文章內(nèi)容

win7防火墻設(shè)置的問題

發(fā)布時(shí)間: 2012/9/6 18:13:53

控制面板-〉系統(tǒng)和安全-〉Windows防火墻-〉高級(jí)設(shè)置

比如想讓其他機(jī)器能訪問1521端口，則可在入站規(guī)則里新建一條規(guī)則。

點(diǎn)選入站規(guī)則-〉右鍵-〉新建規(guī)則-〉規(guī)則類型（端口）-〉TCP or UDP，開放端口，后面的按向?qū)崾咎罹涂梢粤恕?nbsp;

注意最后可給該規(guī)則起一個(gè)名字，便于以后查找，如起名：放行1521。

配置完后，可找到規(guī)則為綠色生效，然后就可以再用其他機(jī)器來訪問測(cè)試了。

列舉一些防火墻配置問題以供參考：

win7在安全性上比windows XP有了很大的提高，我們現(xiàn)在來看一看win7在防火墻方面的一些設(shè)計(jì)。
關(guān)于win7的防火墻。

在設(shè)置win7的防火墻時(shí)，需要注意這樣一些問題。

1，首先要關(guān)閉win7的自動(dòng)還原功能。win7的自動(dòng)還原稱為智能還原，當(dāng)初設(shè)置防火墻的時(shí)候讓我
   很是郁悶，不知哪出了問題。因?yàn)橐辉O(shè)置好之后重啟的時(shí)候它就還原了。搞得我以為中了木馬，
   還因此卸載了360相關(guān)軟件。關(guān)閉自動(dòng)還原的操作如下：?jiǎn)螕糸_始---控制面板---系統(tǒng)---系統(tǒng)保護(hù)
   選本地磁盤(C:)(系統(tǒng))--關(guān)閉之。其中可能出現(xiàn)UAC，需要你輸入管理員口令。

2，點(diǎn)開始---在搜索程序和文件框中輸入cmd，在上面會(huì)顯示出cmd.exe這個(gè)程序，右鍵單擊--以管理員
   身分運(yùn)行，如果你已經(jīng)是管理員了，UAC只提示你是或否而以，如果不是管理員，你需要輸入管理員
   口令�，F(xiàn)在處于命令行下了。運(yùn)行secpol.msc,打開本地安全策略對(duì)話框。注意win7與win xp的區(qū)別
   在win xp中，管理員帳戶必然有管理員權(quán)限，它們是一致的。但在win7，雖然是管理員帳戶，但仍
   以普通帳戶身分運(yùn)行程序。從cmd中也可看出來，如果是管理員，上面會(huì)顯示管理員，如果是一般身
   分，則不會(huì)顯示。不過如果你以administrator帳號(hào)運(yùn)行程序，你就是以管理員權(quán)限運(yùn)行的。這是
administrator與其他管理員帳號(hào)的區(qū)別。在win7中administrator默認(rèn)是禁用的。

3，導(dǎo)航到高級(jí)安全Windows防火墻。右鍵單擊高級(jí)安全Windows防火墻-本地組策略對(duì)象-點(diǎn)屬性，打開
   屬性對(duì)話框。對(duì)于家庭用戶而言，一般把域，專用，公用設(shè)置為一致，實(shí)際上你如果只使用公用網(wǎng)
   絡(luò)，你只需設(shè)置公用配置文件選項(xiàng)卡。不過為簡(jiǎn)單，我們把它設(shè)為一致。防火墻狀態(tài)：?jiǎn)⒂茫ㄍ扑]）；
   入站連接：阻止所有連接；出站連接：阻止。我們沒有選默認(rèn)設(shè)置，默認(rèn)的安全性低于我們的設(shè)置。
   對(duì)于家庭用戶，如果你選了入站連接：阻止所有連接，那么你的電腦不可能作成服務(wù)器了，會(huì)阻止
emule,kugoo,等許多軟件的功能，如果你不想那么嚴(yán)格，比如你還想用遠(yuǎn)程桌面，就設(shè)為入站連接：
   阻止（默認(rèn)）吧。出站連接我們不使用默認(rèn)，使用阻止。
     我們對(duì)這兩項(xiàng)進(jìn)行簡(jiǎn)單的介紹。
      入站連接如果設(shè)為默認(rèn)值，那么符合規(guī)則的入站連接是允許的，如果設(shè)為阻止所有連接，那么任
   何入站連接都是禁止的，那怕它符合規(guī)則也是不能連接到本機(jī)的。所以在這種性況下，遠(yuǎn)程桌面不能
   使用。
      出站連接如果設(shè)為允許（默認(rèn)），則任何程序都可以訪問互連網(wǎng)，這是我們不希望的，我們只希望
   我們?cè)试S的程序訪問互聯(lián)網(wǎng)。
      設(shè)好之后點(diǎn)確定。如果不出意外，則任何程序此時(shí)都不能訪問互聯(lián)網(wǎng)了。(如果IE能，說明它已經(jīng)加
   入到規(guī)則中了。我們后面也就不需要加IE訪問的規(guī)則了。）

4，點(diǎn)入站規(guī)則和出站規(guī)則可以看到，下面是空的。因?yàn)槲覀冞€沒有允許程序訪問網(wǎng)絡(luò)。入站規(guī)則我們不
   需要設(shè)置，因?yàn)榍懊嫖覀円呀?jīng)阻止了所有連接，設(shè)了也是無用。
   出站規(guī)則是我們需要設(shè)置的，否則我們?cè)趺瓷暇W(wǎng)？右鍵點(diǎn)出站規(guī)則--新建規(guī)則--出現(xiàn)一對(duì)話框，選程序
   下一步在此程序路徑中輸入system,下一步，其后依次設(shè)為允許連接，名稱中輸入“允許system訪問
   網(wǎng)絡(luò)”,完成。在右邊的規(guī)則框中可以修改我們建立的這條規(guī)則。對(duì)于system我們不需要修改。注意如果你在上網(wǎng)的時(shí)候
   把你的網(wǎng)絡(luò)設(shè)成了專用網(wǎng)絡(luò)，你需要在專用前打勾而不是公用。這條規(guī)則配置好之后，其余的就類同了。
我們需要建三條規(guī)則，才能為上網(wǎng)打好基礎(chǔ)。另外兩條規(guī)則如下：
(1) 名稱：允許DNS；程序和服務(wù)-此程序：%SystemRoot%\System32\svchost.exe；協(xié)議和端口-協(xié)議類型：UDP
本地端口：1024-65535，遠(yuǎn)程端口：53 ；高級(jí)：公用。
(2) 名稱：允許回顯；程序和服務(wù)：所有符合指定條件的程序；協(xié)議和端口-協(xié)議類型：ICMPv4；高級(jí)：公用。
加上前面那條允許system訪問網(wǎng)絡(luò)，共三條。好，這一階段完成。

5,點(diǎn)控制面板--windows防火墻--windows高級(jí)設(shè)置,出現(xiàn)UAC控制對(duì)話框，要求你確認(rèn)是否繼續(xù)，如不是管理員
   要求你輸入管理員口令。打開本地計(jì)算機(jī)上的高級(jí)windows安全防火墻，下面的入站連接，出站連接，與我們
   在組策略下的一樣，設(shè)置也完全一樣。其中有三條規(guī)則是我們?cè)谇懊嬖O(shè)過的了，在此是不能更改的。組
   策略的設(shè)置高于這里的設(shè)置。我們把這里的規(guī)則導(dǎo)出保存在一個(gè)文件中以備以后恢復(fù)用，如果你都懂了，根本就
   不需要恢復(fù)了，這里只是以防萬一你弄錯(cuò)了好還原。然后把能刪除的都刪了(也可把能禁的都禁了，就不需要
   導(dǎo)出了）。當(dāng)然我們前面設(shè)的三條是刪不了的。點(diǎn)出站規(guī)則，新建一條規(guī)則，如下
   名稱：“允許IE訪問互聯(lián)網(wǎng)”；程序和服務(wù)：%ProgramFiles%\Internet Explorer\iexplore.exe；協(xié)議和端口--協(xié)議類型：TCP，本地端口：1024-65535，遠(yuǎn)程端口：80；高級(jí)：公用。
   此時(shí)打開IE，可以看到，可以上網(wǎng)了。
其他的設(shè)置類似，如此，只有經(jīng)過我們?cè)试S的程序才能訪問網(wǎng)絡(luò)。
QQ的設(shè)置：
   名稱：允許QQ訪問互聯(lián)網(wǎng)；協(xié)議和端口--協(xié)議類型：UDP，遠(yuǎn)程端口：8000，高級(jí)：公用。
   你如果對(duì)QQ作了如上設(shè)置，就需在QQ的登陸界面指定QQ的登陸端口號(hào)。如果你沒有指定遠(yuǎn)程端口號(hào)，就不必。
   如果你不能確定某程序所用的端口號(hào)，就用任意。用了端口號(hào)之后就限制得更嚴(yán)格些了。
從我們前面的設(shè)置中可以看出，只有system是開放的。還有svchost.exe所用的端口是開放的，并且它只
能和遠(yuǎn)程的53號(hào)端口通信，本質(zhì)上是關(guān)閉的。因?yàn)槟抉R是不可能與遠(yuǎn)程的53號(hào)端口通信的。
   在組策略的設(shè)置中，我不能確信是否必須開放system 。我最初試的時(shí)候，如果不開放，好象不能上網(wǎng)樣。
   而現(xiàn)在我不用這條規(guī)則它又能上一樣。其余兩項(xiàng)是必須開放的。否則上不了網(wǎng)。