Win7防火墙设置

Win7防火墙设置 本文由jesusyao贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 Windows 7 系统防火墙配置 windows XP 集成的防火墙常被视为鸡肋,但现在的 WIN7 防火墙强悍的功能也有了点"专业"的味道.今天 教和大家一起来看看该如何使用 WIN7 防火墙. 与 Vista 相同的是,可以通过访问控制面板程序对 Windows 7 firewall 进行基础配置.与 Vista 不同的 是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置) ,而不是一定要 创 建空白 MMC 并加入嵌入式管理单元来实现.只是点击一下左侧面板里的高级配置选项. Vista 防火墙允许你去选择是在公共网格上还是在专用网络中,而在 Windows 7 中你有三个选择-- 公用网络,家庭网络,办公网络.后两个选项是专用网络的细化. 如果你选择了"家庭网络"选项,你将可以建立一个"家庭组".在这种环境中,"网路发现"会自动启动, 你将可以看到网络中其它的计算机和设备,同时他 们也将可以看到你的计算机.隶属于"家庭组"的计算机 能够共享图片, 音乐, 视频, 文档库以及如打印机这样的硬件设备. 如果有你不想共享的文件夹在文档库 中, 你还可以排除它们. 如果你选择的是"工作网络","网路发现"同样会自动启动,但是你将不能创建或是加入"家庭组".如果 你的计算机加入了 Windows 域(通过控制面 板--系统和安全--系统--高级系统配置--计算机名 选项卡)并通过 DC 验证,那么防火墙将自动识别网络类型为域环境网络. 而"公用网络"类型是当你在机场,宾馆,咖啡馆或使用移动宽带网络联通公共 wi-fi 网络时的适当选择, "网路发现"将默认关闭,这样其它网络中的计 算机就不会发现你的共享而你也将不能创建或加入"家庭组". 在全部的网络模式中, Windows 7 firewall 都将在默认情况下拦截任何发送到不属于白名单中应用程序 的连接.Windows 7 允许你对不同网络类型分别配置. 多重作用防火墙策略 在 Vista 中,尽管你有公用网络和私用网络两个配置文件,但是只会有一个在指定的时间内起作用. 所以如果你的计算机发生要同时连接两个不同网络的情 况,那你就要倒霉啦.最严格的那条配置文件会被 用户到所有的连接上,这意味着你可能无法在本地(私用)网络中做你想做的事,因为你是在公用网络在 规则下操 作.而在 Windows 7 (和 Server 2008 R2)中,不同网络适配器上可以使用不同的配置文件.也 就是说专用网络之间的网络连接受专用网络规则支配,而与公用网络之间的流量则应用公用网络规则. 起作用的是那些不显眼的小事 在很多事例中,更好的可用性往往取决于小的改变,MS 听取了用户的意见并将一些"不显眼而又起作 用小东西"加入了 Windows 7 firewall 之中.比如,在 Vista 中当你创建防火墙规则时,必须分别列出各个 IP 地址和端口.而现在你只需要指定一个范围,这样一来用在执行一般 管理任务上的时间就被大大缩短 了. 你还可以在防火墙控制台中创建连接安全规则(Connection Security Rules)来指定哪些端口或 有使用 IPsec 的需求,而不必再使用 netsh 命令,对于那些喜欢 GUI 的人,这是一个更方便的改进. 连接安全规则(Connection Security Rules)还支持动态加密.意思是如果服务器收到一个客启端发 出的未加密(但是通过了验证)的信息,安全关联会通过已议定的"运行中"来要求加密,以建 立更安全的 通讯. 在"高级设置"中对配置文件进行配置 使用"高级设置"控制面板,你可以对每一个网络类型的配置文件进行设置. 对配置文件,你可以进行如下设置: * 开启/关闭防火墙 * (拦截,拦截全部连接或是允许)入站连接 * (允许或拦截)出部连接 * (在有程序被拦截后是否通知你)通知显示 * 允许单播对多播或广播响应 * 除组策略防火墙规则以外允许本地管理员创建并应用本地防火墙规则 关于用 netsh.exe 配置系统防火墙 (1).查看,开启或禁用系统防火墙 打开命令提示符输入输入命令"netsh firewallshow state"然后回车可查看防火墙的状态,从显示结果中 可看到防火墙各功能模块的禁用及启用情况.命令"netsh firewall set opmode disable"用来禁用系统防火 墙,相反命令"netsh firewall set opmode enable"可启用防火墙. (2).允许文件和打印共享 文件和打印共享在局域网中常用的,如果要允许客户端访问本机的共享文件 或者打印机,可分别输入 并执行如下命令: netsh firewall add portopening UDP 137 Netbios-ns (允许客户端访问服务器 UDP 协议的 137 端口) netsh firewall add portopening UDP 138 Netbios-dgm (允许访问 UDP 协议的 138 端口) netsh firewall add portopening TCP 139 Netbios-ssn (允许访问 TCP 协议的 139 端口) netsh firewall add portopening TCP 445 Netbios-ds (允许访问 TCP 协议的 445 端口) 命令执行完毕后,文件 及打印共享所须的端口都被防火墙放行了. (3).允许 ICMP 回显 默认情况下, Windows 7 出 于安全考虑是不允许外部主机对其进行 Ping 测试的. 但在一个安全的局域 网环境中,Ping 测试又是管理员进行网络测试所必须的,如何允许 Windows 7 的 ping 测试回显呢? 当然, 通过系统防火墙控制台可在"入站规则"中将"文件和打印共享(回显请求– ICMPv4-In)"规则 设置为 允许即可(如果网络使用了 IPv6,则同时要允许 ICMPv6-In 的规则.).不过,我们在 命令行下通过 netsh 命令可快速实现. 执行命令"netsh firewall set icmpsetting 8"可开 启 ICMP 回显, 反之执行"netsh firewall set icmpsetting 8 disable"可关闭回显.