《Windows-7防火墙高级设置.docx》由会员分享,可在线阅读,更多相关《Windows-7防火墙高级设置.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Windows 7防火墙高级设置一、高级安全Windows防火墙MMC依次点击“计算机”一一“控制面板 一一 Windows防火墙”,点击控制界面左侧的 “高级设置”,即可看到如下界面,几乎所有的防火墙设置都可以在这个高级设置里完成, 而且忻ndows 7防火墙的的诸多优秀特性也可以在这里展现出来。从简单到复杂的过一下,右侧的操作栏目:1、导入和导出策略导入和导出策略是用来通过策略文件(*.wfw)进行配置保存或共享部署之用,导出功 能既可以作为当前设置的备份也可以共享给其它计算机进行批量部署之用。2、还原默认策略还原默认策略功能跟前一篇经验交流:W策dows7防火墙设置详解(一)文章中的恢
2、复防火墙默认设置类似,还原默认策略将会重置自动安装Windows之后对Windows防火墙所 做的所有更改,还原后有可能会导致某些程序停止运行。3、诊断/修复二、高级安全Windows防火墙属性设置右侧最下面的“属性”是显示高级安全设置防火墙属性(点击上图中间的“Windows防 火墙属性”也可以,只是显示的标题有点差异),如下图:四、如何复制安全规则在高级安全设置里还支持规则的复制粘贴,使用方法:在需要复制的规则上鼠标右键选 择复制,然后再次粘贴即可,然后可以进行再次编辑。win7防火墙设置:L首先要关闭win7的自动还原功能。win7的自动还原称为智能还原,因为一设置好 之后重启的时候它就
3、还原了。关闭自动还原的操作如下:单击开始-控制面板-一系统一- 系统保护-选本地磁盘(C:)(系统)一关闭之。其中可能出现UAC,需要你输入管理员口令。2,点开始-在搜索程序和文件框中输入cmd,在上面会显示出cmd.exe这个程序,右 键单击-以管理员身分运行,如果你已经是管理员了,UAC只提示你是或否而以,如果不 是管理员,你需要输入管理员口令。现在处于命令行下了。运行secpol.msc,打开本地安 全策略对话框。注意win7与win xp的区别在win xp中,管理员帐户必然有管理员权限,它们是一致的。但在win7, 虽然是管理员帐户,但仍以普通帐户身分运行程序。从cmd中也可看出来,
4、如果是管理员, 上面会显示管理员,如果是一般身分,则不会显示。不过如果你以administrator帐号运行 程序,你就是以管理员权限运行的。这是administrator与其他管理员帐号的区别。在win7 中administrator默认是禁用的。3,导航到高级安全Windows防火墙。右键单击高级安全Windows防火墙本地组策略对象-点属性,打开属性对话框。对于家庭用户而言,一般把域,专用,公用设置为一致, 实际上你如果只使用公用网络,你只需设置公用配置文件选项卡。不过为简单,我们把它设 为一致。防火墙状态:启用(推荐);入站连接:阻止所有连接;出站连接:阻止。我们没 有选默认设置,默认
5、的安全性低于我们的设置。对于家庭用户,如果你选了入站连接:阻止 所有连接,那么你的电脑不可能作成服务器了,会阻止emule, kugoo,等许多软件的功能, 如果你不想那么严格,比如你还想用远程桌面,就设为入站连接:阻止(默认)吧。出站连 接我们不使用默认,使用阻止。我们对这两项进行简单的介绍:入站连接如果设为默认值,那么符合规则的入站连接是允许的,如果设为阻止所有连接, 那么任何入站连接都是禁止的,那怕它符合规则也是不能连接到本机的。所以在这种性况下, 远程桌面不能使用。出站连接如果设为允许(默认),则任何程序都可以访问互连网,这是 我们不希望的,我们只希望我们允许的程序访问互联网。设好之后
6、点确定。如果不出意外, 则任何程序此时都不能访问互联网了。(如果IE能,说明它已经加入到规则中了。我们后面 也就不需要加IE访问的规则了。)4,点入站规则和出站规则可以看到,下面是空的。因为我们还没有允许程序访问网络。 入站规则我们不需要设置,因为前面我们已经阻止了所有连接,设了也是无用。出站规则是 我们需要设置的,否则我们怎么上网?右键点出站规则-新建规则-出现一对话框,选程 序一-下一步,在此程序路径中输入system,下一步,其后依次设为允许连接,名称中输入 “允许system访问网络”完成。在右边的规则框中可以修改我们建立的这条规则。对于 system我们不需要修改。注意如果你在上网的
7、时候把你的网络设成了专用网络,你需要在 专用前打勾而不是公用。这条规则配置好之后,其余的就类同了。我们需要建三条规则,才能为上网打好基础。另外两条规则如下:(1)名称:允许 DNS;程序和服务 此程序:%SystemRoot%System32svchost. exe; 协议和端口-协议类型:UDP;本地端口: 1024-65535,远程端口: 53 ;高级:公用。(2)名称:允许回显;程序和服务:所有符合指定条件的程序;协议和端口一-协议类 型:ICMPv4;高级:公用。加上前面那条允许system访问网络,共三条。5,点控制面板windows防火墙windows高级设置,出现UAC控制对话框
8、,要求你确认是否继续,如不是管理员要求你输入管理员口令。打开本地计算机上的高级windows 安全防火墙,下面的入站连接,出站连接,与我们在组策略下的一样,设置也完全一样。其 中有三条规则是我们在前面设过的了,在此是不能更改的。组策略的设置高于这里的设置。 我们把这里的规则导出保存在一个文件中以备以后恢复用。IE设置:点出站规则,新建一条规则,如下:名称:“允许IE访问互联网”;程序和服务:%ProgramFiles%Internet Exploreriexplore. exe;协议和端口 协议类型:TCP;本地端口: 1024-65535;远程端 : 80;高级:公用。此时打开IE,可以看到
9、,可以上网了。其他的设置类似,如此,只 有经过我们允许的程序才能访问网络。QQ的设置:名称:允许QQ访问互联网;协议和端口-一协议类型:UDP;远程端口: 8000;高级:公用。你如果对QQ作了如上设置,就需在QQ的登陆界面指定QQ的登陆端口号。如果你没有 指定远程端口号,就不必。如果你不能确定某程序所用的端口号,就用任意。用了端口号之 后就限制得更严格些了。从前面的设置中可以看出,只有system是开放的。还有svchost. exe所用的端口是开 放的,并且它只能和远程的53号端口通信,本质上是关闭的。因为木马是不可能与远程的 53号端口通信的。防火墙属性设置里,总体分成四大块,这个四种配
10、置类型都是独立配置独立生效的。域配置文件域配置文件主要是面向企业域连接使用,普通用户也可以把它关闭掉。专用配置文件专用配置文件是面向家庭网络和工作网络配置使用,大家最常使用。公用配置文件公用配置文件是面向公用网络配置使用,如果在酒店、机场等公共场合时可能需要使用。IPSec设置IPSec设置是面向VPN等需要进行安全连接时使用,关于IPSec知识,可以参考 http:/zh. wikipedia. org/zh-cn/IPsec。上述四种设置中前三种配置方法几乎完全相同,所以下文只以专用配置文件和IPSec 设置为例进行介绍:1、专用配置文件A、防火墙的状态,有启用(推荐)和关闭两个选项,可以
11、在这里进行设置,当前上一 篇的常规配置里也可以完成防火墙的开启和关闭,效果相同。B、入站连接,有阻止(默认值)、阻止所有连接和允许三个,似乎除了实验用机,都 不能选择最后的允许一项,来者不拒会带来很大麻烦。C、出站连接,有阻止和允许(默认值)两个选项,对于个人计算机还是需要访问网络 的就选择默认值即可。在指定控制Windows防火墙行为的设置,如下图:第一个设置可以使Windows防火墙在某个程序被阻止接收入站连接时通知用户,注意这 里只对没有设置阻止或允许规格的程序才有效,如果已经设置了阻止,则Windows防火墙不 会发出通知。下面的设置意思是许可对多播或广播网络流量的单播响应,所指的多播
12、或广播 都是本机发出的,接收客户机进行单播响应,默认设置即可。2、IPSec 设置IPSec设置界面如下图:A、IPSec默认值可以配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自 定义”可以显示“自定义IPsec设置”对话框。当具有活动安全规格时,IPS*将使用该 项设置规则建立安全连接,如果没有对密钥交换(主模式)、数据保护(快速模式)和身份 验证方法进行指定,则建立连接时将会使用组策略对象(GPO)中优先级较高的任意设置, 顺序如下,最高优先级组策略对象(GPO)本地定义的策略设置一一IPSec设置的默认 值(比如身份验证算法默认是Kerberos V5等,
13、更多默认可以直接点击下面窗口的“什么是 默认值”帮助文件)。B、IPSec 免除此选项设置确定包含Internet控制消息协议(ICMP)消息的流量包是否受到IPsec保 护,ICMP通常由网络疑难解答工具和过程使用。注意,此设置仅从高级安全Windows防火 墙的IPsec部分免除ICMP,若要确保允许ICMP数据包通过Windows防火墙,还必须创建 并启用入站规则(入站规则的设置方法参见下文),另外,如果在“网络和共享中心”中启 用了文件和打印机共享,则高级安全Windows防火墙会自动启用允许常用ICMP数据包类 型的防火墙规则。可能也会启用与ICMP不相关的网络功能,如果只希望启用I
14、CMP,则在 Windows防火墙中创建并启用规则,以允许入站ICMP网络数据包。C、IPSec隧道授权只在以下情况下使用此选项,具有创建从远程计算机到本地计算机的IPsec隧道模式 连接的连接安全规则,并希望指定用户和计算机,以允许或拒绝其通过隧道访问本地计算机。 选择“高级”,然后单击“自定义”可以显示“自定义IPsec隧道授权”对话框,可以为 需要授权的计算机或用户进行隧道规则授权。三、高级安全Windows防火墙导航树下面再来看一下左侧的控制树,大部分都是防火墙规则设置功能,可以创建防火墙规则 以便阻止或允许此计算机向程序、系统服务、计算机或用户发送流量,或是接收来自这些对 象的流量,
15、规则标准只有三个:允许、条件允许和阻止,条件允许是指只允许使用IPSec 保护下的连接通过。入站规则可以为入站通信或。可下己置规则以指定计算机或用户、 程序、服务或者端口和协议。可以指定要应用规则的网络 适配器类型:局域网(LAN)、无线、远程访问,例如虚拟 专用网络(VPN)连接或者所有类型。还可以将规则配置为 使用任意配置文件或仅使用指定配置文件时应用。出站规则为出站通信创建或修改规则,功能同入站规则。连接安全规则使用新建连接安全规则向导,创建Internet协议安全 性(IPSec)规则,以实现不同的网络安全目标,向导中已 经预定义了四种不同的规则类型(隔离、免除身份验证、 服务器到服务
16、器和隧道),当然也创建自定义的规则,为 了便于管理,请在创建连接规则时指定一个容易识别和记 忆的名称,方便在命令行中管理。监视监视计算机上的活动防火墙规则和连接安全规则,但 IPSec策略除外。防火墙仅显示活动的防火墙规则,可以通过右键点击选项卡 选择属性,查看每个选项卡的常规、程序和端口和高级特 性。连接安全规则显示当前活动的连接安全规则,属性查看可以通过鼠标右键选择属性或点击右侧的工具栏的属性进行查看。主模式协商是通过确定一个加密保护套件集、交换密 钥材料建立共享密钥以及验证计算机和用户身份,最终在安全关联下的主模式 两台计算机之间建立一个安全的通道。监视主模式SA可以查看哪些对等计算机连
17、接到本机,以及该SA正在使用的保 护套件。安全关联下的快速模式快速模式协商在两台计算机之间建立安全通道,以保 护在两台计算机之间交换的数据。一对计算机之间只有一 个主模式SA,但可以有多个快速模式SA,监视快速模式 SA可以查看当前哪些对等计算机连接到本机,哪些保护套 件在保护正在交换的数据。可以通过双击列表项目查看快 速SA信息,一、如何禁用或启用规则方法:只需要在需要禁用或启动的规则上,鼠标右键选择启用或禁止规则即可,或点击 右侧的操作栏进行规则启用或禁止。二、入站规则和出站规则由于入站和出站管理方法基本相同,所以把它们放到一起介绍,我们在Windows防火墙 的“允许程序或功能通过Win
18、dows防火墙”中每增加或减少一个设置项,都会反应到入站或 出站规则中来,这些规则从整体上看可以分成两个部分,一是用户规则,比如我们手动增加 的允许程序规则就属于用户规则,还有一些系统预定义规则,预定义规则大部分都是系统已 经预先设置好的,而且很多设置都是不允许修改的,我们点击上一篇增加的WinRAR程序允 许规则(鼠标右键选择属性或直接左键双击)。WinRAR属性程序和服务计算机,协议和端口;作用域 高级 |用户名称(N): 描述学已启用(E) 一。允许连接CL)一只允许安全连接区)自定义CZ).取消上图的属性设置可以看出手动增加的程序规则几乎都可以完全定制,而系统的预定义规 则中的“程序和
19、服务”与“协议和端口”两个部分几乎都不可以修改,系统规则也会明确黄 色头标注明,大部分系统规则,我们只需要启用或禁止即可。我们在允许程序或服务管理中,每增加一条程序或启用一个服务,我们可以在高级安全 管理界面里看到可能会N条规则,规则记录数的多少是跟程序或服务实际使用的协议数有关 系,比如上文增加的WINRAR记录如果只选择专用网络,则会默认增加适合专网TCP、UDP 两条规则记录,当然这些规则全部都可以在属性界面修改掉。下表列出了上图中几个选项卡的具体设置情况,因为相关抓图太多了,无法一一展示出 来,只能用文字粗略描述一下,另外如果遇到不懂的地方,可以随时在界面中查看帮助文件, 防火墙帮助文
20、件非常完善:常规该部分包含规则的标识信息,可以启动或禁用规则,名称最好唯 一方便netsh管理,操作部分只有三个选项,允许、允许安全、阻止。 如果要使用仅允许安全的连接选项,则IPSec设置必须在单独的连接 安全规则中定义。程序和服务程序部分包含如何匹配来自程序的网络数据包信息,两个选择一 个是符合指定条件的所有程序(条件就是指其它选项卡设置的条件), 还有一个就是指定程序,常规增加的规则都是指定程序。用户程序一 般都会标示完整的路径,而系统程序则可能只显示systemo服务是用来匹配来来自计算机上所有程序和服务、仅服务或指定 服务的数据包。设置中有四个选项,一级比一级严格,最后一个应用 于具
21、有下列服务短名称的服务一项属于筛选作用。计算机该部分可以指定允许或阻止执行该规则的连接的计算机或组帐 户。协议和端口协议就是指网络流量筛选的协议。作用域本地IP地址由本地计算机用于确定规则是否适用。规则仅适用于 通过配置为使用一个石碇本地IP地址的网络适配器匹配规则。远程IP地址则指定应用规则的远程IP地址,如果目标IP地址是 列表中的地址之一,则网络流量匹配规则。高级高级部分可以修改应用此防火墙规则的配置文件和接口类型。配置文件的适用连接范围,Windows 7可以根据网络适配器的网 络位置应用相应的配置文件,支持三种配置文件(域、专用和公用)。接口类型是指定应用连接安全规则的接口类型,支持
22、所有、局域 网、远程和无线的任意组合。边缘遍历可以允许计算机接受未经请求的入站数据包,这些数据 包已通过边缘设备(NAT路由器或防火墙)。用户用户部分可以用来设置指定哪些用户或用户组可以连接到计算 机。三、连接安全规则连接安全包括在两台计算机开始通信之前对他们进行身份验证,并确保在两台计算机之 间发送的信息的安全性。高级安全Windows防火墙使用IPsec实现连接安全,方式是通过使 用密钥、身份验证、数据完整性和数据加密等措施。要创建一个安全规则只需要点击连接安 全规则,然后在中间的窗口中鼠标右键,选择新建规则,如下图:媪高级安全Windows防火墙文件(F)操作(A)直看(V)帮助(H)上
23、金S3入站规则经出站规则|,暇监视防火墙九连接安务安全关联连接安全规则名称15l(l(N).按配置文件蕊选(P) 按状态簇选励新(F)庭(V)其例图标谢酮E)帮助(H)帮助(H)选择后,会弹出新建“新建连接安全规则向导”,如下图:上面的设置内容也是太多了,为了方便对比和参考,天缘把全部的设置项目及其包含关 系列到下表中,实际上这些配置都是独立的,天缘只是有意的把它们放到一起方便理解而已:隔离免除身 份验证服务器 到服务 器隧道自定义备注免除计算机Y配置不要求身份验证 的远程计算机,可以根据 IP地址、地址范围或计算 机集指定终结占YY指定只在终结点1到 终结点2之间创建安全连 接,可以适用任何
24、IP或指 定IP地址。隧道类型Y隧道类型支持自定义 配置、客户端到网关、网 关到客户端三种类型隧 道。要求YYYY分三种验证方式:入 站和出站请求验证、入站 要求验证出站请求验证、 入站和出站要求验证。其 中“隧道”连接安全规则 类型支持身份验证的时间 有细微差异。隧道终结点Y隧道终结点(拓扑结 构参卜面附图)可以为 IPsec隧道规则配置终结 点选项,隧道终结点一般 是网关服务器,终结点1 和终结点2都是隧道本地 端的计算机集合,配置时 可以使用IP地址、IP子 网地址、IP地址范围或预 定义的计算机集。身份验证方法YYYY“服务器和服务器” 和“隧道”两个连接安全 规则类型的身份证连接方
25、法只石两种,分别是计算 机证书和高级自定义第一 和第二身份验证设置。其 余的身份验证方法都支持 四种:默认使用IPsec设 置方法、计算机和用户、 计算机、高级自定义第一附隧道终结点连接关系拓扑图:和第二身份验证方法。协议和端口Y协议和端口是用来指 定网路哦数据包中指定的 哪个协议和哪些端口匹配 该连接的安全规则。仅网 络流量匹配此页上的条 件,“终结点”页匹配该 规则,且服从其身份验证 要求。配置文件YYYYY指定该规则的使用范 围,上文已经提到的域、 专用或公用三个选项。名称YYYYY为该规则起一个容易 记忆和管理名字,如果需 要也可以加入描述方便理 解。最后,连接规则创建完成后,就可以在连接安全规则中进行统一启动或禁止及修改管理, 如下图: