论文部分内容阅读
自Avista开始,Windows的防火墙功能已经是越加完善了,系统防火墙已经成为系统的一个不可或缺的部分,不再像XP那样防护功能简单、配置单一,所以无论是安装哪个第三方防火墙,Windows 7自带的系统防火墙都不应该被关闭掉,反而应该学着使用和熟悉它,对我们的系统信息保护将会大有裨益。
防火墙的开启与关闭
默认情况下,Win 7系统已经开启了防火墙功能。如果对这一点你不确定,可以在“控制面板”中依次选择“系统和安全→Windows防火墙”,进入“Windows防火墙”窗口,选择左侧的“启用或关闭Windows防火墙”,然后在右侧查看。这里有两种网络类型:专用网络和公用网络,每种网络类型下都有“启用Windows防火墙”和“关闭Windows防火墙”两个选项,我们可以查看一下目前正在使用的网络类型下的“启用Windows防火墙”项是否被勾选。如果是,说明防火墙功能已经开启,否则为没开启,只需勾选相应选项,然后“确定”即可(如图1)。
Win 7防火墙提供了还原默认设置功能,所以即使你是新手,也不妨大胆地去设置,以后如果发现设置出现问题,只需在“Windows防火墙”窗口中,单击左侧的“还原默认值”项,将相关参数恢复到默认值即可(如图2)。
防火墙两大网络类型介绍
Win 7提供了两种网络类型,以便能让用户根据自己的实际情况,设置不同的安全规则。这两种网络类型就是我们上面所说的“专用网络”和“公用网络”(在Win 7中有三种,分别为“家庭网络”“工作网络”和“公用网络”)。
顾名思义,前者针对的是家庭专用或单位局域网等不允许其他人随意连接的网络环境,而后者针对的则是公用的网络环境,即任何人都可以通过各种设备随意连接的网络。很明显,就安全性而言,后者的危险系数要明显大于前者,因为在公共场合中,任何人都可能通过搜寻处于同一网络中的设备发现我们的设备,并在愿意的时候对其进行恶意攻击或连接。因此,在正常情况下,我们对后者设置的安全规则应该比前者更为严格才行。
默认情况下,Win 7系统对两者启用的规则是相同的,它仅仅会阻止那些不在允许应用列表中的程序访问网络,而不会阻止那些已经在列表中的程序访问网络。此外,它也会允许所有南外部发起的主动连接访问本机,这就为外部入侵(如远程连接或小马、病毒攻击)创造了机会。所以如果我们当前处于较复杂的公用网络环境中,最好的方法是在图1所示的窗口中勾选“公用网络设置”栏中的“阻止所有传人连接包括位于允许应用列表中的应用”项,禁止所有外部连接主动连接到本机。当然,这也包括那些已经位于允许应用列表中的程序,如eMule和BitComet(比特彗星)等需要依靠访问我们所共享的数据,才能完成下载、加速的P2P软件。
在防火墙中查看允许访问网络的程序的方法很简单:
在图2所示的“Windows防火墙”窗口中,单击左侧的“允许应用或功能通过Windows防火墙”项,相应的列表即会出现。其中除了可查看到这些程序被允许访问的网络类型是“专用”还是‘公用”外(如图3),还可通过在列表中选择某程序,然后单击“详细信息”按钮,在出现的对话框中查看到有关该程序的更详细的信息,比如名称和所在路径等(如图4)。
在Vista和XP等先前的Windows版本中,如果我们分别为专用网络和公用网络防火墙设置了不同的安全规则,并且当前的PC同时连接到了两个不同的网络,系统会默认使用最严格的那一个规则来使用所有连接。这就意味着,即使我们当前正在专用网络,也无法进行一些可能的网络访问,因为此时防火墙有可能在按照公用网络规则来限制网络访问。在Win7、Server 2008 R2和Win 8中,这一现象得到改善。在这几个系统中,防火墙会智能地针对目前用户正在使用的网络类型来使用不同的规则,即对专用网络的连接使用专用网络规则,而对来自于公用网络的流量使用公用网络规则。
关于公用和专用网络类型的更改
无论是在Win 7还是win 8系统,防火墙的设置窗口中,都无法找到有关更改网络类型的选项。这就出现了一个问题:有些朋友明明当前处于专用网络中,却会显示正在连接的是公用网络。实际上,这一问题的症结并不在于系统,而在于用户本身,这是因为在安装系统时,误将网络设置成了公用网络,或者虽然设置成了专用网络,但后来又禁用了网络共享功能的缘故。
默认情况下,Windows系统会将禁止了网络共享的网络设置为公用网络,以达到最佳的防护效果,其实如果我们想更改网络类型很容易,只需照下面的方法实行即可。
Win 7更改网络类型的方法略有不同,这里我们简单地讲一下。单击系统托盘区中的网络连接图标,打开“网络和共享中心”窗口,在右侧的“查看活动网络”项下,我们可以看到目前正在使用的网络连接及其所属的类型(如家庭网络、工作网络和公用网络等),单击以蓝色文字显示的网络类型,打开“设置网络位置”对话框,然后按照自己的意愿选择更改即可(如图5)。
高级安全Windows防火墙属性设置
右侧最下面的“属性”是显示高级安全设置防火墙属性(点击上图中间的“Windows防火墙属性”也可以,只是显示的标题有点差异),如图6:
防火墙属性设置里,总体分成四大块,这个四种配置类型都是独立配置独立生效的。
1.域配置文件
域配置文件主要是面向企业域连接使用,普通用户也可以把它关闭掉。
2.专用配置文件
专用配置文件是面向家庭网络和工作网络配置使用,大家最常使用。
3.公用配置文件
公用配置文件是面向公用网络配置使用,如果在酒店、机场等公共场合时可能需要使用。
4.IPSec设置
IPSec设置是面向VPN等需要进行安全连接时使用。 上述四种设置中前三种配置方法几乎完全相同,所以下义只以专用配置文件和IPSec设置为例进行介绍:
(1)专用配置文件
A.防火墙的状态,有启用(推荐)和关闭两个选项,可以在这里进行设置,当前上一篇的常规配置里也可以完成防火墙的开启和关闭,效果相同。
B.入站连接,有阻止(默认值)、阻止所有连接和允许三个,似乎除了实验用机,都不能选择最后的允许一项,来者不拒会带来很大麻烦。
C.出站连接,有阻止和允许(默认值)两个选项,对于个人计算机还是需要访问网络的就选择默认值即可。
在指定控制Windows防火墙行为的设置,如图7:
第一个设置可以使Windows防火墙在某个程序被阻止接收入站连接时通知用户,注意这里只对没有设置阻止或允许规格的程序才有效,如果已经设置了阻止,则Windows防火墙不会发出通知。下面的设置意思是许可对多播或广播网络流量的单播响应,所指的多播或广播都是本机发出的,接收客户机进行单播响应,默认设置即可。
(2)IPSec设置
IPSec设置界面如图8:
A.IPSec默认值
可以配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”可以显示“自定义IPsec设置”对话框。当具有活动安全规格时,IPSec将使用该项设置规则建立安全连接,如果没有对密钥交换(主模式)、数据保护(快速模式)和身份验证方法进行指定,则建立连接时将会使用组策略对象(GPO)中优先级较高的任意设置,顺序如下,最高优先级组策略对象(GPO)→本地定义的策略设置→IPSec设置的默认值(比如身份验证算法默认是Kerberos V5等,更多默认可以直接点击下面窗口的“什么是默认值”帮助文件)。
B.IPSec免除
此选项设置确定包含Internet控制消息协议(ICMP)消息的流量包是否受到IPsec保护,ICMP通常南网络疑难解答工具和过程使用。注意,此设置仅从高级安全Windows防火墙的IPsec部分免除ICMP,若要确保允许ICMP数据包通过Windows防火墙,还必须创建并启用入站规则(入站规则的设置方法参见下文),另外,如果在“网络和共享中心,中启用了文件和打印机共享,则高级安全Windows防火墙会自动启用允许常用ICMP数据包类型的防火墙规则。可能也会启用与ICMP不相关的网络功能,如果只希望启用ICMP,则在Windows防火墙中创建并启用规则,以允许入站ICMP网络数据包。
C.IPSec隧道授权
只在以下情况下使用此选项,具有创建从远程计算机到本地计算机的IPsec隧道模式连接的连接安全规则,并希望指定用户和计算机,以允许或拒绝其通过隧道访问本地计算机。选择“高级”,然后单击“自定义”可以显示“自定义IPsec隧道授权”对话框,可以为需要授权的计算机或用户进行隧道规则授权。
防火墙的开启与关闭
默认情况下,Win 7系统已经开启了防火墙功能。如果对这一点你不确定,可以在“控制面板”中依次选择“系统和安全→Windows防火墙”,进入“Windows防火墙”窗口,选择左侧的“启用或关闭Windows防火墙”,然后在右侧查看。这里有两种网络类型:专用网络和公用网络,每种网络类型下都有“启用Windows防火墙”和“关闭Windows防火墙”两个选项,我们可以查看一下目前正在使用的网络类型下的“启用Windows防火墙”项是否被勾选。如果是,说明防火墙功能已经开启,否则为没开启,只需勾选相应选项,然后“确定”即可(如图1)。
Win 7防火墙提供了还原默认设置功能,所以即使你是新手,也不妨大胆地去设置,以后如果发现设置出现问题,只需在“Windows防火墙”窗口中,单击左侧的“还原默认值”项,将相关参数恢复到默认值即可(如图2)。
防火墙两大网络类型介绍
Win 7提供了两种网络类型,以便能让用户根据自己的实际情况,设置不同的安全规则。这两种网络类型就是我们上面所说的“专用网络”和“公用网络”(在Win 7中有三种,分别为“家庭网络”“工作网络”和“公用网络”)。
顾名思义,前者针对的是家庭专用或单位局域网等不允许其他人随意连接的网络环境,而后者针对的则是公用的网络环境,即任何人都可以通过各种设备随意连接的网络。很明显,就安全性而言,后者的危险系数要明显大于前者,因为在公共场合中,任何人都可能通过搜寻处于同一网络中的设备发现我们的设备,并在愿意的时候对其进行恶意攻击或连接。因此,在正常情况下,我们对后者设置的安全规则应该比前者更为严格才行。
默认情况下,Win 7系统对两者启用的规则是相同的,它仅仅会阻止那些不在允许应用列表中的程序访问网络,而不会阻止那些已经在列表中的程序访问网络。此外,它也会允许所有南外部发起的主动连接访问本机,这就为外部入侵(如远程连接或小马、病毒攻击)创造了机会。所以如果我们当前处于较复杂的公用网络环境中,最好的方法是在图1所示的窗口中勾选“公用网络设置”栏中的“阻止所有传人连接包括位于允许应用列表中的应用”项,禁止所有外部连接主动连接到本机。当然,这也包括那些已经位于允许应用列表中的程序,如eMule和BitComet(比特彗星)等需要依靠访问我们所共享的数据,才能完成下载、加速的P2P软件。
在防火墙中查看允许访问网络的程序的方法很简单:
在图2所示的“Windows防火墙”窗口中,单击左侧的“允许应用或功能通过Windows防火墙”项,相应的列表即会出现。其中除了可查看到这些程序被允许访问的网络类型是“专用”还是‘公用”外(如图3),还可通过在列表中选择某程序,然后单击“详细信息”按钮,在出现的对话框中查看到有关该程序的更详细的信息,比如名称和所在路径等(如图4)。
在Vista和XP等先前的Windows版本中,如果我们分别为专用网络和公用网络防火墙设置了不同的安全规则,并且当前的PC同时连接到了两个不同的网络,系统会默认使用最严格的那一个规则来使用所有连接。这就意味着,即使我们当前正在专用网络,也无法进行一些可能的网络访问,因为此时防火墙有可能在按照公用网络规则来限制网络访问。在Win7、Server 2008 R2和Win 8中,这一现象得到改善。在这几个系统中,防火墙会智能地针对目前用户正在使用的网络类型来使用不同的规则,即对专用网络的连接使用专用网络规则,而对来自于公用网络的流量使用公用网络规则。
关于公用和专用网络类型的更改
无论是在Win 7还是win 8系统,防火墙的设置窗口中,都无法找到有关更改网络类型的选项。这就出现了一个问题:有些朋友明明当前处于专用网络中,却会显示正在连接的是公用网络。实际上,这一问题的症结并不在于系统,而在于用户本身,这是因为在安装系统时,误将网络设置成了公用网络,或者虽然设置成了专用网络,但后来又禁用了网络共享功能的缘故。
默认情况下,Windows系统会将禁止了网络共享的网络设置为公用网络,以达到最佳的防护效果,其实如果我们想更改网络类型很容易,只需照下面的方法实行即可。
Win 7更改网络类型的方法略有不同,这里我们简单地讲一下。单击系统托盘区中的网络连接图标,打开“网络和共享中心”窗口,在右侧的“查看活动网络”项下,我们可以看到目前正在使用的网络连接及其所属的类型(如家庭网络、工作网络和公用网络等),单击以蓝色文字显示的网络类型,打开“设置网络位置”对话框,然后按照自己的意愿选择更改即可(如图5)。
高级安全Windows防火墙属性设置
右侧最下面的“属性”是显示高级安全设置防火墙属性(点击上图中间的“Windows防火墙属性”也可以,只是显示的标题有点差异),如图6:
防火墙属性设置里,总体分成四大块,这个四种配置类型都是独立配置独立生效的。
1.域配置文件
域配置文件主要是面向企业域连接使用,普通用户也可以把它关闭掉。
2.专用配置文件
专用配置文件是面向家庭网络和工作网络配置使用,大家最常使用。
3.公用配置文件
公用配置文件是面向公用网络配置使用,如果在酒店、机场等公共场合时可能需要使用。
4.IPSec设置
IPSec设置是面向VPN等需要进行安全连接时使用。 上述四种设置中前三种配置方法几乎完全相同,所以下义只以专用配置文件和IPSec设置为例进行介绍:
(1)专用配置文件
A.防火墙的状态,有启用(推荐)和关闭两个选项,可以在这里进行设置,当前上一篇的常规配置里也可以完成防火墙的开启和关闭,效果相同。
B.入站连接,有阻止(默认值)、阻止所有连接和允许三个,似乎除了实验用机,都不能选择最后的允许一项,来者不拒会带来很大麻烦。
C.出站连接,有阻止和允许(默认值)两个选项,对于个人计算机还是需要访问网络的就选择默认值即可。
在指定控制Windows防火墙行为的设置,如图7:
第一个设置可以使Windows防火墙在某个程序被阻止接收入站连接时通知用户,注意这里只对没有设置阻止或允许规格的程序才有效,如果已经设置了阻止,则Windows防火墙不会发出通知。下面的设置意思是许可对多播或广播网络流量的单播响应,所指的多播或广播都是本机发出的,接收客户机进行单播响应,默认设置即可。
(2)IPSec设置
IPSec设置界面如图8:
A.IPSec默认值
可以配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”可以显示“自定义IPsec设置”对话框。当具有活动安全规格时,IPSec将使用该项设置规则建立安全连接,如果没有对密钥交换(主模式)、数据保护(快速模式)和身份验证方法进行指定,则建立连接时将会使用组策略对象(GPO)中优先级较高的任意设置,顺序如下,最高优先级组策略对象(GPO)→本地定义的策略设置→IPSec设置的默认值(比如身份验证算法默认是Kerberos V5等,更多默认可以直接点击下面窗口的“什么是默认值”帮助文件)。
B.IPSec免除
此选项设置确定包含Internet控制消息协议(ICMP)消息的流量包是否受到IPsec保护,ICMP通常南网络疑难解答工具和过程使用。注意,此设置仅从高级安全Windows防火墙的IPsec部分免除ICMP,若要确保允许ICMP数据包通过Windows防火墙,还必须创建并启用入站规则(入站规则的设置方法参见下文),另外,如果在“网络和共享中心,中启用了文件和打印机共享,则高级安全Windows防火墙会自动启用允许常用ICMP数据包类型的防火墙规则。可能也会启用与ICMP不相关的网络功能,如果只希望启用ICMP,则在Windows防火墙中创建并启用规则,以允许入站ICMP网络数据包。
C.IPSec隧道授权
只在以下情况下使用此选项,具有创建从远程计算机到本地计算机的IPsec隧道模式连接的连接安全规则,并希望指定用户和计算机,以允许或拒绝其通过隧道访问本地计算机。选择“高级”,然后单击“自定义”可以显示“自定义IPsec隧道授权”对话框,可以为需要授权的计算机或用户进行隧道规则授权。