根據微軟資料編寫
目前已經發布的英文版Windows XP Service Pack 2(SP2)包括了全新的Windows防火牆,即以前所稱的Internet連接防火牆(ICF)。Windows防火牆是一個基於主機的狀態防火牆,它丟棄所有未請求的傳入流量,即那些既沒有對應於為響應計算機的某個請求而發送的流量(請求的流量),也沒有對應於已指定為允許的未請求的流量(異常流量)。Windows防火牆提供某種程度的保護,避免那些依賴未請求的傳入流量來攻擊網絡上的計算機的惡意用戶和程序。
在Windows XP SP2中,Windows防火牆有了許多新增特性,其中包括:
•默認對計算機的所有連接啟用
•應用於所有連接的全新的全局配置選項
•用於全局配置的新增對話框集
•全新的操作模式
•啟動安全性
•本地網絡限制
•異常流量可以通過應用程序文件名指定
•對Internet協議第6版(IPv6)的內建支持
•采用Netsh和組策略的新增配置選項
本文將詳細描述用於手動配置全新的Windows防火牆的對話框集。與Windows XP(SP2之前的版本)中的ICF不同,這些配置對話框可同時配置IPv4和IPv6流量。
Windows XP(SP2之前的版本)中的ICF設置包含單個復選框(在連接屬性的“高級”選項卡上“通過限制或阻止來自Internet對此計算機的訪問來保護我的計算機和網絡”復選框)和一個“設置”按鈕,您可以使用該按鈕來配置流量、日志設置和允許的ICMP流量。
在Windows XP SP2中,連接屬性的“高級”選項卡上的復選框被替換成了一個“設置”按鈕,您可以使用該按鈕來配置常規設置、程序和服務的權限、指定於連接的設置、日志設置和允許的ICMP流量。 “設置”按鈕將運行全新的Windows防火牆控制面板程序(可在“網絡和Internet連接與安全中心”類別中找到)。
新的Windows防火牆對話框包含以下選項卡:
•“常規”
•“異常”
•“高級”
“常規”選項卡
“常規”選項卡及其默認設置如下圖所示。
在“常規”選項卡上,您可以選擇以下選項:
•“啟用(推薦)”
選擇這個選項來對“高級”選項卡上選擇的所有網絡連接啟用Windows防火牆。 Windows防火牆啟用後將僅允許請求的和異常的傳入流量。異常流量可在“異常”選項卡上進行配置。
•“不允許異常流量”
單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。“異常”選項卡上的設置將被忽略,所有的連接都將受到保護,而不管“高級”選項卡上的設置如何。
•“禁用”
選擇這個選項來禁用Windows防火牆。不推薦這樣做,特別是對於可通過Internet直接訪問的網絡連接。
注意對於運行Windows XP SP2的計算機的所有連接和新創建的連接,Windows防火牆的默認設置是“啟用(推薦)”。這可能會影響那些依賴未請求的傳入流量的程序或服務的通信。在這樣的情況下,您必須識別出那些已不再運作的程序,將它們或它們的流量添加為異常流量。許多程序,比如Internet浏覽器和電子郵件客戶端(如:Outlook Express),不依賴未請求的傳入流量,因而能夠在啟用Windows防火牆的情況下正確地運作。
如果您在使用組策略配置運行Windows XP SP2的計算機的Windows防火牆,您所配置的組策略設置可能不允許進行本地配置。在這樣的情況下,“常規”選項卡和其他選項卡上的選項可能是灰色的,而無法選擇,甚至本地管理員也無法進行選擇。
基於組策略的Windows防火牆設置允許您配置一個域配置文件(一組將在您連接到一個包含域控制器的網絡時所應用的Windows防火牆設置)和標准配置文件(一組將在您連接到像Internet這樣沒有包含域控制器的網絡時所應用的Windows防火牆設置)。這些配置對話框僅顯示當前所應用的配置文件的Windows防火牆設置。要查看當前未應用的配置文件的設置,可使用netsh firewall show命令。 要更改當前沒有被應用的配置文件的設置,可使用netsh firewall set命令。
