Windows 防火墙是在 Windows XP Service Pack 2 中取代原来的 Internet Connection Firewall 的更新版本. 默认状态下防火墙在所有的网卡界面均为开启状态。
在高级选项卡中可以配置以下设定:
应用在每个网络界面上的连接特定规则
安全纪录配置
全局ICMP规则,通过Internet控制消息协议(ICMP)允许网络上的计算机共享和传递错误和状态信息。
默认设置,可以将所有Windows防火墙设置还原为默认状态
我们可以针对不同的网络连接配置不同的规则。将例外选项中的设定与高级选项中网络连接的附加设定组合后称之为Windows防火墙"合成设置(resultant set)"。
组策略配置
通过使用Windows防火墙,管理员可以使其对小型网络的公共连接或连接在internet上的单独计算机进行必要的保护。他们通过在网络中部署Windows防火墙的适当的配置设定,并启动它来对网络提供安全保护。Windows防火墙组策略配置可以通过组策略控制台的以下位置找到:
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Standard profile
在Windows XP SP2中,Windows防火墙默认设定为阻止所有端口,这也意味着服务器到客户机的应用将无法到达客户端。这种情况下可以通过在组策略中设定IPSEC来验证并信任服务器端应用发送到客户端的请求。"Windows 防火墙: 允许通过验证的IPSEC旁路"的组策略设定允许你指定是否启用Windows防火墙的IPSEC验证来允许来自指定系统的主动传入消息。
命令行工具
Windows防火墙的配置和状态信息可以通过命令行 Netsh.exe 获得。我们可以使用 netsh firewall 命令来获取防火墙信息和修改防火墙设定。
Commands in this context:
? - Displays a list of commands.
add - Adds firewall configuration.
delete - Deletes firewall configuration.
dump - Displays a configuration script.
help - Displays a list of commands.
reset - Resets firewall configuration to default.
set - Sets firewall configuration.
show - Shows firewall configuration.
安全警告
在Windows XP SP2中,当用户在本地运行一个应用程序并将作为Internet服务器提供服务时,Windows防火墙将弹出一个新的安全警告对话框(如上图)。你可以使用对话框中的选项将此应用程序或服务添加到Windows防火墙的例外项中。Windows防火墙的例外项配置可以允许特定的进站连接。如果使用这种方法后程序无法正常运行,你可以通过下列分析步骤将问题隔离出来:
添加程序到例外项中;
添加端口到例外项中;
使用防火墙安全纪录;
禁止防火墙(不推荐).