怎樣使用好Windows 防火墻

★★★★★【文章導讀】：怎樣使用好Windows 防火墻具體內(nèi)容是：Windows防火墻能做什么？1.幫助阻止計算機病毒和蠕蟲進入您的計算機。但不能檢測或查殺計算機病毒和蠕蟲。2.詢問您是否允許或阻止某些連接請求。但無法阻止您打開帶有危險附件的電子郵件或運行帶有病毒的惡意程序。3…

來源：日期：2013-12-19 9:47:13 人氣：標簽：

Windows防火墻能做什么？
1.幫助阻止計算機病毒和蠕蟲進入您的計算機。但不能檢測或查殺計算機病毒和蠕蟲。
2.詢問您是否允許或阻止某些連接請求。但無法阻止您打開帶有危險附件的電子郵件或運行帶有病毒的惡意程序。
3.創(chuàng)建安全日志>記錄成功或失敗的連接，一般用于故障診斷。
Windows防火墻防外不防內(nèi)的傳言是否屬實？
Windows防火墻不會攔截主動的出站初始連接，但這并不意味著Windows防火墻會放行所有的主動出站連接。我們知道，通信雙方必須經(jīng)過一個三次握手過程才能建立起一個可靠的TCP連接來實現(xiàn)應(yīng)用程序間的通訊。也就是說雖然我們的初始連接被成功的發(fā)送，但所有的回應(yīng)都會被攔截。所以當某個應(yīng)用程序企圖打開某個端口監(jiān)聽并接收與外部連接的信息時，Windows防火墻都會彈出一個Window安全警報對話框，詢問您是否允許該操作。如圖所示

解析Windows 安全警報
保持阻止：以禁用狀態(tài)添加程序到例外列表，端口未打開（程序在沒有您許可的情況不接受連接）
解除阻止：程序以啟用狀態(tài)添加例外列表，端口開放，下次程序建立連接時不再詢問。
稍后詢問：采用保護阻止策略（默認的安全規(guī)則）但不在例外列表中添加條目，下次建立連接時再次詢問。
Windows防火墻相對于第三方防火墻產(chǎn)品的優(yōu)勢
1.啟動安全性：在 Windows XP SP2 中，有一個用于執(zhí)行狀態(tài)包篩選的啟動策略，它允許計算機使用動態(tài)主機配置協(xié)議 (DHCP) 和域名系統(tǒng) (DNS) 執(zhí)行基本網(wǎng)絡(luò)啟動任務(wù)，并允許它與域控制器通信來獲取組策略更新。一旦 Windows 防火墻服務(wù)啟動，它就使用其配置并刪除啟動策略。啟動策略設(shè)置是不能進行配置的。這就保證了網(wǎng)絡(luò)連接初始化時的安全性。而且Windows防火墻以系統(tǒng)服務(wù)的形式啟動，在系統(tǒng)還沒完全初始化完成時就已經(jīng)在工作了。相對而言，第三方防火墻得等到加載開機啟動程序才被初始化，換言之，在網(wǎng)絡(luò)初始化完成而第三方防火墻程序未啟動這一小段時間，我們的主機將完全暴露在網(wǎng)絡(luò)上。Windows防火墻配合啟動策略能夠為系統(tǒng)提供天衣無縫式的保護，這是第三方防火墻所不能做到的。
2.集中的部署和配置：支持腳本自動化配置防火墻策略（通過Netsh Firewall）以及結(jié)合組策略進行統(tǒng)一部署和配置管理。由于與活動目錄集成，對于生產(chǎn)環(huán)境下，集中部署和配置防火墻策略非常高效。
下面我們具體看下Windows防火墻的配置。
我們可以通過在開始運行里輸入Firewall.cpl來調(diào)出Windows防火墻的配置界面，也可以通過本地連接屬性對話框，高級選項下的設(shè)置按鈕來打開。
打開Windows防火墻的配置界面，有三個選項卡，分別為常規(guī)，例外和高級。
常規(guī)選項卡的配置：
常規(guī)選項卡下的配置界面非常簡單，提供了三個級別的保護。分別為關(guān)閉，啟用和啟用且不允許例外。

關(guān)閉，這個級別不會阻止任何本機與外部網(wǎng)絡(luò)的連接。不推薦關(guān)閉Windows防火墻，除非安裝了第三方防火墻程序。
啟用，默認級別。這個級別只允許請求的和例外的傳入通信。能夠擋掉絕大部分的非法傳入請求，但允許例外選項卡中定義的應(yīng)用程序與外部建立連接。
啟用且不允許例外，這是安全的級別，此級別可用于在已知的網(wǎng)絡(luò)攻擊期間或惡意程序傳播時暫時鎖定計算機。一旦網(wǎng)絡(luò)攻擊結(jié)束并且安裝了合適的更新程序以阻止今后的攻擊行為，就可將 Windows 防火墻配置為允許例外通信的正常操作級別。該級別會忽略例外選項卡中配置的防火墻規(guī)則。這時只允許IE，OE及MSN等Windows自帶的程序進行網(wǎng)絡(luò)通訊。
例外選項卡的配置：
這里是我們配置例外列表的地方。事實上這就是我們的防火墻規(guī)則，每創(chuàng)建一條允許或禁止的防火墻規(guī)則都會被放入例外列表中，每條規(guī)則前面的復選框的狀態(tài)，打勾表明這是條允許規(guī)則，清空表明這是條禁止規(guī)則。默認情況下系統(tǒng)有四條配置好的訪問規(guī)則，如圖所示，其中遠程協(xié)助是默認允許的。

添加防火墻規(guī)則有兩種方法，一種是通過Windows安全警報對話框，Windows 防火墻中的通知機制允許本地管理員在得到相應(yīng)提示后自動將新程序添加到例外程序列表。另一種是我們在例外選項卡中手動添加。自動添加的方式比較簡單，略過。下面說下手動添加。手動添加也有兩種方式，一種是添加程序的文件名。一種是添加端口。添加端口的方式非常簡單，點擊添加端口，然后給這個要開放端口起個名字，比如這個端口是被QQ使用的，我們就可以起個名字叫QQ，然后填上對應(yīng)的端口號如8000，接著選擇通訊協(xié)議，默認只有TCP和UCP，選擇好后單擊確定，一條防火墻規(guī)則就創(chuàng)建完成了。