请求通信)或被指定为可允许的非请求通信(例外通信)。Windows 防火墙针对依靠非请求传入通信攻击网络计算机的恶意用户和程序提供了一定程度的保护。
在 Windows XP SP2 中有许多关于 Windows 防火墙的新功能,其中包括:
• 默认情况下对计算机的所有连接都启用
• 应用于所有连接的新全局配置选项
• 用于本地配置的一组新对话框
• 新的操作模式
• 启动安全性
• 可按范围指定例外通信
• 可按应用程序文件名指定例外通信
• 对 Internet 协议版本 6 (IPv6) 通信的内置支持
• 关于 Netsh 和组策略的新配置选项
有关关于这些更改的更多信息,请参阅 2004 年 1 月 Cable Guy 的文章 New Networking Features in Windows XP Service Pack 2(Windows XP Service Pack 2 中的新的网络功能)。
这篇文章详细说明了用于手动配置新 Windows 防火墙的对话框组。不同于装有 Service Pack 1 (SP1) 和未装 Service Pack 的 Windows XP 中的 ICF,这些配置对话框对 IPv4 和 IPv6 通信都可以进行配置。
在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,ICF 的设置包括一个复选框(连接属性的“高级”选项卡上的“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框)和一个可用于配置例外通信、日志设置和允许的 ICMP 通信的“设置”按钮。
在 Windows XP SP2 中,连接属性的“高级”选项卡上的复选框被一个“设置”按钮所取代,使用该按钮可以配置常规设置、程序和服务的权限、连接专用设置、日志设置和允许的 ICMP 通信。“设置”按钮可启动新的 Windows 防火墙控制面板小程序,您也可以从控制面板的“网络和 Internet 连接”和“安全中心”分类中启用该小程序。
新的“Windows 防火墙”对话框包括下列选项卡:
• 常规
• 例外
• 高级
“常规”选项卡
“常规”选项卡及其默认设置显示在下图中。
在“常规”选项卡中,您可以进行下列选择:
• 打开(推荐)
选择对“高级”选项卡中选定的所有网络连接启用 Windows 防火墙。启用 Windows 防火墙后将只允许请求的和例外的传入通信。例外通信在“例外”选项卡中进行配置。
• 不允许例外
点击该选项将只允许请求的传入通信。例外传入通信则不被允许。不管“高级”选项卡中的设置如何,“例外”选项卡中的设置将被忽略,所有的网络连接都将得到保护。
• 关闭(不推荐)
选择该选项将禁用 Windows 防火墙。不推荐使用此选项,尤其是对于可以直接从 Internet 进行访问的网络连接,除非您已经使用了第三方的主机防火墙产品。
请注意,对于所有运行带有 SP2 的 Windows XP 的计算机连接和新创建的连接,Windows 防火墙的默认设置都是“打开(推荐)”。这会影响那些依赖非请求传入通信的程序或服务的通讯。在这种情况下,您必须识别出哪些程序不再运行,并且将这些程序或其通信添加为例外通信。许多程序,诸如 Internet 浏览器和电子邮件客户端(如 Outlook Express),并不依赖非请求通信,并且可以在 Windows 防火墙启用时正常运行。
如果您使用组策略来对运行装有 SP2 的 Windows XP 的计算机配置 Windows 防火墙,您配置的组策略设置可能不允许本地配置。在这种情况下,“常规”选项卡和其他选项卡中的选项可能被灰显并不可用,即使您登录时使用的帐户是本地管理员组的成员(本地管理员)也是如此。
基于组策略的 Windows 防火墙设置允许您配置域配置文件(当您连接到一个包括域控制器的网络时将应用的一组 Windows 防火墙设置)和标准配置文件(当您连接到一个不包括域控制器的网络(如 Internet)时将应用的一组 Windows 防火墙设置)。配置对话框只显示了当前应用的配置文件的 Windows 防火墙设置。要查看当前没有应用的配置文件的设置,请使用netsh firewall show 命令。要更改当前没有应用的配置文件的设置,请使用netsh firewall set 命令。
“例外”选项卡
“例外”选项卡及其默认设置请见下图。
在“例外”选项卡中,您可以启用或禁用一个现有的程序或服务,或者维护用于定义例外通信的程序和服务列表。在“常规”选项卡中选定“不允许例外”选项后,例外通信将不被允许。
使用装有 SP1 和未装 Service Pack 的 Windows XP 时,您只有通过传输控制协议 (TCP) 或用户数据报协议 (UDP) 端口来定义例外通信。使用装有 SP2 的 Windows XP,您可以通过 TCP 和 UDP 端口或者使用某个程序(应用程序或服务)的文件名来定义例外通信。在程序的 TCP 或 UDP 端口未知时或者在程序启动被动态定义时,这种配置灵活性将使得配置例外通信更加容易。
有一组预定义的程序,其中包括:
• 文件和打印共享
• 远程协助(默认启用)
• 远程桌面
• UPnP 框架
这些预定义程序和服务是不能被删除的。
如果组策略允许,您可以通过点击“添加程序”来指定一个程序名,从而创建附加例外;也可以通过点击“AddPort”来指定一个 TCP 或 UDP 端口,从而创建例外。
当您点击“添加程序”时,将显示“添加程序”对话框,您可以从中选择一个程序或者浏览查找一个程序文件名。下图显示了一个示例。
当您点击“AddPort”时,将显示“添加端口”对话框,您可以从中配置 TCP 或 UDP 端口。下图显示了一个示例。
新的 Windows 防火墙允许您指定例外通信的范围。这个范围定义了哪一部分的网络连接产生的例外通信是被允许的。要定义一个程序或端口的范围,请点击“更改范围”。下图显示了一个示例。
在定义一个程序或端口的范围时,您有三个选项可以选择:
• 任意一台计算机(包括 Internet 上的计算机)
从任何 IPv4 地址发出的例外通信都是被允许的。这种设置可能会使您的计算机容易受到 Internet 上的恶意用户或程序的攻击。
• 仅限我的网络(子网)
只有从符合以下条件的 IPv4 地址发出的例外通信才是被允许的:与接收通信的网络连接所连的本地网络段(子网)相匹配的 IPv4 地址。比如,如果网络连接所配置的 IPv4 地址是 192.168.0.99,并带有子网掩码 255.255.0.0,那么只有从 192.168.0.1 到 192.168.255.254 的 IPv4 地址发出的例外通信才是被允许的。
• 自定义列表
您可以指定一个或多个用逗号分割的 IPv4 地址或 IPv4 地址范围。IPv4 地址范围通常对应于子网。对 IPv4 地址来说,用点分十进制记法键入 IPv4 地址。对 IPv4 地址范围来说,您可以使用点分十进制子网掩码或前缀长度来指定一个范围。当您使用点分十进制子网掩码时,您可以把范围指定为一个 IPv4 网络 ID(如 10.47.81.0/255.255.255.0)或者使用一个在范围内的 IPv4 地址(如 10.47.81.231/255.255.255.0)来指定范围。当您使用网络前缀长度时,您可以将范围指定为一个 IPv4 网络 ID(如 10.47.81.0/24)或者使用一个在范围内的 IPv4 地址(如 10.47.81.231/24)来指定范围。下面是自定义列表的一个示例:10.91.12.56,10.7.14.9/255.255.255.0,10.116.45.0/255.255.255.0,172.16.31.11/24,172.16.111.0/24。
您不能够为 IPv6 通信指定自定义列表。
在您想允许本地网络中的计算机(它们都连接在同一个子网中)访问一个程序或服务,而不允许潜在的恶意 Internet 用户访问时,“仅限我的网络(子网)”范围会很有用。
程序或端口一旦被添加,它就在“程序和服务”列表中被默认禁用。
对于在“高级”选项卡中选定的所有连接,所有在“例外”选项卡中启用的程序和服务都将启用。
“高级”选项卡
下图显示了“高级”选项卡。
“高级”选项卡包括下面几个部分:
• 网络连接设置
• 安全日志
• ICMP
• 默认设置
网络连接设置
在“网络连接设置”中,您可以:
• 指定一组用于启用 Windows 防火墙的接口。如要启用,请选择网络连接名称旁边的复选框。如要禁用,请清除复选框。默认情况下,所有的网络连接都启用了 Windows 防火墙。如果某个网络连接没有出现在此列
