Windows 7防火墙设置详解(二)

Windows 7防火墙设置详解(二)

1、高级安全Windows 防火墙MMC

依次点击“计算机”——“控制面板”——“Windows防火墙”，点击控制界面左侧的“高级设置”，便可看到以下界面，几乎全部的防火墙设置均可以在这个高级设置里完成，并且Windows 7防火墙的的诸多优秀特性也能够在这里展示出来。

从简单到复杂的过一下，右侧的操做栏目：

1、导入和导出策略

导入和导出策略是用来经过策略文件（*.wfw）进行配置保存或共享部署之用，导出功能既能够做为当前设置的备份也能够共享给其它计算机进行批量部署之用。

2、还原默认策略

还原默认策略功能跟前一篇《Windows 7防火墙设置详解(一)》文章中的恢复防火墙默认设置相似，还原默认策略将会重置自动安装Windows以后对Windows防火墙所作的全部更改，还原后有可能会致使某些程序中止运行。

3、诊断/修复

诊断和修复功能是用来诊断和修复Internet链接用的，和本文关系不大，网络设置能够参考《Windows 7的ADSL网络链接和拨号链接设置方法》和《Windows 7的网络链接和共享设置教程》两篇文章。

2、高级安全Windows防火墙属性设置

右侧最下面的“属性”是显示高级安全设置防火墙属性（点击上图中间的“Windows防火墙属性”也能够，只是显示的标题有点差别），以下图：

防火墙属性设置里，整体分红四大块，这个四种配置类型都是独立配置独立生效的。

域配置文件

域配置文件主要是面向企业域链接使用，普通用户也能够把它关闭掉。

专用配置文件

专用配置文件是面向家庭网络和工做网络配置使用，你们最常使用。

公用配置文件

公用配置文件是面向公用网络配置使用，若是在酒店、机场等公共场合时可能须要使用。

IPSec设置

IPSec设置是面向×××等须要进行安全链接时使用，关于IPSec知识，能够参考http://zh.wikipedia.org/zh-cn/IPsec。

上述四种设置中前三种配置方法几乎彻底相同，因此下文只以专用配置文件和IPSec设置为例进行介绍：

1、专用配置文件

A、防火墙的状态，有启用（推荐）和关闭两个选项，能够在这里进行设置，当前上一篇的常规配置里也能够完成防火墙的开启和关闭，效果相同。

B、入站链接，有阻止（默认值）、阻止全部链接和容许三个，彷佛除了实验用机，都不能选择最后的容许一项，来者不拒会带来很×××烦。

C、出站链接，有阻止和容许（默认值）两个选项，对于我的计算机仍是须要访问网络的就选择默认值便可。

在指定控制Windows防火墙行为的设置，以下图：

第一个设置可使Windows防火墙在某个程序被阻止接收入站链接时通知用户，注意这里只对没有设置阻止或容许规格的程序才有效，若是已经设置了阻止，则Windows防火墙不会发出通知。下面的设置意思是许可对多播或广播网络流量的单播响应，所指的多播或广播都是本机发出的，接收客户机进行单播响应，默认设置便可。

2、IPSec设置

IPSec设置界面以下图：

A、IPSec默认值

能够配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”能够显示“自定义 IPsec 设置”对话框。当具备活动安全规格时，IPSec将使用该项设置规则创建安全链接，若是没有对密钥交换（主模式）、数据保护（快速模式）和身份验证方法进行指定，则创建链接时将会使用组策略对象（GPO）中优先级较高的任意设置，顺序以下，最高优先级组策略对象（GPO）——本地定义的策略设置——IPSec设置的默认值（好比身份验证算法默认是Kerberos V5等，更多默承认以直接点击下面窗口的“什么是默认值”帮助文件）。

B、IPSec免除

此选项设置肯定包含Internet 控制消息协议 (ICMP) 消息的流量包是否受到IPsec保护，ICMP一般由网络疑难解答工具和过程使用。注意，此设置仅从高级安全 Windows 防火墙的IPsec部分免除 ICMP，若要确保容许 ICMP 数据包经过Windows防火墙，还必须建立并启用入站规则（入站规则的设置方法参见下文），另外，若是在“网络和共享中心”中启用了文件和打印机共享，则高级安全 Windows 防火墙会自动启用容许经常使用ICMP 数据包类型的防火墙规则。可能也会启用与 ICMP 不相关的网络功能，若是只但愿启用 ICMP，则在 Windows 防火墙中建立并启用规则，以容许入站 ICMP 网络数据包。

C、IPSec隧道受权

只在如下状况下使用此选项，具备建立从远程计算机到本地计算机的 IPsec 隧道模式链接的链接安全规则，并但愿指定用户和计算机，以容许或拒绝其经过隧道访问本地计算机。选择“高级”，而后单击“自定义”能够显示“自定义 IPsec 隧道受权”对话框，能够为须要受权的计算机或用户进行隧道规则受权。

3、高级安全Windows防火墙导航树

下面再来看一下左侧的控制树，大部分都是防火墙规则设置功能，能够建立防火墙规则以便阻止或容许此计算机向程序、系统服务、计算机或用户发送流量，或是接收来自这些对象的流量，规则标准只有三个：容许、条件容许和阻止，条件容许是指只容许使用IPSec保护下的链接经过。

入站规则	能够为入站通讯或。可配置规则以指定计算机或用户、程序、服务或者端口和协议。能够指定要应用规则的网络适配器类型：局域网 (LAN)、无线、远程访问，例如虚拟专用网络 (×××) 链接或者全部类型。还能够将规则配置为使用任意配置文件或仅使用指定配置文件时应用。
出站规则	为出站通讯建立或修改规则，功能同入站规则。
链接安全规则	使用新建链接安全规则向导，建立Internet协议安全性（IPSec）规则，以实现不一样的网络安全目标，向导中已经预约义了四种不一样的规则类型（隔离、免除身份验证、服务器到服务器和隧道），固然也建立自定义的规则，为了便于管理，请在建立链接规则时指定一个容易识别和记忆的名称，方便在命令行中管理。
监视	监视计算机上的活动防火墙规则和链接安全规则，但IPSec策略除外。
防火墙	仅显示活动的防火墙规则，能够经过右键点击选项卡选择属性，查看每一个选项卡的常规、程序和端口和高级特性。
链接安全规则	显示当前活动的链接安全规则，属性查看能够经过鼠标右键选择属性或点击右侧的工具栏的属性进行查看。
安全关联下的主模式	主模式协商是经过肯定一个加密保护套件集、交换密钥材料创建共享密钥以及验证计算机和用户身份，最终在两台计算机之间创建一个安全的通道。监视主模式SA能够查看哪些对等计算机链接到本机，以及该SA正在使用的保护套件。
安全关联下的快速模式	快速模式协商在两台计算机之间创建安全通道，以保护在两台计算机之间交换的数据。一对计算机之间只有一个主模式SA，但能够有多个快速模式SA，监视快速模式SA能够查看当前哪些对等计算机链接到本机，哪些保护套件在保护正在交换的数据。能够经过双击列表项目查看快速SA信息，

以上列表简述了高级安全Windows防火MMC管理单元的控制台导航配置大概状况，具体配置方法，请参考下一篇文章。