Win Vista的防火墙使用技巧10点

时间:2022-09-26 10:37:22 电脑 我要投稿
  • 相关推荐

Win Vista的防火墙使用技巧10点

  微软对Vista中的Windows防火墙做了重大改变,从而增强了安全性,让高级用户更容易配置及定制,同时保留了新手用户所需的简洁性。

  一、采用两种界面来满足不同需求

  Vista防火墙有两种独立的图形配置界面:一是基本的配置界面,可以通过“安全中心”和“控制面板”来访问;二是高级配置界面,用户在创建自定义的MMC后,可作为插件来访问。这可以防止新手用户无意中的改变而导致连接中断,又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法。用户还可以在netshadvfirewall上下文中使用命令,从命令行对Vista防火墙进行配置;也可以编写脚本,针对一组计算机自动对防火墙进行配置;还可以通过组策略来控制Vista防火墙的设置。

  二、默认设置下的安全

  Vista中的Windows防火墙在默认状态下采用安全配置,同时仍支持最佳易用性。默认状态下,大多数入站流量被阻挡,出站连接被允许。 Vista防火墙可与Vista的Windows服务加固这项新功能协同工作,所以如果防火墙检测到被Windows服务加固网络规则禁止的行为,它就会阻挡该行为。防火墙还完全支持纯IPv6的网络环境。

  三、基本配置选项

  利用基本配置界面,用户可以启动或者关闭防火墙,或者设置防火墙完全阻挡所有程序;还可以允许有例外情况存在(可以指定不阻挡哪些程序、服务或者端口),并且指定每种例外情况的范围(是否适用于来自所有计算机的流量,包括互联网上的计算机、局域网/子网上的计算机,或者是你指定了IP地址或者子网的计算机);还可以指定希望防火墙保护哪些连接,并且配置安全日志和ICMP设置。

  四、ICMP消息阻挡

  默认状态下,入站ICMP回应请求可以通过防火墙,而其他所有ICMP信息被阻挡在外。这是因为,Ping工具定期用来发送回应请求消息,用于故障诊断。不过,黑客也可以发送回应请求消息来锁定目标主机。用户可以通过基本配置界面上的“高级”选项卡,阻挡回应请求消息。

  五、多个防火墙配置文件

  附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件,那样就可以针对不同环境使用不同的防火墙配置。这对便携式计算机来说特别有用。譬如说,当用户连接到公共无线热点时,可能需要比连接到家庭网络时更安全的配置。用户最多可以创建三个防火墙配置文件:一个用于连接到Windows域、一个用于连接到专用网络,另一个用于连接到公共网络。

  六、IPSec功能

  通过高级配置界面,用户可以定制IPSec设置,指定用于加密和完整性的安全方法、确定密钥的生命周期按时间计算还是按会话计算,并且选择所需的Diffie-Hellman密钥交换算法。默认状态下,IPSec连接的数据加密功能是禁用的,但可以启用它,并且选择哪些算法用于数据加密和完整性。

  七、安全规则

  通过向导程序,用户可以逐步创建安全规则,从而控制单台计算机或者一组计算机之间如何及何时建立安全连接;也可以根据域成员或者安全状况等标准来限制连接,但允许指定的计算机可以不符合连接验证要求;还可以创建规则,要求两台特定的计算机(服务器到服务器)连接时需要验证,或者使用隧道规则对网关之间的连接进行验证。

  八、自定义的验证规则

  在创建自定义的验证规则时,要指定单台计算机或者一组计算机(通过IP地址或者地址范围)成为连接端点。用户可以请求或者要求对入站连接、出站连接或者两者进行验证。

  九、入站和出站规则

  用户可以创建入站和出站规则,从而阻挡或者允许特定程序或者端口进行连接;可以使用预先设置的规则,也可以创建自定义规则,“新建规则向导” 可以帮用户逐步完成创建规则的步骤;用户可以将规则应用于一组程序、端口或者服务,也可以将规则应用于所有程序或者某个特定程序;可以阻挡某个软件进行所有连接、允许所有连接,或者只允许安全连接,并要求使用加密来保护通过该连接发送的数据的安全性;可以为入站和出站流量配置源IP地址及目的地IP地址,同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。

  十、基于活动目录的规则

  用户可以创建规则来阻挡或者允许基于活动目录用户、计算机或者组账户的连接,只要连接通过带有Kerberosv5(包含活动目录账户信息)的IPSec来保护安全。用户还可以使用具有高级安全功能的Windows防火墙,执行网络访问保护(NAP)策略。

  Windows Meeting Space(WMS)是Windows Vista内置的一个新程序,它便于最多10个协作者共享桌面、文件和演示文档,并通过网络传送个人消息给对方。

  微软:Vista为Windows安全性奠定基石

  微软Windows核心安全小组的高级项目经理Crispin Cowan表示,一直以来,Windows Vista的UAC(用户帐户控制)功能使得用户感到非常地困扰,其频繁弹出的对话框经常会干扰到用户的正常工作。后来,我们重新撰写了UAC功能,使得用户能够控制UAC对话框的提示频率,不过仍然在很大程度上地保障了用户计算机的安全性。

  在Windows 7中,微软在其UAC中添加了滑块控制功能,使得用户能够较好地控制UAC对话框的弹出频率,为用户免除了很多的安全隐患,从本质上提升了UAC对危险的辨别和用户的工作效率。

  一直以来,Windows的安全性广受外界用户的质疑,不断遭受攻击者攻击,而受到威胁最多的就是早在2001年推出的Windows XP,主要原因就是它缺乏当今环境中必备的一些安全机制。

  Cowan表示,Windows 7的安全性已经得到了很大程度上的提升,与Unix变种诸如Linux之间的差距越来越小。究其原因,主要是因为Windows Vista率先不允许所有用户帐户都获得完整的管理权限,而Windows 7也就顺理成章地继承了Vista的光荣传统。

  Cowan指出,虽然Unix是行业中的安全标兵,不过微软Windows的安全性正向其逐步逼近,并逐步超越。

  解析Win7系统的防火墙配置

  Windows XP集成的防火墙常被视为鸡肋,但现在的WIN7防火墙强悍的功能也有了点“专业的味道。今天教和大家一起来看看该如何使用WIN7防火墙。

  与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创 建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。

  Vista 防火墙允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。

  如果你选择了“家庭网络选项,你将可以建立一个“家庭组。在这种环境中,“网路发现会自动启动,你将可以看到网络中其它的计算机和设备,同时他 们也将可以看到你的计算机。隶属于“家庭组的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库 中,你还可以排除它们。

  如果你选择的是“工作网络,“网路发现同样会自动启动,但是你将不能创建或是加入“家庭组。如果你的计算机加入了Windows域(通过控制面 板--系统和安全--系统--高级系统配置--计算机名 选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。

  而“公用网络类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi网络时的适当选择,“网路发现将默认关闭,这样其它网络中的计 算机就不会发现你的共享而你也将不能创建或加入“家庭组。

  在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。

  多重作用防火墙策略

  在Vista中,尽管你有公用网络和私用网络两个配置文件,但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情 况,那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上,这意味着你可能无法在本地(私用)网络中做你想做的事,因为你是在公用网络在规则下操 作。而在Windows 7 (和 Server 2008 R2)中,不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配,而与公用网络之间的流量则应用公用网络规则。

  起作用的是那些不显眼的小事

  在很多事例中,更好的可用性往往取决于小的改变,MS听取了用户的意见并将一些“不显眼而又起作用小东西加入了Windows 7 firewall之中。比如,在Vista中当你创建防火墙规则时,必须分别列出各个IP地址和端口。而现在你只需要指定一个范围,这样一来用在执行一般 管理任务上的时间就被大大缩短了。

  你还可以在防火墙控制台中创建连接安全规则(Connection Security Rules)来指定哪些端口或协议有使用IPsec的需求,而不必再使用netsh命令,对于那些喜欢GUI的人,这是一个更方便的改进。

  连接安全规则(Connection Security Rules)还支持动态加密。意思是如果服务器收到一个客启端发出的未加密(但是通过了验证)的信息,安全关联会通过已议定的“运行中来要求加密,以建 立更安全的通讯。

  在“高级设置中对配置文件进行配置

  使用“高级设置控制面板,你可以对每一个网络类型的配置文件进行设置.

  对配置文件,你可以进行如下设置:

  * 开启/关闭防火墙

  * (拦截、拦截全部连接或是允许)入站连接

  * (允许或拦截)出部连接

  * (在有程序被拦截后是否通知你)通知显示

  * 允许单播对多播或广播响应

  * 除组策略防火墙规则以外允许本地管理员创建并应用本地防火墙规则

  关于用netsh.exe配置系统防火墙

  (1).查看、开启或禁用系统防火墙

  打开命令提示符输入输入命令“netsh firewallshow state然后回车可查看防火墙的状态,从显示结果中可看到防火墙各功能模块的禁用及启用情况。命令“netsh firewall set opmode disable用来禁用系统防火墙,相反命令“netsh firewall set opmode enable可启用防火墙。

  (2).允许文件和打印共享

  文件和打印共享在局域网中常用的,如果要允许客户端访问本机的共享文件或者打印机,可分别输入并执行如下命令:

  netsh firewall add portopening UDP 137 Netbios-ns

  (允许客户端访问服务器UDP协议的137端口)

  netsh firewall add portopening UDP 138 Netbios-dgm

  (允许访问UDP协议的138端口)

  netsh firewall add portopening TCP 139 Netbios-ssn

  (允许访问TCP协议的139端口)

  netsh firewall add portopening TCP 445 Netbios-ds

  (允许访问TCP协议的445端口)

  命令执行完毕后,文件及打印共享所须的端口都被防火墙放行了。

  (3).允许ICMP回显

  默认情况下,Windows 7出于安全考虑是不允许外部主机对其进行Ping测试的。但在一个安全的局域网环境中,Ping测试又是管理员进行网络测试所必须的,如何允许 Windows 7的ping测试回显呢?

  当然,通过系统防火墙控制台可在“入站规则中将“文件和打印共享(回显请求– ICMPv4-In)规则设置为允许即可(如果网络使用了 IPv6,则同时要允许 ICMPv6-In 的规则。)。不过,我们在命令行下通过netsh命令可快速实现。执行命令“netsh firewall set icmpsetting 8可开启ICMP回显,反之执行“netsh firewall set icmpsetting 8 disable可关闭回显。

【Win Vista的防火墙使用技巧10点】相关文章:

win2003防火墙设置11-21

win10怎么关闭防火墙09-02

win7防火墙规则设置10-19

win10怎样设置防火墙11-07

win10系统防火墙怎么关闭04-06

防火墙在哪里设置win1008-19

最新关于Win8动态磁贴使用技巧介绍04-02

win7电脑防火墙在哪里设置08-19

Win10防火墙无法启动的解决方法04-14