WinXP SP2防火墙大揭秘

Windows 防火墙是在 Windows XP Service Pack 2 中取代原来的 Internet Connection Firewall 的更新版本. 默认状态下防火墙在所有的网卡界面均为开启状态. 无论是windows xp全新安装还是升级安装，这个选项都可以在默认的情况下给网络连接提供更多的保护。但是，如果某些应用程序不能在这个防火墙过滤状态下工作的话，他们将无法兼容于这个新的操作系统。

　　更新用户界面和新特性

　　要配置 Windows 防火墙, 可以从安全中心中打开，安全中心位于控制面板，当然也可以直接从控制面板中打开Windows 防火墙控制台，还有第3个选择，可以从网络连接的高级选项卡中进入防火墙控制台。在主选项卡中有3个选项：

　　启用 (推荐)

　　不允许例外

　　关闭 (不推荐)

　　当你选择了不允许例外，Windows 防火墙将拦截所有的连接你的计算机的网络请求, 包括在例外选项卡中列表的应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，还有网络设备的侦测。使用不允许例外选项的windows 防火墙比较适用于连接在公共网络上个人计算机，比如在宾馆和机场公共使用的计算机。即使你使用了不允许例外选项的windows 防火墙，你仍然可以浏览网页，发送接受电子邮件，或者使用即使通讯软件。

　　例外选项卡中允许添加阻止规则例外的程序和端口来允许特定的进站通讯。对于每一个例外项，你都可以相应的设置一个作用域。对于家用和小型办公室应用网络，推荐设置作用域为可能的本地网络。当然，你也可以手工设置作用域中IP的范围。这样，只有来自特定的IP地址范围的网络请求才能被接受。

　　在例外选项卡中还有一个添加程序的按钮。如果你希望网络中（防火墙外）的其他客户端能够访问你本地的某个特定的程序或服务，而你又不知道这个程序或服务将使用哪一个端口和哪一类型端口，这种情况下你可以将这个程序或者服务添加到Windows 防火墙的例外项中以保证它能被外部访问。
　　在高级选项卡中可以配置以下设定：

　　应用在每个网络界面上的连接特定规则

　　安全纪录配置

　　全局ICMP规则，通过Internet控制消息协议(ICMP)允许网络上的计算机共享和传递错误和状态信息。

　　默认设置，可以将所有Windows防火墙设置还原为默认状态

　　我们可以针对不同的网络连接配置不同的规则。将例外选项中的设定与高级选项中网络连接的附加设定组合后称之为Windows防火墙"合成设置(resultant set)"。

　　组策略配置

　　通过使用Windows防火墙，管理员可以使其对小型网络的公共连接或连接在internet上的单独计算机进行必要的保护。他们通过在网络中部署Windows防火墙的适当的配置设定，并启动它来对网络提供安全保护。Windows防火墙组策略配置可以通过组策略控制台的以下位置找到:

　　Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall

　　Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile

　　Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Standard profile 在Windows XP SP2中，Windows防火墙默认设定为阻止所有端口，这也意味着服务器到客户机的应用将无法到达客户端。这种情况下可以通过在组策略中设定IPSEC来验证并信任服务器端应用发送到客户端的请求。"Windows 防火墙: 允许通过验证的IPSEC旁路"的组策略设定允许你指定是否启用Windows防火墙的IPSEC验证来允许来自指定系统的主动传入消息。

　　命令行工具

　　Windows防火墙的配置和状态信息可以通过命令行 Netsh.exe 获得。我们可以使用 netsh firewall 命令来获取防火墙信息和修改防火墙设定。

　　Commands in this context:

　　-------------------------------------------------------

　　? - Displays a list of commands.

　　add - Adds firewall configuration.

　　delete - Deletes firewall configuration.

　　dump - Displays a configuration script.

　　help - Displays a list of commands.

　　reset - Resets firewall configuration to default.

　　set - Sets firewall configuration.

　　show - Shows firewall configuration.

　　安全警告

　　在Windows XP SP2中，当用户在本地运行一个应用程序并将作为Internet服务器提供服务时，Windows防火墙将弹出一个新的安全警告对话框（如上图）。你可以使用对话框中的选项将此应用程序或服务添加到Windows防火墙的例外项中。Windows防火墙的例外项配置可以允许特定的进站连接。如果使用这种方法后程序无法正常运行，你可以通过下列分析步骤将问题隔离出来:

　　添加程序到例外项中;

　　添加端口到例外项中;

　　使用防火墙安全纪录;

　　禁止防火墙(不推荐).