Windows xp集成的防火墻常被視為雞肋,但現在的Win7防火墻強悍的功能也有了點“專業”的味道。今天教和大家一起來看看該如何使用WIN7防火墻。
與Vista相同的是,可以通過訪問控制面板程序對Windows 7 firewall進行基礎配置。與Vista不同的是,你還可以通過訪問控制面板的方式對其進行高級配置(包括對出站連接過濾器的配置),而不是一定要創 建空白MMC并加入嵌入式管理單元來實現。只是點擊一下左側面板里的高級配置選項。
Vista 防火墻允許你去選擇是在公共網格上還是在專用網絡中,而在Windows 7中你有三個選擇--公用網絡、家庭網絡、辦公網絡。后兩個選項是專用網絡的細化。
如果你選擇了“家庭網絡”選項,你將可以建立一個“家庭組”。在這種環境中,“網路發現”會自動啟動,你將可以看到網絡中其它的計算機和設備,同時他 們也將可以看到你的計算機。隸屬于“家庭組”的計算機能夠共享圖片、音樂、視頻、文檔庫以及如打印機這樣的硬件設備。如果有你不想共享的文件夾在文檔庫 中,你還可以排除它們。
如果你選擇的是“工作網絡”,“網路發現”同樣會自動啟動,但是你將不能創建或是加入“家庭組”。如果你的計算機加入了Windows域(通過控制面 板--系統和安全--系統--高級系統配置--計算機名 選項卡)并通過DC驗證,那么防火墻將自動識別網絡類型為域環境網絡。
而“公用網絡”類型是當你在機場、賓館、咖啡館或使用移動寬帶網絡聯通公共wi-fi網絡時的適當選擇,“網路發現”將默認關閉,這樣其它網絡中的計 算機就不會發現你的共享而你也將不能創建或加入“家庭組”。
在全部的網絡模式中,Windows 7 firewall都將在默認情況下攔截任何發送到不屬于白名單中應用程序的連接。Windows 7允許你對不同網絡類型分別配置。
多重作用防火墻策略
在Vista中,盡管你有公用網絡和私用網絡兩個配置文件,但是只會有一個在指定的時間內起作用。所以如果你的計算機發生要同時連接兩個不同網絡的情 況,那你就要倒霉啦。最嚴格的那條配置文件會被用戶到所有的連接上,這意味著你可能無法在本地(私用)網絡中做你想做的事,因為你是在公用網絡在規則下操 作。而在Windows 7 (和 Server 2008 R2)中,不同網絡適配器上可以使用不同的配置文件。也就是說專用網絡之間的網絡連接受專用網絡規則支配,而與公用網絡之間的流量則應用公用網絡規則。
起作用的是那些不顯眼的小事
在很多事例中,更好的可用性往往取決于小的改變,MS聽取了用戶的意見并將一些“不顯眼而又起作用小東西”加入了Windows 7 firewall之中。比如,在Vista中當你創建防火墻規則時,必須分別列出各個ip地址和端口。而現在你只需要指定一個范圍,這樣一來用在執行一般 管理任務上的時間就被大大縮短了。
你還可以在防火墻控制臺中創建連接安全規則(Connection Security Rules)來指定哪些端口或協議有使用IPsec的需求,而不必再使用netsh命令,對于那些喜歡GUI的人,這是一個更方便的改進。
連接安全規則(Connection Security Rules)還支持動態加密。意思是如果服務器收到一個客啟端發出的未加密(但是通過了驗證)的信息,安全關聯會通過已議定的“運行中”來要求加密,以建 立更安全的通訊。
在“高級設置”中對配置文件進行配置
使用“高級設置”控制面板,你可以對每一個網絡類型的配置文件進行設置。
對配置文件,你可以進行如下設置:
* 開啟/關閉防火墻
* (攔截、攔截全部連接或是允許)入站連接
* (允許或攔截)出部連接
* (在有程序被攔截后是否通知你)通知顯示
* 允許單播對多播或廣播響應
* 除組策略防火墻規則以外允許本地管理員創建并應用本地防火墻規則
關于用netsh.exe配置系統防火墻
(1)、查看、開啟或禁用系統防火墻
打開命令提示符輸入輸入命令“netsh firewallshow state”然后回車可查看防火墻的狀態,從顯示結果中可看到防火墻各功能模塊的禁用及啟用情況。命令“netsh firewall set opmode disable”用來禁用系統防火墻,相反命令“netsh firewall set opmode enable”可啟用防火墻。
(2)、允許文件和打印共享
文件和打印共享在局域網中常用的,如果要允許客戶端訪問本機的共享文件或者打印機,可分別輸入并執行如下命令:
netsh firewall add portopening UDP 137 Netbios-ns
(允許客戶端訪問服務器UDP協議的137端口)
netsh firewall add portopening UDP 138 Netbios-dgm
(允許訪問UDP協議的138端口)
netsh firewall add portopening TCP 139 Netbios-ssn
(允許訪問TCP協議的139端口)
netsh firewall add portopening TCP 445 Netbios-ds
(允許訪問TCP協議的445端口)
命令執行完畢后,文件及打印共享所須的端口都被防火墻放行了。
(3)、允許ICMP回顯
默認情況下,Windows 7出于安全考慮是不允許外部主機對其進行Ping測試的。但在一個安全的局域網環境中,Ping測試又是管理員進行網絡測試所必須的,如何允許 Windows 7的ping測試回顯呢?
當然,通過系統防火墻控制臺可在“入站規則”中將“文件和打印共享(回顯請求– ICMPv4-In)”規則設置為允許即可(如果網絡使用了 IPv6,則同時要允許 ICMPv6-In 的規則。)。不過,我們在命令行下通過netsh命令可快速實現。執行命令“netsh firewall set icmpsetting 8”可開啟ICMP回顯,反之執行“netsh firewall set icmpsetting 8 disable”可關閉回顯。
與Vista相同的是,可以通過訪問控制面板程序對Windows 7 firewall進行基礎配置。與Vista不同的是,你還可以通過訪問控制面板的方式對其進行高級配置(包括對出站連接過濾器的配置),而不是一定要創 建空白MMC并加入嵌入式管理單元來實現。只是點擊一下左側面板里的高級配置選項。
Vista 防火墻允許你去選擇是在公共網格上還是在專用網絡中,而在Windows 7中你有三個選擇--公用網絡、家庭網絡、辦公網絡。后兩個選項是專用網絡的細化。
如果你選擇了“家庭網絡”選項,你將可以建立一個“家庭組”。在這種環境中,“網路發現”會自動啟動,你將可以看到網絡中其它的計算機和設備,同時他 們也將可以看到你的計算機。隸屬于“家庭組”的計算機能夠共享圖片、音樂、視頻、文檔庫以及如打印機這樣的硬件設備。如果有你不想共享的文件夾在文檔庫 中,你還可以排除它們。
如果你選擇的是“工作網絡”,“網路發現”同樣會自動啟動,但是你將不能創建或是加入“家庭組”。如果你的計算機加入了Windows域(通過控制面 板--系統和安全--系統--高級系統配置--計算機名 選項卡)并通過DC驗證,那么防火墻將自動識別網絡類型為域環境網絡。
而“公用網絡”類型是當你在機場、賓館、咖啡館或使用移動寬帶網絡聯通公共wi-fi網絡時的適當選擇,“網路發現”將默認關閉,這樣其它網絡中的計 算機就不會發現你的共享而你也將不能創建或加入“家庭組”。
在全部的網絡模式中,Windows 7 firewall都將在默認情況下攔截任何發送到不屬于白名單中應用程序的連接。Windows 7允許你對不同網絡類型分別配置。
多重作用防火墻策略
在Vista中,盡管你有公用網絡和私用網絡兩個配置文件,但是只會有一個在指定的時間內起作用。所以如果你的計算機發生要同時連接兩個不同網絡的情 況,那你就要倒霉啦。最嚴格的那條配置文件會被用戶到所有的連接上,這意味著你可能無法在本地(私用)網絡中做你想做的事,因為你是在公用網絡在規則下操 作。而在Windows 7 (和 Server 2008 R2)中,不同網絡適配器上可以使用不同的配置文件。也就是說專用網絡之間的網絡連接受專用網絡規則支配,而與公用網絡之間的流量則應用公用網絡規則。
起作用的是那些不顯眼的小事
在很多事例中,更好的可用性往往取決于小的改變,MS聽取了用戶的意見并將一些“不顯眼而又起作用小東西”加入了Windows 7 firewall之中。比如,在Vista中當你創建防火墻規則時,必須分別列出各個ip地址和端口。而現在你只需要指定一個范圍,這樣一來用在執行一般 管理任務上的時間就被大大縮短了。
你還可以在防火墻控制臺中創建連接安全規則(Connection Security Rules)來指定哪些端口或協議有使用IPsec的需求,而不必再使用netsh命令,對于那些喜歡GUI的人,這是一個更方便的改進。
連接安全規則(Connection Security Rules)還支持動態加密。意思是如果服務器收到一個客啟端發出的未加密(但是通過了驗證)的信息,安全關聯會通過已議定的“運行中”來要求加密,以建 立更安全的通訊。
在“高級設置”中對配置文件進行配置
使用“高級設置”控制面板,你可以對每一個網絡類型的配置文件進行設置。
對配置文件,你可以進行如下設置:
* 開啟/關閉防火墻
* (攔截、攔截全部連接或是允許)入站連接
* (允許或攔截)出部連接
* (在有程序被攔截后是否通知你)通知顯示
* 允許單播對多播或廣播響應
* 除組策略防火墻規則以外允許本地管理員創建并應用本地防火墻規則
關于用netsh.exe配置系統防火墻
(1)、查看、開啟或禁用系統防火墻
打開命令提示符輸入輸入命令“netsh firewallshow state”然后回車可查看防火墻的狀態,從顯示結果中可看到防火墻各功能模塊的禁用及啟用情況。命令“netsh firewall set opmode disable”用來禁用系統防火墻,相反命令“netsh firewall set opmode enable”可啟用防火墻。
(2)、允許文件和打印共享
文件和打印共享在局域網中常用的,如果要允許客戶端訪問本機的共享文件或者打印機,可分別輸入并執行如下命令:
netsh firewall add portopening UDP 137 Netbios-ns
(允許客戶端訪問服務器UDP協議的137端口)
netsh firewall add portopening UDP 138 Netbios-dgm
(允許訪問UDP協議的138端口)
netsh firewall add portopening TCP 139 Netbios-ssn
(允許訪問TCP協議的139端口)
netsh firewall add portopening TCP 445 Netbios-ds
(允許訪問TCP協議的445端口)
命令執行完畢后,文件及打印共享所須的端口都被防火墻放行了。
(3)、允許ICMP回顯
默認情況下,Windows 7出于安全考慮是不允許外部主機對其進行Ping測試的。但在一個安全的局域網環境中,Ping測試又是管理員進行網絡測試所必須的,如何允許 Windows 7的ping測試回顯呢?
當然,通過系統防火墻控制臺可在“入站規則”中將“文件和打印共享(回顯請求– ICMPv4-In)”規則設置為允許即可(如果網絡使用了 IPv6,則同時要允許 ICMPv6-In 的規則。)。不過,我們在命令行下通過netsh命令可快速實現。執行命令“netsh firewall set icmpsetting 8”可開啟ICMP回顯,反之執行“netsh firewall set icmpsetting 8 disable”可關閉回顯。
上一篇:返回列表
