Windows 7防火墙设置详解(三)
Windows 7防火墻設置詳解(三)
一、如何禁用或啟用規則
方法:只需要在需要禁用或啟動的規則上,鼠標右鍵選擇啟用或禁止規則即可,或點擊右側的操作欄進行規則啟用或禁止。
二、入站規則和出站規則
由于入站和出站管理方法基本相同,所以把它們放到一起介紹,我們在Windows防火墻的“允許程序或功能通過Windows防火墻”中每增加或減少一個設置項,都會反應到入站或出站規則中來,這些規則從整體上看可以分成兩個部分,一是用戶規則,比如我們手動增加的允許程序規則就屬于用戶規則,還有一些系統預定義規則,預定義規則大部分都是系統已經預先設置好的,而且很多設置都是不允許修改的,我們點擊上一篇增加的WinRAR程序允許規則(鼠標右鍵選擇屬性或直接左鍵雙擊)。
上圖的屬性設置可以看出手動增加的程序規則幾乎都可以完全定制,而系統的預定義規則中的“程序和服務”與“協議和端口”兩個部分幾乎都不可以修改,系統規則也會明確黃色頭標注明,大部分系統規則,我們只需要啟用或禁止即可。
我們在允許程序或服務管理中,每增加一條程序或啟用一個服務,我們可以在高級安全管理界面里看到可能會N條規則,規則記錄數的多少是跟程序或服務實際使用的協議數有關系,比如上文增加的WINRAR記錄如果只選擇專用網絡,則會默認增加適合專網TCP、UDP兩條規則記錄,當然這些規則全部都可以在屬性界面修改掉。
下表列出了上圖中幾個選項卡的具體設置情況,因為相關抓圖太多了,無法一一展示出來,只能用文字粗略描述一下,另外如果遇到不懂的地方,可以隨時在界面中查看幫助文件,防火墻幫助文件非常完善:
| 常規 | 該部分包含規則的標識信息,可以啟動或禁用規則,名稱最好唯一方便netsh管理,操作部分只有三個選項,允許、允許安全、阻止。如果要使用僅允許安全的連接選項,則IPSec設置必須在單獨的連接安全規則中定義。 |
| 程序和服務 | 程序部分包含如何匹配來自程序的網絡數據包信息,兩個選擇一個是符合指定條件的所有程序(條件就是指其它選項卡設置的條件),還有一個就是指定程序,常規增加的規則都是指定程序。用戶程序一般都會標示完整的路徑,而系統程序則可能只顯示system。 服務是用來匹配來來自計算機上所有程序和服務、僅服務或指定服務的數據包。設置中有四個選項,一級比一級嚴格,最后一個應用于具有下列服務短名稱的服務一項屬于篩選作用。 |
| 計算機 | 該部分可以指定允許或阻止執行該規則的連接的計算機或組帳戶。 |
| 協議和端口 | 協議就是指網絡流量篩選的協議。 |
| 作用域 | 本地IP地址由本地計算機用于確定規則是否適用。規則僅適用于通過配置為使用一個石碇本地IP地址的網絡適配器匹配規則。 遠程IP地址則指定應用規則的遠程IP地址,如果目標IP地址是列表中的地址之一,則網絡流量匹配規則。 |
| 高級 | 高級部分可以修改應用此防火墻規則的配置文件和接口類型。 配置文件的適用連接范圍,Windows 7可以根據網絡適配器的網絡位置應用相應的配置文件,支持三種配置文件(域、專用和公用)。 接口類型是指定應用連接安全規則的接口類型,支持所有、局域網、遠程和無線的任意組合。 邊緣遍歷可以允許計算機接受未經請求的入站數據包,這些數據包已通過邊緣設備(NAT路由器或防火墻)。 |
| 用戶 | 用戶部分可以用來設置指定哪些用戶或用戶組可以連接到計算機。 |
三、連接安全規則
連接安全包括在兩臺計算機開始通信之前對他們進行身份驗證,并確保在兩臺計算機之間發送的信息的安全性。高級安全Windows防火墻使用IPsec實現連接安全,方式是通過使用密鑰、身份驗證、數據完整性和數據加密等措施。要創建一個安全規則只需要點擊連接安全規則,然后在中間的窗口中鼠標右鍵,選擇新建規則,如下圖:
選擇后,會彈出新建“新建連接安全規則向導”,如下圖:
上面的設置內容也是太多了,為了方便對比和參考,天緣把全部的設置項目及其包含關系列到下表中,實際上這些配置都是獨立的,天緣只是有意的把它們放到一起方便理解而已:
| ? | 隔離 | 免除身份驗證 | 服務器到服務器 | 隧道 | 自定義 | 備注 |
| 免除計算機 | - | Y | - | - | - | 配置不要求身份驗證的遠程計算機,可以根據IP地址、地址范圍或計算機集指定 |
| 終結點 | - | - | Y | - | Y | 指定只在終結點1到終結點2之間創建安全連接,可以適用任何IP或指定IP地址。 |
| 隧道類型 | - | - | - | Y | - | 隧道類型支持自定義配置、客戶端到網關、網關到客戶端三種類型隧道。 |
| 要求 | Y | - | Y | Y | Y | 分三種驗證方式:入站和出站請求驗證、入站要求驗證出站請求驗證、入站和出站要求驗證。其中“隧道”連接安全規則類型支持身份驗證的時間有細微差異。 |
| 隧道終結點 | - | - | - | Y | - | 隧道終結點(拓撲結構參下面附圖)可以為IPsec隧道規則配置終結點選項,隧道終結點一般是網關服務器,終結點1和終結點2都是隧道本地端的計算機集合,配置時可以使用IP地址、IP子網地址、IP地址范圍或預定義的計算機集。 |
| 身份驗證方法 | Y | - | Y | Y | Y | “服務器和服務器”和“隧道”兩個連接安全規則類型的身份證連接方法只有兩種,分別是計算機證書和高級自定義第一和第二身份驗證設置。其余的身份驗證方法都支持四種:默認使用IPsec設置方法、計算機和用戶、計算機、高級自定義第一和第二身份驗證方法。 |
| 協議和端口 | - | - | - | - | Y | 協議和端口是用來指定網路哦數據包中指定的哪個協議和哪些端口匹配該連接的安全規則。僅網絡流量匹配此頁上的條件,“終結點”頁匹配該規則,且服從其身份驗證要求。 |
| 配置文件 | Y | Y | Y | Y | Y | 指定該規則的使用范圍,上文已經提到的域、專用或公用三個選項。 |
| 名稱 | Y | Y | Y | Y | Y | 為該規則起一個容易記憶和管理名字,如果需要也可以加入描述方便理解。 |
附隧道終結點連接關系拓撲圖:
最后,連接規則創建完成后,就可以在連接安全規則中進行統一啟動或禁止及修改管理,如下圖:
四、如何復制安全規則
在高級安全設置里還支持規則的復制粘貼,使用方法:在需要復制的規則上鼠標右鍵選擇復制,然后再次粘貼即可,然后可以進行再次編輯。
綜合:關于Windows 7的防火墻設置,包括此文天緣總共寫了三篇文章,內容也非常淺顯,主要參考資料還是Windows 7防火墻的幫助文件以及部分微軟官方內容,目的是讓大家了解一下Windows 7防火墻的常規設置和基本用法,會一些基本的規則創建和修改即可。
從這三篇文章基本可以看出Windows 7防火墻的專業味道,雖說是詳解,天緣用了三篇文章才只是碰到些皮毛內容,只是先從整體上把握了一下,甚至其間不乏錯誤或重大疏漏,肯請廣大讀者發現指正,天緣會即使關注和完善這三篇文章,其它關注的細節問題,不排除會再次發文詳解。
總結
以上是生活随笔為你收集整理的Windows 7防火墙设置详解(三)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 3D曲面可视化
- 下一篇: Linux系统:常用Linux系统管理命