Windows XP系統 SP2防火墻概述

Windows 防火牆是在 Windows XP Service Pack 2 中取代原來的 Internet Connection Firewall 的更新版本。預設狀態下防火牆在所有的網卡介面均為開啟狀態. 無論是Windows XP全新安裝還是升級安裝，這個選項都可以在預設的情況下給網路連接提供更多的保護。但是，如果某些應用程式不能在這個防火牆過濾狀態下工作的話，他們將無法相容於這個新的作業系統。

更新

使用者介面和新特性

要配置 Windows 防火牆, 可以從資訊安全中心中開啟，資訊安全中心位於控制台，當然也可以直接從控制台中開啟Windows 防火牆控制台，還有第3個選擇，可以從網路連接的進階選項卡中進入防火牆控制台。在主選項卡中有3個選項：

啟用 (推薦)

不允許例外

關閉 (不推薦)

當你選擇了不允許例外，Windows 防火牆將攔截所有的串連你的電腦的網路請求, 包括在例外選項卡中列表的應用程式和系統服務。另外，防火牆也將攔截檔案和印表機共用，還有網路裝置的偵測。使用不允許例外選項的windows 防火牆比較適用於串連在公用網路上個人電腦，比如在賓館和機場公用使用的電腦。即使你使用了不允許例外選項的windows 防火牆，你仍然可以瀏覽網頁，發送接受電子郵件，或者使用即使通訊軟體。

例外選項卡中允許添加阻止規則例外的程式和連接埠來允許特定的進站通訊。對於每一個例外項，你都可以相應的設定一個範圍。對於家用和小型辦公室應用網路，推薦設定範圍為可能的本網。當然，你也可以手工設定範圍中IP的範圍。這樣，只有來自特定的IP位址範圍的網路請求才能被接受。

在例外選項卡中還有一個添加程式的按鈕。如果你希望網路中（防火牆外）的其他用戶端能夠訪問你本地的某個特定的程式或服務，而你又不知道這個程式或服務將使用哪一個連接埠和哪一類型連接埠，這種情況下你可以將這個程式或者服務添加到Windows 防火牆的例外項中以保證它能被外部存取。

在進階選項卡中可以配置以下設定：

應用在每個網路介面上的串連特定規則

安全紀錄配置

全域ICMP規則，通過Internet控制訊息協議(ICMP)允許網路上的電腦共用和傳遞錯誤和狀態資訊。

預設設定，可以將所有Windows防火牆設定還原為預設狀態

我們可以針對不同的網路連接配置不同的規則。將例外選項中的設定與進階選項中網路連接的附加設定組合後稱之為Windows防火牆"合成設定(resultant set)"。

組策略配置

通過使用Windows防火牆，管理員可以使其對小型網路的公用串連或串連在internet上的單獨電腦進行必要的保護。他們通過在網路中部署Windows防火牆的適當的配置設定，並啟動它來對網路提供安全保護。Windows防火牆組策略配置可以通過組策略控制台的以下位置找到:

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Standard profile

在Windows XP SP2中，Windows防火牆預設設定為阻止所有連接埠，這也意味著伺服器到客戶機的應用將無法到達用戶端。這種情況下可以通過在組策略中設定IPSEC來驗證並信任伺服器端應用發送到用戶端的請求。"Windows 防火牆: 允許通過驗證的IPSEC旁路"的組策略設定允許你指定是否啟用Windows防火牆的IPSEC驗證來允許來自指定系統的主動傳入訊息。

命令列工具

Windows防火牆的配置和狀態資訊可以通過命令列 Netsh.exe 獲得。我們可以使用 netsh firewall 命令來擷取防火牆資訊和修改防火牆設定。

Commands in this context: ------------------------------------------------------- ? - Displays a list of commands. add - Adds firewall configuration. delete - Deletes firewall configuration. dump - Displays a configuration script. help - Displays a list of commands. reset - Resets firewall configuration to default. set - Sets firewall configuration. show - Shows firewall configuration.

安全警告

在Windows XP SP2中，當使用者在本地運行一個應用程式並將作為Internet伺服器提供服務時，Windows防火牆將彈出一個新的安全警告對話方塊（如）。你可以使用對話方塊中的選項將此應用程式或服務添加到Windows防火牆的例外項中。Windows防火牆的例外項配置可以允許特定的進站串連。如果使用這種方法後程式無法正常運行，你可以通過下列分析步驟將問題隔離出來:

添加程式到例外項中

添加連接埠到例外項中

使用防火牆安全紀錄

禁止防火牆(不推薦)