系統自帶防火牆介紹

　　防火牆與殺毒軟件一直是用戶計算機中不可缺少的一部分，很多網民的網絡安全全靠此兩點在支撐，而如何用好殺毒軟件、防火牆及策略的安全設置才是關鍵問題。雖然普通的殺毒軟件只需按默認設置再加入當前的用戶安全理念即可開始工作，但是設置一個功能良好的安全策略卻不是那麼簡單，尤其是計算機中自帶的軟件防火牆，如果不配備有力的策略支持，那麼阻敵率只能占到7成左右。

　　使用現狀

　　很顯然在當今計算機木馬病毒流行的時代，網絡安全尤為重要。高手對此卻不屑一顧，依然在不安裝殺軟與防火牆的網絡中“裸奔”,雖然高手們沒有安裝殺軟與第三方防火牆，但其卻用系統中自帶的防火牆功能，構建策略將來敵抵御在警戒線之外。很多門外漢一直以為windows防火牆並不可靠，其實那是因為不了解該防火牆策略是如何配制的，所以才無法讓其發揮出因有的特性，以至於四方奔走到處求醫問藥來保護系統安全。

　　防火牆整體設置

　　對於普通網民與服務器管理人員來說，配置系統自帶的防火牆安全策略與殺毒軟件同等重要。打開控制面板，在防火牆的普通設置中，用戶可根據例外列表中的數據，對當前通往外界的程序是否於是放行，作出勾選，並可以在其中進行相應的編輯與添加程序和端口。在高級選項中用戶可以指定windows防火牆日志的配置， 是否記錄數據包的丟棄與成功連接並指定日志文件的名稱和位置（默認設置為systemrootpfirewall.log）及其最大容量。

　　而由於icmp消息用於診斷、報告錯誤情況和配置的作用，用戶可以在其設置項中自行設置，以達啟用和禁用windows防火牆允許在高級選項卡上選擇的所有連接傳入的icmp消息的類型，而在默認情況下，該列表中不允許任何icmp消息。設置好了以上項目後，即可啟用該自帶防火牆進行日常工作，並在其後建立下列軟件策略。

　　軟件限制策略

　　設置好此點可以保證在計算機中所運行軟件的安全性。首先在開始運行菜單中輸入gpedit.msc調出組策略配置窗口，在其下的：計算機安全配置 -windows設置-安全設置-軟件限制策略中的其它設置內，用戶可以看到這裡以配的四條軟件策略，（小提示：如果以前未設置過安全策略，那麼在軟件限制策略上右鍵新建策略後將會出現菜單）而這4條規則是正是為了保證Windows運行所必須的程序不會被禁用而配置的。

　　一、環境變量與優先級

　　隨後用戶可以在其它規則上右擊，新建新路徑規則，常用通配符有：“*”和“?”,*表示任意個字符，？表示一個字符。常見文件夾環境變量有（以下以XP默認裝在C盤例舉）：