windows防火墙

Windows7防火墙设置详解(一)

文介绍Windows7防火墙的设置方法，自从Vista开始，Windows的

防火墙功能已经是越加臻于完善、今非昔比了，系统防火墙已经成为系

统的一个不可或缺的部分，不再像XP那样防护功能简单、配置单一，所

以无论是安装哪个第三方防火墙，Windows7自带的系统防火墙都不应该

被关闭掉，反而应该学着使用和熟悉它，对我们的系统信息保护将会大

有裨益。

防火墙有软件的也有硬件德，当然了，其实硬件仍然是按照软件的逻

辑进行工作的，所以也并非所有的硬防就一定比软防好，防火墙的作用

是用来检查网络或Internet的交互信息，并根据一定的规则设置阻止或

许可这些信息包通过，从而实现保护计算机的目的，下面这张图是

Windows7帮助里截出来的工作原理图：

Windows7防火墙的常规设置方法还算比较简单，依次打开“计算机”

——“控制面板”——“Windows防火墙”，如下图所示：

上图中，天缘启用的是工作网络，家庭网络和工作网络同属于私有网

络，或者叫专用网络，图下面还有个公用网络，实际上Windows7已经

支持对不同网络类型进行独立配置，而不会互相影响，这是windows7

的一个改进点。图2中除了右侧是两个帮助连接，全部设置都在左侧，

如果需要设置网络连接，可以点击左侧下面的网络和共享中心，具体设

置方法，可以参考《Windows7的ADSL网络连接和拨号连接设置方法》

和《Windows7的网络连接和共享设置教程》两篇文章，另外如果对家庭

网络、工作网络和公用网络有疑问也可参考一下。

下面来看一下Windows7防火墙的几个常规设置方法：

一、打开和关闭Windows防火墙

点击图2左侧的打开和关闭Windows防火墙（另外点击更改通知设置

也会到这个界面），如下图：

从上图可以看出，私有网络和公用网络的配置是完全分开的，在启用

Windows防火墙里还有两个选项：

1、“阻止所有传入连接，包括位于允许程序列表中的程序”，这个

默认即可，否则可能会影响允许程序列表里的一些程序使用。

2、“Windows防火墙阻止新程序时通知我”这一项对于个人日常使

用肯定需要选中的，方便自己随时作出判断响应。

如果需要关闭，只需要选择对应网络类型里的“关闭Windows防火墙

（不推荐）”这一项，然后点击确定即可。

二、还原默认设置

如果自己的防火墙配置的有点混乱，可以使用图2左侧的“还原默认

设置”一项，还原时，Windows7会删除所有的网络防火墙配置项目，恢

复到初始状态，比如，如果关闭了防火墙则会自动开启，如果设置了允

许程序列表，则会全部删除掉添加的规则。

三、允许程序规则配置

点击图2中上侧的“允许程序或功能通过Windows防火墙”，如下图：

大家看到这个配置图会很熟悉，就是设置允许程序列表或基本服务，

跟早期的WindowsXP很类似，不过还是有些功能变化：

1、常规配置没有端口配置，所以也不再需要手动指定端口TCP、UDP

协议了，因为对于很多用户根本不知道这两个东西是什么，这些配置都

已转到高级配置里，对于普通用户一般只是用到增加应用程序许可规则。

2、应用程序的许可规则可以区分网络类型，并支持独立配置，互不

影响，这对于双网卡的用户就很有作用。

不过，我们在第一次设置时可能需要点一下右侧的更改设置按钮后才

可操作（要管理员权限）。比如，上文选择了，允许文件和打印机共享，

并且只对家庭或工作网络有效（见图右侧）。如果需要了解某个功能的

具体内容，可以在点选该项之后，点击下面的详细信息即可查看。

如果是添加自己的应用程序许可规则，可以通过下面的“允许允许另

一程序”按钮进行添加，方法跟早期防火墙设置类似，点击后如下图：

选择将要添加的程序名称（如果列表里没有就点击“浏览”按钮找到

该应用程序，再点击”打开“），下面的网络位置类型还是私有网络和

公用网络两个选项，不用管，我们可以回到上一界面再设置修改，添加

后如下图：

添加后如果需要删除（比如原程序已经卸载了等），则只需要在上

图中点选对应的程序项，再点击下面的“删除”按钮即可，当然系统的

服务项目是无法删除的，只能禁用。

另外如果还想对增加的允许规则进行详细定制，比如端口、协议、安

全连接及作用域等等，则需要到高级设置这个大仓库里看看了，下一篇：

Windows7防火墙设置详解(二)

Windows7防火墙设置详解(二)

本文介绍Windows7防火墙的高级设置方法，主要介绍高级安全

Windows防火墙的属性配置方法和MMC树状导航功能，天缘先把基础的

设置内容写完，由于Windows7的高级设置内容有点多，其中也有一些

设置会经常用到，大部分知识点及名词都比较专业，对于从事过网络工

程工作的网友可能都是小问题，但对于大部分网友来说，第一次看到这

些名词都会有点头晕，但是不过都没问题，共同学习才是天缘博客的目

标

一、高级安全Windows防火墙MMC

依次点击“计算机”——“控制面板”——“Windows防火墙”，点

击控制界面左侧的“高级设置”，即可看到如下界面，几乎所有的防火

墙设置都可以在这个高级设置里完成，而且Windows7防火墙的的诸多

优秀特性也可以在这里展现出来。

从简单到复杂的过一下，右侧的操作栏目：

1、导入和导出策略

导入和导出策略是用来通过策略文件（*.wfw）进行配置保存或共享

部署之用，导出功能既可以作为当前设置的备份也可以共享给其它计算

机进行批量部署之用。

2、还原默认策略

还原默认策略功能跟前一篇《Windows7防火墙设置详解(一)》文章

中的恢复防火墙默认设置类似，还原默认策略将会重置自动安装Windows

之后对Windows防火墙所做的所有更改，还原后有可能会导致某些程序

停止运行。

3、诊断/修复

诊断和修复功能是用来诊断和修复Internet连接用的，和本文关系

不大，网络设置可以参考《Windows7的ADSL网络连接和拨号连接设置

方法》和《Windows7的网络连接和共享设置教程》两篇文章。

二、高级安全Windows防火墙属性设置

右侧最下面的“属性”是显示高级安全设置防火墙属性（点击上图中

间的“Windows防火墙属性”也可以，只是显示的标题有点差异），如下

图：

防火墙属性设置里，总体分成四大块，这个四种配置类型都是独立配

置独立生效的。

域配置文件

域配置文件主要是面向企业域连接使用，普通用户也可以把它关闭

掉。

专用配置文件

专用配置文件是面向家庭网络和工作网络配置使用，大家最常使用。

公用配置文件

公用配置文件是面向公用网络配置使用，如果在酒店、机场等公共场

合时可能需要使用。

IPSec设置

IPSec设置是面向VPN等需要进行安全连接时使用，关于IPSec知识，

可以参考/zh-cn/IPc。

上述四种设置中前三种配置方法几乎完全相同，所以下文只以专用配

置文件和IPSec设置为例进行介绍：

1、专用配置文件

A、防火墙的状态，有启用（推荐）和关闭两个选项，可以在这里进

行设置，当前上一篇的常规配置里也可以完成防火墙的开启和关闭，效

果相同。

B、入站连接，有阻止（默认值）、阻止所有连接和允许三个，似乎

除了实验用机，都不能选择最后的允许一项，来者不拒会带来很大麻烦。

C、出站连接，有阻止和允许（默认值）两个选项，对于个人计算机

还是需要访问网络的就选择默认值即可。

在指定控制Windows防火墙行为的设置，如下图：

第一个设置可以使Windows防火墙在某个程序被阻止接收入站连接

时通知用户，注意这里只对没有设置阻止或允许规格的程序才有效，如

果已经设置了阻止，则Windows防火墙不会发出通知。下面的设置意思

是许可对多播或广播网络流量的单播响应，所指的多播或广播都是本机

发出的，接收客户机进行单播响应，默认设置即可。

2、IPSec设置

IPSec设置界面如下图：

A、IPSec默认值

可以配置IPSec用来帮助保护网络流量的密钥交换、数据保护和身份

验证方法。单击“自定义”可以显示“自定义IPc设置”对话框。当

具有活动安全规格时，IPSec将使用该项设置规则建立安全连接，如果没

有对密钥交换（主模式）、数据保护（快速模式）和身份验证方法进行

指定，则建立连接时将会使用组策略对象（GPO）中优先级较高的任意设

置，顺序如下，最高优先级组策略对象（GPO）——本地定义的策略设置

——IPSec设置的默认值（比如身份验证算法默认是KerberosV5等，更

多默认可以直接点击下面窗口的“什么是默认值”帮助文件）。

B、IPSec免除

此选项设置确定包含Internet控制消息协议(ICMP)消息的流量包

是否受到IPc保护，ICMP通常由网络疑难解答工具和过程使用。注意，

此设置仅从高级安全Windows防火墙的IPc部分免除ICMP，若要确

保允许ICMP数据包通过Windows防火墙，还必须创建并启用入站规则

（入站规则的设置方法参见下文），另外，如果在“网络和共享中心”

中启用了文件和打印机共享，则高级安全Windows防火墙会自动启用允

许常用ICMP数据包类型的防火墙规则。可能也会启用与ICMP不相关的

网络功能，如果只希望启用ICMP，则在Windows防火墙中创建并启用

规则，以允许入站ICMP网络数据包。

C、IPSec隧道授权

只在以下情况下使用此选项，具有创建从远程计算机到本地计算机的

IPc隧道模式连接的连接安全规则，并希望指定用户和计算机，以允

许或拒绝其通过隧道访问本地计算机。选择“高级”，然后单击“自定

义”可以显示“自定义IPc隧道授权”对话框，可以为需要授权的计

算机或用户进行隧道规则授权。

三、高级安全Windows防火墙导航树

下面再来看一下左侧的控制树，大部分都是防火墙规则设置功能，可

以创建防火墙规则以便阻止或允许此计算机向程序、系统服务、计算机

或用户发送流量，或是接收来自这些对象的流量，规则标准只有三个：

允许、条件允许和阻止，条件允许是指只允许使用IPSec保护下的连接

通过。

入站规则

可以为入站通信或。可配置规则以指定计算机或用户、程序、

服务或者端口和协议。可以指定要应用规则的网络适配器类

型：局域网(LAN)、无线、远程访问，例如虚拟专用网络(VPN)

连接或者所有类型。还可以将规则配置为使用任意配置文件

或仅使用指定配置文件时应用。

出站规则为出站通信创建或修改规则，功能同入站规则。

连接安全规则

使用新建连接安全规则向导，创建Internet协议安全性

（IPSec）规则，以实现不同的网络安全目标，向导中已经预

定义了四种不同的规则类型（隔离、免除身份验证、服务器

到服务器和隧道），当然也创建自定义的规则，为了便于管理，

请在创建连接规则时指定一个容易识别和记忆的名称，方便

在命令行中管理。

监视

监视计算机上的活动防火墙规则和连接安全规则，但IPSec

策略除外。

防火墙

仅显示活动的防火墙规则，可以通过右键点击选项卡选择

属性，查看每个选项卡的常规、程序和端口和高级特性。

连接安全规则

显示当前活动的连接安全规则，属性查看可以通过鼠标右

键选择属性或点击右侧的工具栏的属性进行查看。

安全关联下的主

模式

主模式协商是通过确定一个加密保护套件集、交换密钥材

料建立共享密钥以及验证计算机和用户身份，最终在两台计

算机之间建立一个安全的通道。监视主模式SA可以查看哪些

对等计算机连接到本机，以及该SA正在使用的保护套件。

安全关联下的快

速模式

快速模式协商在两台计算机之间建立安全通道，以保护在

两台计算机之间交换的数据。一对计算机之间只有一个主模

式SA，但可以有多个快速模式SA，监视快速模式SA可以查

看当前哪些对等计算机连接到本机，哪些保护套件在保护正

在交换的数据。可以通过双击列表项目查看快速SA信息，

以上列表简述了高级安全Windows防火MMC管理单元的控制台导航

配置大概情况，具体配置方法，请参考下一篇文章。

Windows7防火墙设置详解(三)

通过上篇文章我们知道，高级安全Windows防火墙主要涉及三个部分

规则定制，分别是入站规则、出站规则和连接安全规则，本文就重点介

绍这三种规则的使用方法，对于监视管理一项，由于都是显示上述三项

规则的启用和运行情况，大家看了就会明白，本文不再介绍。至此关于

Windows7防火墙介绍暂时告一段落，各位客官如有任何问题或错误指正

随时可以一起交流

一、如何禁用或启用规则

方法：只需要在需要禁用或启动的规则上，鼠标右键选择启用或禁止

规则即可，或点击右侧的操作栏进行规则启用或禁止。

二、入站规则和出站规则

由于入站和出站管理方法基本相同，所以把它们放到一起介绍，我们

在Windows防火墙的“允许程序或功能通过Windows防火墙”中每增加

或减少一个设置项，都会反应到入站或出站规则中来，这些规则从整体

上看可以分成两个部分，一是用户规则，比如我们手动增加的允许程序

规则就属于用户规则，还有一些系统预定义规则，预定义规则大部分都

是系统已经预先设置好的，而且很多设置都是不允许修改的，我们点击

上一篇增加的WinRAR程序允许规则（鼠标右键选择属性或直接左键双

击）。

上图的属性设置可以看出手动增加的程序规则几乎都可以完全定制，

而系统的预定义规则中的“程序和服务”与“协议和端口”两个部分几

乎都不可以修改，系统规则也会明确黄色头标注明，大部分系统规则，

我们只需要启用或禁止即可。

我们在允许程序或服务管理中，每增加一条程序或启用一个服务，我

们可以在高级安全管理界面里看到可能会N条规则，规则记录数的多少

是跟程序或服务实际使用的协议数有关系，比如上文增加的WINRAR记录

如果只选择专用网络，则会默认增加适合专网TCP、UDP两条规则记录，

当然这些规则全部都可以在属性界面修改掉。

下表列出了上图中几个选项卡的具体设置情况，因为相关抓图太多

了，无法一一展示出来，只能用文字粗略描述一下，另外如果遇到不懂

的地方，可以随时在界面中查看帮助文件，防火墙帮助文件非常完善：

常规

该部分包含规则的标识信息，可以启动或禁用规则，名称最好唯一方

便netsh管理，操作部分只有三个选项，允许、允许安全、阻止。如

果要使用仅允许安全的连接选项，则IPSec设置必须在单独的连接安

全规则中定义。

程序

和服务

程序部分包含如何匹配来自程序的网络数据包信息，两个选择

一个是符合指定条件的所有程序（条件就是指其它选项卡设置的条

件），还有一个就是指定程序，常规增加的规则都是指定程序。用户

程序一般都会标示完整的路径，而系统程序则可能只显示system。

服务是用来匹配来来自计算机上所有程序和服务、仅服务或指定

服务的数据包。设置中有四个选项，一级比一级严格，最后一个应用

于具有下列服务短名称的服务一项属于筛选作用。

计算

机

该部分可以指定允许或阻止执行该规则的连接的计算机或组帐户。

协议

和端口

协议就是指网络流量筛选的协议。

作用

域

本地IP地址由本地计算机用于确定规则是否适用。规则仅适

用于通过配置为使用一个石碇本地IP地址的网络适配器匹配规则。

远程IP地址则指定应用规则的远程IP地址，如果目标IP地址

是列表中的地址之一，则网络流量匹配规则。

高级

高级部分可以修改应用此防火墙规则的配置文件和接口类型。

配置文件的适用连接范围，Windows7可以根据网络适配器的网

络位置应用相应的配置文件，支持三种配置文件（域、专用和公用）。

接口类型是指定应用连接安全规则的接口类型，支持所有、局域

网、远程和无线的任意组合。

边缘遍历可以允许计算机接受未经请求的入站数据包，这些数据

包已通过边缘设备（NAT路由器或防火墙）。

用户用户部分可以用来设置指定哪些用户或用户组可以连接到计算机。

三、连接安全规则

连接安全包括在两台计算机开始通信之前对他们进行身份验证，并确

保在两台计算机之间发送的信息的安全性。高级安全Windows防火墙使

用IPc实现连接安全，方式是通过使用密钥、身份验证、数据完整性

和数据加密等措施。要创建一个安全规则只需要点击连接安全规则，然

后在中间的窗口中鼠标右键，选择新建规则，如下图：

选择后，会弹出新建“新建连接安全规则向导”，如下图：

上面的设置内容也是太多了，为了方便对比和参考，天缘把全部的设

置项目及其包含关系列到下表中，实际上这些配置都是独立的，天缘只

是有意的把它们放到一起方便理解而已：

隔离

免除

身份

验证

服务

器到

服务

器

隧道

自定

义

备注

免除计算

机

-Y---

配置不要求身份验证的远程计算

机，可以根据IP地址、地址范围或

计算机集指定

终结点--Y-Y

指定只在终结点1到终结点2之间

创建安全连接，可以适用任何IP或

指定IP地址。

隧道类型---Y-

隧道类型支持自定义配置、客户端

到网关、网关到客户端三种类型隧

道。

要求Y-YYY

分三种验证方式：入站和出站请求

验证、入站要求验证出站请求验证、

入站和出站要求验证。其中“隧道”

连接安全规则类型支持身份验证的

时间有细微差异。

隧道终结

点

---Y-

隧道终结点（拓扑结构参下面附图）

可以为IPc隧道规则配置终结点

选项，隧道终结点一般是网关服务

器，终结点1和终结点2都是隧道

本地端的计算机集合，配置时可以

使用IP地址、IP子网地址、IP地

址范围或预定义的计算机集。

身份验证

方法

Y-YYY

“服务器和服务器”和“隧道”

两个连接安全规则类型的身份证连

接方法只有两种，分别是计算机证

书和高级自定义第一和第二身份验

证设置。其余的身份验证方法都支

持四种：默认使用IPc设置方法、

计算机和用户、计算机、高级自定

义第一和第二身份验证方法。

协议和端

口

----Y

协议和端口是用来指定网路哦数据

包中指定的哪个协议和哪些端口匹

配该连接的安全规则。仅网络流量

匹配此页上的条件，“终结点”页

匹配该规则，且服从其身份验证要

求。

配置文件YYYYY

指定该规则的使用范围，上文已经

提到的域、专用或公用三个选项。

名称YYYYY

为该规则起一个容易记忆和管理名

字，如果需要也可以加入描述方便

理解。

附隧道终结点连接关系拓扑图：

最后，连接规则创建完成后，就可以在连接安全规则中进行统一启动

或禁止及修改管理，如下图：