怎樣使用好Windows 防火墻

★★★★★【文章導(dǎo)讀】：怎樣使用好Windows 防火墻具體內(nèi)容是：Windows防火墻能做什么？1.幫助阻止計(jì)算機(jī)病毒和蠕蟲(chóng)進(jìn)入您的計(jì)算機(jī)。但不能檢測(cè)或查殺計(jì)算機(jī)病毒和蠕蟲(chóng)。2.詢問(wèn)您是否允許或阻止某些連接請(qǐng)求。但無(wú)法阻止您打開(kāi)帶有危險(xiǎn)附件的電子郵件或運(yùn)行帶有病毒的惡意程序。3…

來(lái)源：日期：2013-12-19 9:47:13 人氣：標(biāo)簽：

Windows防火墻能做什么？
1.幫助阻止計(jì)算機(jī)病毒和蠕蟲(chóng)進(jìn)入您的計(jì)算機(jī)。但不能檢測(cè)或查殺計(jì)算機(jī)病毒和蠕蟲(chóng)。
2.詢問(wèn)您是否允許或阻止某些連接請(qǐng)求。但無(wú)法阻止您打開(kāi)帶有危險(xiǎn)附件的電子郵件或運(yùn)行帶有病毒的惡意程序。
3.創(chuàng)建安全日志>記錄成功或失敗的連接，一般用于故障診斷。
Windows防火墻防外不防內(nèi)的傳言是否屬實(shí)？
Windows防火墻不會(huì)攔截主動(dòng)的出站初始連接，但這并不意味著Windows防火墻會(huì)放行所有的主動(dòng)出站連接。我們知道，通信雙方必須經(jīng)過(guò)一個(gè)三次握手過(guò)程才能建立起一個(gè)可靠的TCP連接來(lái)實(shí)現(xiàn)應(yīng)用程序間的通訊。也就是說(shuō)雖然我們的初始連接被成功的發(fā)送，但所有的回應(yīng)都會(huì)被攔截。所以當(dāng)某個(gè)應(yīng)用程序企圖打開(kāi)某個(gè)端口監(jiān)聽(tīng)并接收與外部連接的信息時(shí)，Windows防火墻都會(huì)彈出一個(gè)Window安全警報(bào)對(duì)話框，詢問(wèn)您是否允許該操作。如圖所示

解析Windows 安全警報(bào)
保持阻止：以禁用狀態(tài)添加程序到例外列表，端口未打開(kāi)（程序在沒(méi)有您許可的情況不接受連接）
解除阻止：程序以啟用狀態(tài)添加例外列表，端口開(kāi)放，下次程序建立連接時(shí)不再詢問(wèn)。
稍后詢問(wèn)：采用保護(hù)阻止策略（默認(rèn)的安全規(guī)則）但不在例外列表中添加條目，下次建立連接時(shí)再次詢問(wèn)。
Windows防火墻相對(duì)于第三方防火墻產(chǎn)品的優(yōu)勢(shì)
1.啟動(dòng)安全性：在 Windows XP SP2 中，有一個(gè)用于執(zhí)行狀態(tài)包篩選的啟動(dòng)策略，它允許計(jì)算機(jī)使用動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 和域名系統(tǒng) (DNS) 執(zhí)行基本網(wǎng)絡(luò)啟動(dòng)任務(wù)，并允許它與域控制器通信來(lái)獲取組策略更新。一旦 Windows 防火墻服務(wù)啟動(dòng)，它就使用其配置并刪除啟動(dòng)策略。啟動(dòng)策略設(shè)置是不能進(jìn)行配置的。這就保證了網(wǎng)絡(luò)連接初始化時(shí)的安全性。而且Windows防火墻以系統(tǒng)服務(wù)的形式啟動(dòng)，在系統(tǒng)還沒(méi)完全初始化完成時(shí)就已經(jīng)在工作了。相對(duì)而言，第三方防火墻得等到加載開(kāi)機(jī)啟動(dòng)程序才被初始化，換言之，在網(wǎng)絡(luò)初始化完成而第三方防火墻程序未啟動(dòng)這一小段時(shí)間，我們的主機(jī)將完全暴露在網(wǎng)絡(luò)上。Windows防火墻配合啟動(dòng)策略能夠?yàn)橄到y(tǒng)提供天衣無(wú)縫式的保護(hù)，這是第三方防火墻所不能做到的。
2.集中的部署和配置：支持腳本自動(dòng)化配置防火墻策略（通過(guò)Netsh Firewall）以及結(jié)合組策略進(jìn)行統(tǒng)一部署和配置管理。由于與活動(dòng)目錄集成，對(duì)于生產(chǎn)環(huán)境下，集中部署和配置防火墻策略非常高效。
下面我們具體看下Windows防火墻的配置。
我們可以通過(guò)在開(kāi)始運(yùn)行里輸入Firewall.cpl來(lái)調(diào)出Windows防火墻的配置界面，也可以通過(guò)本地連接屬性對(duì)話框，高級(jí)選項(xiàng)下的設(shè)置按鈕來(lái)打開(kāi)。
打開(kāi)Windows防火墻的配置界面，有三個(gè)選項(xiàng)卡，分別為常規(guī)，例外和高級(jí)。
常規(guī)選項(xiàng)卡的配置：
常規(guī)選項(xiàng)卡下的配置界面非常簡(jiǎn)單，提供了三個(gè)級(jí)別的保護(hù)。分別為關(guān)閉，啟用和啟用且不允許例外。

關(guān)閉，這個(gè)級(jí)別不會(huì)阻止任何本機(jī)與外部網(wǎng)絡(luò)的連接。不推薦關(guān)閉Windows防火墻，除非安裝了第三方防火墻程序。
啟用，默認(rèn)級(jí)別。這個(gè)級(jí)別只允許請(qǐng)求的和例外的傳入通信。能夠擋掉絕大部分的非法傳入請(qǐng)求，但允許例外選項(xiàng)卡中定義的應(yīng)用程序與外部建立連接。
啟用且不允許例外，這是安全的級(jí)別，此級(jí)別可用于在已知的網(wǎng)絡(luò)攻擊期間或惡意程序傳播時(shí)暫時(shí)鎖定計(jì)算機(jī)。一旦網(wǎng)絡(luò)攻擊結(jié)束并且安裝了合適的更新程序以阻止今后的攻擊行為，就可將 Windows 防火墻配置為允許例外通信的正常操作級(jí)別。該級(jí)別會(huì)忽略例外選項(xiàng)卡中配置的防火墻規(guī)則。這時(shí)只允許IE，OE及MSN等Windows自帶的程序進(jìn)行網(wǎng)絡(luò)通訊。
例外選項(xiàng)卡的配置：
這里是我們配置例外列表的地方。事實(shí)上這就是我們的防火墻規(guī)則，每創(chuàng)建一條允許或禁止的防火墻規(guī)則都會(huì)被放入例外列表中，每條規(guī)則前面的復(fù)選框的狀態(tài)，打勾表明這是條允許規(guī)則，清空表明這是條禁止規(guī)則。默認(rèn)情況下系統(tǒng)有四條配置好的訪問(wèn)規(guī)則，如圖所示，其中遠(yuǎn)程協(xié)助是默認(rèn)允許的。

添加防火墻規(guī)則有兩種方法，一種是通過(guò)Windows安全警報(bào)對(duì)話框，Windows 防火墻中的通知機(jī)制允許本地管理員在得到相應(yīng)提示后自動(dòng)將新程序添加到例外程序列表。另一種是我們?cè)诶膺x項(xiàng)卡中手動(dòng)添加。自動(dòng)添加的方式比較簡(jiǎn)單，略過(guò)。下面說(shuō)下手動(dòng)添加。手動(dòng)添加也有兩種方式，一種是添加程序的文件名。一種是添加端口。添加端口的方式非常簡(jiǎn)單，點(diǎn)擊添加端口，然后給這個(gè)要開(kāi)放端口起個(gè)名字，比如這個(gè)端口是被QQ使用的，我們就可以起個(gè)名字叫QQ，然后填上對(duì)應(yīng)的端口號(hào)如8000，接著選擇通訊協(xié)議，默認(rèn)只有TCP和UCP，選擇好后單擊確定，一條防火墻規(guī)則就創(chuàng)建完成了。