如何配置Windows XP防火牆

          如何配置Windows XP防火牆：Windows XP Service Pack 2 (SP2) 包含新的 Windows 防火牆，它取代了 Internet 連接防火牆 (ICF)。Windows 防火牆是一個基於主機的狀態防火牆，它會斷開非請求的傳入通信，這些通信指並非為響應計算機的請求而發送的通信（請求通信）或被指定為可允許的非請求通信（例外通信）。Windows 防火牆針對依靠非請求傳入通信攻擊網絡計算機的惡意用戶和程序提供了一定程度的保護。

在 Windows XP SP2 中有許多關於 Windows 防火牆的新功能，其中包括：

• 默認情況下對計算機的所有連接都啟用
• 應用於所有連接的新全局配置選項
• 用於本地配置的一組新對話框
• 新的操作模式
• 啟動安全性
• 可按范圍指定例外通信
• 可按應用程序文件名指定例外通信
• 對 Internet 協議版本 6 (IPv6) 通信的內置支持
• 關於 Netsh 和組策略的新配置選項

有關關於這些更改的更多信息，請參閱 2004 年 1 月 Cable Guy 的文章 New Networking Features in Windows XP Service Pack 2（Windows XP Service Pack 2 中的新的網絡功能）。

這篇文章詳細說明了用於手動配置新 Windows 防火牆的對話框組。不同於裝有 Service Pack 1 (SP1) 和未裝 Service Pack 的 Windows XP 中的 ICF，這些配置對話框對 IPv4 和 IPv6 通信都可以進行配置。

在裝有 SP1 的 Windows XP 和未安裝 Service Pack 的 Windows XP 中，ICF 的設置包括一個復選框（連接屬性的“高級”選項卡上的“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡”復選框）和一個可用於配置例外通信、日志設置和允許的 ICMP 通信的“設置”按鈕。

在 Windows XP SP2 中，連接屬性的“高級”選項卡上的復選框被一個“設置”按鈕所取代，使用該按鈕可以配置常規設置、程序和服務的權限、連接專用設置、日志設置和允許的 ICMP 通信。“設置”按鈕可啟動新的 Windows 防火牆控制面板小程序，您也可以從控制面板的“網絡和 Internet 連接”和“安全中心”分類中啟用該小程序。

新的“Windows 防火牆”對話框包括下列選項卡：

• 常規
• 例外
• 高級

“常規”選項卡

“常規”選項卡及其默認設置顯示在下圖中。

在“常規”選項卡中，您可以進行下列選擇：

• 打開（推薦）

選擇對“高級”選項卡中選定的所有網絡連接啟用 Windows 防火牆。啟用 Windows 防火牆後將只允許請求的和例外的傳入通信。例外通信在“例外”選項卡中進行配置。

• 不允許例外

點擊該選項將只允許請求的傳入通信。例外傳入通信則不被允許。不管“高級”選項卡中的設置如何，“例外”選項卡中的設置將被忽略，所有的網絡連接都將得到保護。

• 關閉（不推薦）

選擇該選項將禁用 Windows 防火牆。不推薦使用此選項，尤其是對於可以直接從 Internet 進行訪問的網絡連接，除非您已經使用了第三方的主機防火牆產品。

請注意，對於所有運行帶有 SP2 的 Windows XP 的計算機連接和新創建的連接，Windows 防火牆的默認設置都是“打開（推薦）”。這會影響那些依賴非請求傳入通信的程序或服務的通訊。在這種情況下，您必須識別出哪些程序不再運行，並且將這些程 序或其通信添加為例外通信。許多程序，諸如 Internet 浏覽器和電子郵件客戶端（如 Outlook Express），並不依賴非請求通信，並且可以在 Windows 防火牆啟用時正常運行。

如果您使用組策略來對運行裝有 SP2 的 Windows XP 的計算機配置 Windows 防火牆，您配置的組策略設置可能不允許本地配置。在這種情況下，“常規”選項卡和其他選項卡中的選項可能被灰顯並不可用，即使您登錄時使用的帳戶是本地管 理員組的成員（本地管理員）也是如此。http://.

基於組策略的 Windows 防火牆設置允許您配置域配置文件（當您連接到一個包括域控制器的網絡時將應用的一組 Windows 防火牆設置）和標准配置文件（當您連接到一個不包括域控制器的網絡（如 Internet）時將應用的一組 Windows 防火牆設置）。配置對話框只顯示了當前應用的配置文件的 Windows 防火牆設置。要查看當前沒有應用的配置文件的設置，請使用netsh firewall show 命令。要更改當前沒有應用的配置文件的設置，請使用netsh firewall set 命令。

“例外”選項卡

“例外”選項卡及其默認設置請見下圖。

在“例外”選項卡中，您可以啟用或禁用一個現有的程序或服務，或者維護用於定義例外通信的程序和服務列表。在“常規”選項卡中選定“不允許例外”選項後，例外通信將不被允許。

使用裝有 SP1 和未裝 Service Pack 的 Windows XP 時，您只有通過傳輸控制協議 (TCP) 或用戶數據報協議 (UDP) 端口來定義例外通信。使用裝有 SP2 的 Windows XP，您可以通過 TCP 和 UDP 端口或者使用某個程序（應用程序或服務）的文件名來定義例外通信。在程序的 TCP 或 UDP 端口未知時或者在程序啟動被動態定義時，這種配置靈活性將使得配置例外通信更加容易。

有一組預定義的程序，其中包括：

• 文件和打印共享
• 遠程協助（默認啟用）
• 遠程桌面
• UPnP 框架

這些預定義程序和服務是不能被刪除的。

如果組策略允許，您可以通過點擊“添加程序”來指定一個程序名，從而創建附加例外；也可以通過點擊“AddPort”來指定一個 TCP 或 UDP 端口，從而創建例外。

當您點擊“添加程序”時，將顯示“添加程序”對話框，您可以從中選擇一個程序或者浏覽查找一個程序文件名。下圖顯示了一個示例。

當您點擊“AddPort”時，將顯示“添加端口”對話框，您可以從中配置 TCP 或 UDP 端口。下圖顯示了一個示例。

新的 Windows 防火牆允許您指定例外通信的范圍。這個范圍定義了哪一部分的網絡連接產生的例外通信是被允許的。要定義一個程序或端口的范圍，請點擊“更改范圍”。下圖顯示了一個示例。

在定義一個程序或端口的范圍時，您有三個選項可以選擇：

• 任意一台計算機（包括 Internet 上的計算機）

從任何 IPv4 地址發出的例外通信都是被允許的。這種設置可能會使您的計算機容易受到 Internet 上的惡意用戶或程序的攻擊。電腦

• 僅限我的網絡（子網）

只有從符合以下條件的 IPv4 地址發出的例外通信才是被允許的：與接收通信的網絡連接所連的本地網絡段（子網）相匹配的 IPv4 地址。比如，如果網絡連接所配置的 IPv4 地址是 ，並帶有子網掩碼 .0.0，那麼只有從 .0.1 到 .255.254 的 IPv4 地址發出的例外通信才是被允許的。

• 自定義列表

您可以指定一個或多個用逗號分割的 IPv4 地址或 IPv4 地址范圍。IPv4 地址范圍通常對應於子網。對 IPv4 地址來說，用點分十進制記法鍵入 IPv4 地址。對 IPv4 地址范圍來說，您可以使用點分十進制子網掩碼或前綴長度來指定一個范圍。當您使用點分十進制子網掩碼時，您可以把范圍指定為一個 IPv4 網絡 ID（如 .0/.255.0）或者使用一個在范圍內的 IPv4 地址（如 .231/.255.0）來指定范圍。當您使用網絡前綴長度時，您可以將范圍指定為一個 IPv4 網絡 ID（如 .0/24）或者使用一個在范圍內的 IPv4 地址（如 .231/24）來指定范圍。下面是自定義列表的一個示例：10.91.12.56,10.7.14.9/.255.0,10.116.45.0 /.255.0,172.16.31.11/24,172.16.111.0/24。

您不能夠為 IPv6 通信指定自定義列表。

在您想允許本地網絡中的計算機（它們都連接在同一個子網中）訪問一個程序或服務，而不允許潛在的惡意 Internet 用戶訪問時，“僅限我的網絡（子網）”范圍會很有用。

程序或端口一旦被添加，它就在“程序和服務”列表中被默認禁用。

對於在“高級”選項卡中選定的所有連接，所有在“例外”選項卡中啟用的程序和服務都將啟用。

“高級”選項卡

下圖顯示了“高級”選項卡。

“高級”選項卡包括下面幾個部分：

• 網絡連接設置
• 安全日志
• ICMP
• 默認設置

網絡連接設置

在“網絡連接設置”中，您可以：

• 指定一組用於啟用 Windows 防火牆的接口。如要啟用，請選擇網絡連接名稱旁邊的復選框。如要禁用，請清除復選框。默認情況下，所有的網絡連接都啟用了 Windows 防火牆。如果某個網絡連接沒有出現在此列表中，那麼它就不是一個標准網絡連接。這方面的例子包括一些 Internet 服務提供商 (ISP) 提供的自定義撥號程序。
• 點擊一個網絡連接的名稱，然後點