Windows 7防火墙设置详解(三)
一、如何禁用或启用规则
方法:只需要在需要禁用或启动的规则上,鼠标右键选择启用或禁止规则即可,或点击右侧的操作栏进行规则启用或禁止。
二、入站规则和出站规则
由于入站和出站管理方法基本相同,所以把它们放到一起介绍,我们在Windows防火墙的“允许程序或功能通过Windows防火墙”中每增加或减少一个设置项,都会反应到入站或出站规则中来,这些规则从整体上看可以分成两个部分,一是用户规则,比如我们手动增加的允许程序规则就属于用户规则,还有一些系统预定义规则,预定义规则大部分都是系统已经预先设置好的,而且很多设置都是不允许修改的,我们点击上一篇增加的WinRAR程序允许规则(鼠标右键选择属性或直接左键双击)。
上图的属性设置可以看出手动增加的程序规则几乎都可以完全定制,而系统的预定义规则中的“程序和服务”与“协议和端口”两个部分几乎都不可以修改,系统规则也会明确黄色头标注明,大部分系统规则,我们只需要启用或禁止即可。
我们在允许程序或服务管理中,每增加一条程序或启用一个服务,我们可以在高级安全管理界面里看到可能会N条规则,规则记录数的多少是跟程序或服务实际使用的协议数有关系,比如上文增加的WINRAR记录如果只选择专用网络,则会默认增加适合专网TCP、UDP两条规则记录,当然这些规则全部都可以在属性界面修改掉。
下表列出了上图中几个选项卡的具体设置情况,因为相关抓图太多了,无法一一展示出来,只能用文字粗略描述一下,另外如果遇到不懂的地方,可以随时在界面中查看帮助文件,防火墙帮助文件非常完善:
常规 | 该部分包含规则的标识信息,可以启动或禁用规则,名称最好唯一方便netsh管理,操作部分只有三个选项,允许、允许安全、阻止。如果要使用仅允许安全的连接选项,则IPSec设置必须在单独的连接安全规则中定义。 |
程序和服务 | 程序部分包含如何匹配来自程序的网络数据包信息,两个选择一个是符合指定条件的所有程序(条件就是指其它选项卡设置的条件),还有一个就是指定程序,常规增加的规则都是指定程序。用户程序一般都会标示完整的路径,而系统程序则可能只显示system。 服务是用来匹配来来自计算机上所有程序和服务、仅服务或指定服务的数据包。设置中有四个选项,一级比一级严格,最后一个应用于具有下列服务短名称的服务一项属于筛选作用。 |
计算机 | 该部分可以指定允许或阻止执行该规则的连接的计算机或组帐户。 |
协议和端口 | 协议就是指网络流量筛选的协议。 |
作用域 | 本地IP地址由本地计算机用于确定规则是否适用。规则仅适用于通过配置为使用一个石碇本地IP地址的网络适配器匹配规则。 远程IP地址则指定应用规则的远程IP地址,如果目标IP地址是列表中的地址之一,则网络流量匹配规则。 |
高级 | 高级部分可以修改应用此防火墙规则的配置文件和接口类型。 配置文件的适用连接范围,Windows 7可以根据网络适配器的网络位置应用相应的配置文件,支持三种配置文件(域、专用和公用)。 接口类型是指定应用连接安全规则的接口类型,支持所有、局域网、远程和无线的任意组合。 边缘遍历可以允许计算机接受未经请求的入站数据包,这些数据包已通过边缘设备(NAT路由器或防火墙)。 |
用户 | 用户部分可以用来设置指定哪些用户或用户组可以连接到计算机。 |
三、连接安全规则
连接安全包括在两台计算机开始通信之前对他们进行身份验证,并确保在两台计算机之间发送的信息的安全性。高级安全Windows防火墙使用IPsec实现连接安全,方式是通过使用密钥、身份验证、数据完整性和数据加密等措施。要创建一个安全规则只需要点击连接安全规则,然后在中间的窗口中鼠标右键,选择新建规则,如下图:
选择后,会弹出新建“新建连接安全规则向导”,如下图:
上面的设置内容也是太多了,为了方便对比和参考,天缘把全部的设置项目及其包含关系列到下表中,实际上这些配置都是独立的,天缘只是有意的把它们放到一起方便理解而已:
| 隔离 | 免除身份验证 | 服务器到服务器 | 隧道 | 自定义 | 备注 |
免除计算机 | - | Y | - | - | - | 配置不要求身份验证的远程计算机,可以根据IP地址、地址范围或计算机集指定 |
终结点 | - | - | Y | - | Y | 指定只在终结点1到终结点2之间创建安全连接,可以适用任何IP或指定IP地址。 |
隧道类型 | - | - | - | Y | - | 隧道类型支持自定义配置、客户端到网关、网关到客户端三种类型隧道。 |
要求 | Y | - | Y | Y | Y | 分三种验证方式:入站和出站请求验证、入站要求验证出站请求验证、入站和出站要求验证。其中“隧道”连接安全规则类型支持身份验证的时间有细微差异。 |
隧道终结点 | - | - | - | Y | - | 隧道终结点(拓扑结构参下面附图)可以为IPsec隧道规则配置终结点选项,隧道终结点一般是网关服务器,终结点1和终结点2都是隧道本地端的计算机集合,配置时可以使用IP地址、IP子网地址、IP地址范围或预定义的计算机集。 |
身份验证方法 | Y | - | Y | Y | Y | “服务器和服务器”和“隧道”两个连接安全规则类型的身份证连接方法只有两种,分别是计算机证书和高级自定义第一和第二身份验证设置。其余的身份验证方法都支持四种:默认使用IPsec设置方法、计算机和用户、计算机、高级自定义第一和第二身份验证方法。 |
协议和端口 | - | - | - | - | Y | 协议和端口是用来指定网路哦数据包中指定的哪个协议和哪些端口匹配该连接的安全规则。仅网络流量匹配此页上的条件,“终结点”页匹配该规则,且服从其身份验证要求。 |
配置文件 | Y | Y | Y | Y | Y | 指定该规则的使用范围,上文已经提到的域、专用或公用三个选项。 |
名称 | Y | Y | Y | Y | Y | 为该规则起一个容易记忆和管理名字,如果需要也可以加入描述方便理解。 |
附隧道终结点连接关系拓扑图:
最后,连接规则创建完成后,就可以在连接安全规则中进行统一启动或禁止及修改管理,如下图:
四、如何复制安全规则
在高级安全设置里还支持规则的复制粘贴,使用方法:在需要复制的规则上鼠标右键选择复制,然后再次粘贴即可,然后可以进行再次编辑。
综合:关于Windows 7的防火墙设置,包括此文天缘总共写了三篇文章,内容也非常浅显,主要参考资料还是Windows 7防火墙的帮助文件以及部分微软官方内容,目的是让大家了解一下Windows 7防火墙的常规设置和基本用法,会一些基本的规则创建和修改即可。
从这三篇文章基本可以看出Windows 7防火墙的专业味道,虽说是详解,天缘用了三篇文章才只是碰到些皮毛内容,只是先从整体上把握了一下,甚至其间不乏错误或重大疏漏,肯请广大读者发现指正,天缘会即使关注和完善这三篇文章,其它关注的细节问题,不排除会再次发文详解。
