Windows 7防火墙设置详解(二)

Windows 7防火墙设置详解(二)

一、高级安全Windows 防火墙MMC

依次点击“计算机”——“控制面板”——“Windows防火墙”，点击控制界面左侧的“高级设置”，即可看到如下界面，几乎所有的防火墙设置都可以在这个高级设置里完成，而且Windows 7防火墙的的诸多优秀特性也可以在这里展现出来。

从简单到复杂的过一下，右侧的操作栏目：

1、导入和导出策略

导入和导出策略是用来通过策略文件（*.wfw）进行配置保存或共享部署之用，导出功能既可以作为当前设置的备份也可以共享给其它计算机进行批量部署之用。

2、还原默认策略

还原默认策略功能跟前一篇《Windows 7防火墙设置详解(一)》文章中的恢复防火墙默认设置类似，还原默认策略将会重置自动安装Windows之后对Windows防火墙所做的所有更改，还原后有可能会导致某些程序停止运行。

3、诊断/修复

诊断和修复功能是用来诊断和修复Internet连接用的，和本文关系不大，网络设置可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章。

二、高级安全Windows防火墙属性设置

右侧最下面的“属性”是显示高级安全设置防火墙属性（点击上图中间的“Windows防火墙属性”也可以，只是显示的标题有点差异），如下图：

防火墙属性设置里，总体分成四大块，这个四种配置类型都是独立配置独立生效的。

域配置文件

域配置文件主要是面向企业域连接使用，普通用户也可以把它关闭掉。

专用配置文件

专用配置文件是面向家庭网络和工作网络配置使用，大家最常使用。

公用配置文件

公用配置文件是面向公用网络配置使用，如果在酒店、机场等公共场合时可能需要使用。

IPSec设置

IPSec设置是面向***等需要进行安全连接时使用，关于IPSec知识，可以参考http://zh.wikipedia.org/zh-cn/IPsec。

上述四种设置中前三种配置方法几乎完全相同，所以下文只以专用配置文件和IPSec设置为例进行介绍：

1、专用配置文件

A、防火墙的状态，有启用（推荐）和关闭两个选项，可以在这里进行设置，当前上一篇的常规配置里也可以完成防火墙的开启和关闭，效果相同。

B、入站连接，有阻止（默认值）、阻止所有连接和允许三个，似乎除了实验用机，都不能选择最后的允许一项，来者不拒会带来很大麻烦。

C、出站连接，有阻止和允许（默认值）两个选项，对于个人计算机还是需要访问网络的就选择默认值即可。

在指定控制Windows防火墙行为的设置，如下图：

第一个设置可以使Windows防火墙在某个程序被阻止接收入站连接时通知用户，注意这里只对没有设置阻止或允许规格的程序才有效，如果已经设置了阻止，则Windows防火墙不会发出通知。下面的设置意思是许可对多播或广播网络流量的单播响应，所指的多播或广播都是本机发出的，接收客户机进行单播响应，默认设置即可。

2、IPSec设置

IPSec设置界面如下图：

A、IPSec默认值

可以配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”可以显示“自定义 IPsec 设置”对话框。当具有活动安全规格时，IPSec将使用该项设置规则建立安全连接，如果没有对密钥交换（主模式）、数据保护（快速模式）和身份验证方法进行指定，则建立连接时将会使用组策略对象（GPO）中优先级较高的任意设置，顺序如下，最高优先级组策略对象（GPO）——本地定义的策略设置——IPSec设置的默认值（比如身份验证算法默认是Kerberos V5等，更多默认可以直接点击下面窗口的“什么是默认值”帮助文件）。

B、IPSec免除

此选项设置确定包含Internet 控制消息协议 (ICMP) 消息的流量包是否受到IPsec保护，ICMP通常由网络疑难解答工具和过程使用。注意，此设置仅从高级安全 Windows 防火墙的IPsec部分免除 ICMP，若要确保允许 ICMP 数据包通过Windows防火墙，还必须创建并启用入站规则（入站规则的设置方法参见下文），另外，如果在“网络和共享中心”中启用了文件和打印机共享，则高级安全 Windows 防火墙会自动启用允许常用ICMP 数据包类型的防火墙规则。可能也会启用与 ICMP 不相关的网络功能，如果只希望启用 ICMP，则在 Windows 防火墙中创建并启用规则，以允许入站 ICMP 网络数据包。

C、IPSec隧道授权

只在以下情况下使用此选项，具有创建从远程计算机到本地计算机的 IPsec 隧道模式连接的连接安全规则，并希望指定用户和计算机，以允许或拒绝其通过隧道访问本地计算机。选择“高级”，然后单击“自定义”可以显示“自定义 IPsec 隧道授权”对话框，可以为需要授权的计算机或用户进行隧道规则授权。

三、高级安全Windows防火墙导航树

下面再来看一下左侧的控制树，大部分都是防火墙规则设置功能，可以创建防火墙规则以便阻止或允许此计算机向程序、系统服务、计算机或用户发送流量，或是接收来自这些对象的流量，规则标准只有三个：允许、条件允许和阻止，条件允许是指只允许使用IPSec保护下的连接通过。

入站规则	可以为入站通信或。可配置规则以指定计算机或用户、程序、服务或者端口和协议。可以指定要应用规则的网络适配器类型：局域网 (LAN)、无线、远程访问，例如虚拟专用网络 (***) 连接或者所有类型。还可以将规则配置为使用任意配置文件或仅使用指定配置文件时应用。
出站规则	为出站通信创建或修改规则，功能同入站规则。
连接安全规则	使用新建连接安全规则向导，创建Internet协议安全性（IPSec）规则，以实现不同的网络安全目标，向导中已经预定义了四种不同的规则类型（隔离、免除身份验证、服务器到服务器和隧道），当然也创建自定义的规则，为了便于管理，请在创建连接规则时指定一个容易识别和记忆的名称，方便在命令行中管理。
监视	监视计算机上的活动防火墙规则和连接安全规则，但IPSec策略除外。
防火墙	仅显示活动的防火墙规则，可以通过右键点击选项卡选择属性，查看每个选项卡的常规、程序和端口和高级特性。
连接安全规则	显示当前活动的连接安全规则，属性查看可以通过鼠标右键选择属性或点击右侧的工具栏的属性进行查看。
安全关联下的主模式	主模式协商是通过确定一个加密保护套件集、交换密钥材料建立共享密钥以及验证计算机和用户身份，最终在两台计算机之间建立一个安全的通道。监视主模式SA可以查看哪些对等计算机连接到本机，以及该SA正在使用的保护套件。
安全关联下的快速模式	快速模式协商在两台计算机之间建立安全通道，以保护在两台计算机之间交换的数据。一对计算机之间只有一个主模式SA，但可以有多个快速模式SA，监视快速模式SA可以查看当前哪些对等计算机连接到本机，哪些保护套件在保护正在交换的数据。可以通过双击列表项目查看快速SA信息，

以上列表简述了高级安全Windows防火MMC管理单元的控制台导航配置大概情况，具体配置方法，请参考下一篇文章。