高效保護系統安全 管好XP防火牆幾則技巧

　　盡管Windows系統自帶有防火牆功能，但不少人認為該功能並不是十分強大，往往無法保護好系統安全，為此他們常常借助外來“力量”，在本地計算機中安裝第三方安全保護程序，來“護駕”系統安全運行。事實上，Windows系統自帶防火牆的“潛能”還是十分巨大的，只要我們善於從細節出發，深入對其“潛能”進行挖掘，完全可以用自帶防火牆保護好本地系統的安全。這不，本文下面就為各位總結了幾則防火牆的管理維護技巧，但願這些技巧能幫助各位更高效地保護好系統安全!

　　巧用命令，管理防火牆

　　在管理Windows系統內置的防火牆時，相信多數人都會在Windows狀態下，進入防火牆的參數配置界面來對其進行管理控制。事實上，除了在Windows界面下能管理防火牆外，我們還能改變管理思路，通過一些簡單的命令來對防火牆進行快速管理控制。例如，當有人對防火牆的配置參數進行胡亂修改，導致網絡不能正常訪問連接時，我們只要按照如下操作步驟就能快速地讓防火牆的參數恢復到默認數值:

　　首先打開Windows系統的“開始”菜單，並執行其中的“運行”命令，打開系統運行對話框，在其中輸入“cmd”字符串命令，單擊回車鍵後，將Windows系統切換到MS-DOS工作模式;

　　然後在MS-DOS命令提示符下，輸入“netsh firewall reset”字符串命令，單擊回車後系統就會自動將Windows內置防火牆的各項參數恢復到出廠設置狀態，並返回“確定”提示(如圖1所示);將防火牆參數恢復到默認狀態後，我們再重新對其正確配置，這樣說不定就能將由防火牆引起的網絡故障快速排除掉了。

圖1

　　除了通過命令可以快速恢復防火牆參數外，我們還能對防火牆進行其他方面的管理操作。例如，要想檢查防火牆參數是否設置正確時，我們根本不需要逐一打開每一個配置頁面進行依次檢查，而只需要在MS-DOS命令提示符下簡單地執行一下“netsh firewall show config”字符串命令，系統就能自動把防火牆所有的配置參數列寫出來了，這樣我們就能一目了然地查看到各種參數配置信息了。

　　要想在本地計算機系統中安裝其他更加專業的防火牆程序時，我們往往需要先將Windows系統內置的防火牆程序暫時關閉掉，以防止新安裝的防火牆與其發生沖突。在暫時禁用Windows系統內置的防火牆時，我們只需在DOS命令提示符下執行“netsh firewall set opmode mode=disable”字符串命令就可以了，而根本不用麻煩去打開防火牆配置界面。日後想將Windows系統自帶防火牆重新啟用起來的話，只需執行字符串命令“netsh firewall set opmode mode=enable”就OK了。怎麼樣，這種管理防火牆的方法是不是很新穎呀!?

　　著眼服務，啟用防火牆

　　在默認狀態下，Windows XP系統內置的防火牆是不會被啟用的，而要啟用防火牆，我們往往需要先打開本地系統的網絡連接列表窗口，然後用鼠標右鍵單擊其中的“本地連接”圖標，執行快捷菜單中的“屬性”命令，進入本地連接屬性配置界面，再打開該配置界面中的“高級”標簽頁面，最後單擊其中的“設置”按鈕，才能啟用防火牆。但在實際啟用防火牆的過程中，我們有時會發現進入到本地連接屬性配置界面中的“高級”標簽頁面時，，發現“設置”按鈕竟然變成了灰色調，這麼一來我們就無法將防火牆啟用起來了。遇到這種特殊現象時，我們究竟該如何才能將防火牆重新啟用起來呢?

　　正常情況下，Windows系統是允許用戶手工啟用防火牆的，一旦發現“高級”標簽頁面中的“設置”按鈕變為不可設置狀態時，很有可能是我們在操作計算機的過程中，意外地將與防火牆相關聯的服務停用了。這個時候，我們不妨按照如下步驟來重新啟用防火牆:

　　用鼠標右鍵單擊Windows系統桌面中的“我的電腦”圖標，從彈出的右鍵菜單中執行“管理”命令，進入到本地系統的計算機管理窗口，在該窗口的左側顯示區域，找到“服務和應用程序”分支項目，然後選中該分支項目下面的“服務”子項;

　　在對應“服務”子項右側的列表區域中，用鼠標雙擊“Windows Firewall/Internet Connection Sharing(ICS)”系統服務，打開如圖2所示的系統服務參數設置界面;

圖2

　　單擊該界面中的“常規”標簽，並在對應標簽頁面的“服務狀態”設置項處我們能清楚地查看到該系統服務當前的運行狀態;如果發現該系統服務還沒有被正常啟用的話，那我們只要單擊一下“啟動”按鈕就能讓該服務重新啟用起來了，之後再次進入本地連接屬性配置界面中的“高級”標簽頁面時，我們就會發現“設置”按鈕此時就有效了，單擊生效了的“設置”按鈕後，我們就能進入防火牆設置窗口，對其中的各項參數進行任意設置了。此外，為了保證“Windows Firewall/Internet Connection Sharing(ICS)”系統服務能隨Windows系統一起啟動，我們還必須在“常規”標簽頁面中的“啟動類型”設置項處將服務啟動類型設置為“自動”。

　　使用命令，重裝防火牆

　　從上面我們不難了解，一旦無法進入防火牆參數配置界面時，只要重新啟動一下“Windows Firewall/Internet Connection Sharing(ICS)”系統服務就應該能解決問題了。但事實上，我們有時會碰到“Windows Firewall/Internet Connection Sharing(ICS)”系統服務啟動出錯的特殊現象，這種現象多半是由防火牆系統文件受到破壞引起的;此時，我們只有按照如下操作步驟，重新安裝一下系統防火牆，才能將受損的系統文件修復起來:

　　首先打開Windows系統的“開始”菜單，並執行其中的“運行”命令，打開系統運行對話框，在其中輸入“cmd”字符串命令，單擊回車鍵後，將Windows系統切換到MS-DOS工作模式;

　　其次在DOS命令行提示符下，輸入字符串命令“Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf”，單擊回車鍵後，再重新啟動一下Windows系統;

　　接下來再將Windows系統切換到MS-DOS工作模式，並在DOS命令行提示符下執行“netsh firewall reset”字符串命令，這樣Windows防火牆的各項設置參數就被自動恢復到默認狀態了;之後，我們再嘗試啟用“Windows Firewall/Internet Connection Sharing(ICS)”系統服務時，就不會遇到什麼系統錯誤提示了。

　　禁用服務，屏蔽防火牆

　　有時為了實現某種特殊安全防范目的，我們往往需要在本地計算機系統中安裝第三方防火牆，為防止該防火牆與系統自帶防火牆相互引起沖突，事先必須將Windows系統自帶防火牆關閉掉。可是，即使我們將Windows系統自帶防火牆關閉掉了，該防火牆有時還會隨系統一起啟動，那麼我們有沒有辦法將防火牆徹底屏蔽掉呢?

　　其實，徹底屏蔽Windows系統自帶防火牆的方法有很多，不過筆者在這裡為大家提供一則比較簡單的方法，那就是禁用服務“Application Layer Gateway Service”就可以了，下面就是具體的實施步驟:

　　用鼠標右鍵單擊Windows系統桌面中的“我的電腦”圖標，從彈出的右鍵菜單中執行“管理”命令，進入到本地系統的計算機管理窗口，在該窗口的左側顯示區域，找到“服務和應用程序”分支項目，然後選中該分支項目下面的“服務”子項;

　　在對應“服務”子項右側的列表區域中，用鼠標雙擊“Application Layer Gateway Service”系統服務，打開如圖3所示的系統服務參數設置界面;

圖3

　　單擊該界面中的“常規”標簽，並在對應標簽頁面中單擊“停止”按鈕，這樣就能將已經啟動的“Application Layer Gateway Service”系統服務暫時停用掉了;為了達到徹底屏蔽防火牆的目的，我們還需要在“啟動類型”設置項處，將該服務的啟動類型設置為“已禁用”，最後單擊“確定”按鈕，那樣的話Windows系統自帶防火牆就能被徹底屏蔽掉了。

　　巧設策略，鎖定防火牆

　　在多個人共享使用同一台計算機的情形下，每個人都可以隨意進入防火牆參數配置界面，來對計算機系統進行安全限制。但這麼一來，本地系統的安全參數很容易被設置混亂，從而影響其他人正常使用該共享計算機系統。為了防止普通用戶隨意修改防火牆參數，導致計算機系統不能被正常使用，我們可以按照如下步驟將防火牆鎖定起來，以便實現禁止修改防火牆參數的目的:

　　在Windows系統桌面中逐一單擊“開始”、“運行”命令，在其後出現的運行文本框中輸入“gpedit.msc”字符串命令，打開本地計算機的系統組策略窗口;

　　在該窗口的左側顯示區域，找到“計算機配置”分支項目，然後用鼠標逐一展開該分支項目下面的“管理模板”/“網絡”/“網絡連接”/“Windows防火牆”/“標准配置文件”子項，在對應“標准配置文件”子項右側的顯示區域中，用鼠標右鍵單擊“Windows防火牆:保護所有網絡連接”項目，從其後出現的快捷菜單中執行“屬性”命令，打開如圖4所示的屬性設置窗口;

圖4

　　在該窗口的“設置”標簽頁面中，檢查一下“Windows防火牆:保護所有網絡連接”項目此時是否處於“已啟用”狀態，要是發現該項目已被啟用的話，我們只要重新選擇“已禁用”選項，再單擊確定。