Windows 7系統防火墻穿越有方

與傳統操作系統相比，Windows 7系統功能更加強大、安全更有保障了，不過許多普通用戶與之接觸后，共享打印失敗、無法上網現象反而比傳統操作系統環境下出現得更加頻繁了，這是怎么回事呢？長期以來，很多人都認為W i n d o w s系統內置防火墻功能有限、操作簡單，那么Windows 7系統自帶防火墻與以前相比又有什么與眾不同，讓用戶頻繁遭遇如此多的網絡訪問麻煩呢？面對Windows 7系統自帶防火墻越來越嚴格的限制，用戶又該怎樣高效穿越它呢？

系統防火墻的玄機之處

從Windows XP系統時代開始，微軟公司就已經在Windows系統中集成了防火墻功能，可是這項安全防范功能作用十分有限，僅僅只能為普通用戶提供單向的安全保護，而無法提供雙向安全保護，而且啟用方式單一，用戶只能從系統控制面板中啟用防火墻功能。而在Windows 7系統中，Windows系統防火墻功能有了很大的進步，除了新增加了高級設置功能外，還支持雙向網絡數據包過濾功能，甚至用戶能根據不同的網絡環境，自動選擇切換安全規則等，這些與眾不同之處，終于讓Windows 7系統防火墻具有了專業安全工具的風采，巧妙利用這些功能，可以讓其及時預防流行病毒與惡意程序對本地系統或網絡的攻擊，增強了Windows系統自我安全防護能力，為本地系統或網絡的安全防護又多了一項選擇。

在Windows 7系統防火墻中，微軟公司特意為網絡管理員級別的用戶開發設計了更為強大的管理控制功能，讓這些專業選手們借助它能更為靈活地保障本地系統或網絡的安全。Windows 7系統防火墻打開方式很靈活，用戶既能像以往那樣直接從控制面板窗口中訪問系統防火墻的基本配置界面，又能在M M C控制臺中對防火墻的各項高級功能進行自由配置。進入高級Windows防火墻配置界面時，可以依次單擊“開始”|“運行”命令，彈出系統運行對話框，輸入“m m c”命令，單擊回車鍵后，切換到M M C控制臺窗口；依次單擊“文件”|“添加/刪除管理單元”命令，從“可用的管理單元列表”中選擇高級Windows防火墻選項，按下“添加”按鈕，這樣高級Windows防火墻會自動出現在“所選管理單元”列表中，單擊“確定”按鈕，返回到如圖1所示的高級防火墻管理界面。在該管理界面中，我們會看到左側列表區域中的“入站規則”、“出站規則”等功能選項，通過“入站規則”系統防火墻可以地對從外界到本地網絡數據包進行過濾保護，通過“出站規則”可以對從本地系統發送到外界的網絡數據包進行過濾保護，這樣Windows 7系統防火墻就具有雙向控制能力了。

雙向控制帶來的麻煩

盡管Windows 7系統防火墻看上去更加安全了，不過很多用戶還沒有來得及享受該防火墻充分防范來自外界非法攻擊的功能，就已經感覺到平時的網絡訪問好像變得更困難了，這些困難或許就是系統防火墻雙向控制能力惹的禍。在Windows 7系統中，上網應用程序或共享訪問操作不能訪問網絡時，應該首先想到是不是被系統防火墻暗中攔截了，而W i n d o w s 7系統防火墻最大的變化，就是變成了雙向攔截程序。比方說，在局域網工作環境中，如果用戶無法正常進行共享訪問操作，那需要檢查W i n d o w s 7系統防火墻有沒有對文件或打印機共享組件進行攔截。在進行檢查時，依次單擊“開始”|“控制面板”命令，切換到系統控制面板窗口，雙擊其中的“W i n d o w s防火墻”圖標，彈出系統防火墻基本配置界面；單擊該界面左側區域中的“允許程序或功能通過Windows防火墻”按鈕，打開如圖2所示的程序或功能列表界面，檢查其中的“文件和打印機共享”選項是否處于選中狀態，如果發現該選項沒有被選中時，那就意味著系統防火墻的確對共享訪問操作進行了攔截，此時可以重新選中該選項即可。

要是修改了防火墻配置后，仍舊不能正常進行共享訪問操作，可以嘗試臨時關閉系統防火墻，看看共享訪問操作是否真的與防火墻有關。在關閉Windows 7系統防火墻時，可以點擊基本配置界面中的“打開或關閉Windows防火墻”按鈕，彈出如圖3所示的設置頁面，選擇家庭網絡或公用網絡位置處的“關閉Windows防火墻”選項，并單擊“確定”按鈕保存設置操作即可。關閉了系統防火墻后，按理來說，共享訪問操作應該可以正常進行了，但是沒有防火墻的保護，本地系統的安全將會受到極大威脅，所以在確認防火墻引起共享訪問故障時，需要繼續追查其他配置是否正確。為提高排查效率，可以先嘗試將防火墻的配置恢復到默認數值，并按照之前的操作方法，讓防火墻允許“文件和打印機共享”組件正常通行，這樣多半就能解決共享訪問故障了。在恢復防火墻默認配置時，可以在其基本配置界面中，按下“還原默認設置”按鈕即可，之后重新嘗試共享訪問操作，此時系統防火墻會自動彈出提示，詢問用戶是否允許共享訪問操作訪問網絡，只要進行肯定回答，那么防火墻下次就能自動放行共享訪問操作了。不過，要提醒大家的是，有的網絡隱性故障是由于防火墻之間的沖突引起的，因此當將系統防火墻的配置恢復到默認狀態后，看到網絡故障仍然還無法解決時，不妨暫時關閉一下系統防火墻，再將對應系統重新啟動一下，說不定這樣一來網絡故障就能立即解除了。

當然，上述配置操作只能解決單向攔截問題，而Windows 7系統防火墻自從有了雙向控制功能后，它給我們帶來的訪問麻煩自然就比平時多了一倍。在Windows 7系統下，系統的安全防范等級明顯加強，它不僅會攔住外來的陌生訪問連接，還會攔截所有從本地系統出去的連接，只有位于允許訪問列表并被選中的應用程序下次訪問網絡時才不會受到攔截，而我們經常遇到的網絡訪問故障也多半是被Windows 7系統防火墻的雙向控制功能給攔截了。

實戰雙向控制攔截功能

Windows 7系統防火墻的雙向控制功能，主要是通過“入站規則”、“出站規則”等選項體現出來的，雙擊高級防火墻管理界面中的某個規則，打開對應規則設置頁面，并根據實際要求對其進行合適設置，讓其更加符合實際安全防范需要。例如，如果希望Windows 7系統防火墻攔截本地系統的139端口，以便禁止一些惡意程序通過該端口向局域網中的其他客戶機發送數據包時，可以按照如下步驟設置高級防火墻的出站規則：

首先依次單擊“開始”|“控制面板”命令，彈出系統控制面板窗口，雙擊“Windows防火墻”圖標，彈出系統防火墻基本配置界面，單擊該界面左側區域中的“高級設置”按鈕，打開本地計算機上的高級安全防火墻，選擇該界面左側顯示窗格中的“出站規則”選項，按下右側顯示窗格中的“新規則”按鈕，打開新規則創建向導對話框。

其次將規則類型選擇為“端口”選項，按“下一步”按鈕后，打開如圖4所示的設置對話框，依照實際情況在這里選擇合適的網絡協議，比方說選擇經常使用的“TCP”協議選項，同時選中“特定本地端口”選項，在對應文本框中輸入“139”，繼續單擊“下一步”按鈕。當向導對話框彈出提示，詢問連接符合條件時應該進行什么操作時，必須選中“阻止連接”選項，之后根據本地系統所處網絡位置情況，選擇當前規則發生作用的網絡環境。比方說，本地系統為筆記本電腦系統時，可能要頻繁連接到不同的網絡環境中，在單位辦公時要訪問局域網，在家庭上網時要訪問公網，那么此時就能同時選中這里的不同網絡環境，以確保防火墻在不同環境中發揮不同的作用。

接著繼續按“下一步”按鈕，依照向導提示為當前規則設置好合適的名稱，就能將當前安全規則添加到高級安全防火墻出站規則列表中了。完成上述設置任務后，Windows 7系統防火墻就會對本地系統的139端口實行禁出令，讓上網數據包不能通過該端口發送到局域網中。當然，要是一些惡意程序繞過本地系統的139端口而去非法攻擊局域網中某個遠程主機中的特定端口時，我們可以切換到防火墻出站規則列表中，用鼠標雙擊之前生成的出站規則，打開對應規則屬性對話框，點選“協議和端口”標簽，展開對應標簽設置頁面中的“遠程端口”下拉列表，從中選擇“特定端口”選項，再輸入需要禁止通信的端口號碼即可。如果希望臨時刪除或停用高級安全防火墻中的某個規則時，只要進入規則列表，選擇指定的規則選項，按下右側顯示區域中的“刪除”或“禁用規則”按鈕即可。

高效進行許可訪問配置

如果對局域網中每臺計算機、每個網絡程序的訪問權限進行單獨配置，顯然會十分麻煩，有鑒于此，Windows 7系統防火墻允許我們配置防火墻許可訪問范圍列表，對計算機中所有應用程序或局域網特定子網中的所有計算機上網權限進行快速控制。比方說，如果希望單位局域網中某臺計算機系統的所有應用程序都能訪問本地系統時，那就可以使用高級安全防火墻進行快速許可訪問配置。

在進行配置操作時，先打開高級安全防火墻管理窗口，選擇該界面左側顯示窗格中的“入站規則”選項，按下右側顯示窗格中的“新規則”按鈕，打開新規則創建向導對話框，選擇“自定義”選項，按“下一步”按鈕，當向導提示詢問用戶要將當前規則應用于所有程序還是特定程序時，應該選中“所有程序”選項，點擊“下一步”按鈕按鈕后，打開如圖5所示的選項設置對話框。將“協議類型”選擇為“任何”，將“本地端口”選擇為“所有端口”，將“遠程端口”也選擇為“所有端口”。

當我們看到此規則要應用于哪些本地和遠程I P地址的提示時，請在“此規則應用于哪些本地I P地址？”位置處選中“下列I P地址”選項，同時按下“添加”按鈕，導入本地計算機系統使用的I P地址，之后在“此規則應用于哪些遠程I P地址？”位置處，選中“下列I P地址”選項，并將局域網中指定計算機的I P地址添加進來，再單擊“下一步”按鈕，選中其后界面中的“允許連接”選項，確保局域網中指定計算機系統中的所有應用程序都能正常訪問本地系統。最后依照向導提示，分別設置好規則應用環境、入站規則的具體名稱，并單擊“完成”按鈕，結束高級安全防火墻的配置任務。

注重安全規則分級控制

在使用Windows 7系統訪問網絡時，經常會遭遇上網不穩定的故障現象，也許在家中上網沖浪的時候，網絡訪問一切正常，不過一回到單位進行網上辦公時，網絡訪問操作就問題多多，局域網中的同事既不能訪問自己的共享文件夾，自己可能也無法訪問局域網中的其他資源。類似這些上網不穩定故障，多半是系統防火墻的安全規則沒有注意分級控制引起的。例如，要是在家中共享訪問正常，而在單位中無法進行共享訪問時，可以按照如下步驟檢查防火墻的相關安全規則：

首先依次單擊“開始”|“控制面板”命令，彈出系統控制面板窗口，雙擊“W i n d o w s防火墻”圖標，彈出系統防火墻基本配置界面，單擊該界面左側區域中的“高級設置”按鈕，打開本地計算機上的高級安全防火墻，選擇該界面左側顯示窗格中的“入站規則”選項，從入站規則列表中找到“文件和打印機共享”選項，并用鼠標右鍵單擊該選項，執行右鍵菜單中的“屬性”命令，切換到對應規則屬性對話框。

接著選擇“高級”標簽，打開如圖6所示的標簽設置頁面，檢查這里的“公用”、“域”或“專用”選項是否處于選中狀態，如果其中某個選項沒有被選中時，那就容易出現共享訪問不穩定的現象。例如，選中“公用”選項，那么在家庭網絡中上網時就能正常，選中“域”選項時，可以讓Windows 7系統在單位局域網中正常上網，如果同時選擇所有選項，那么Windows 7系統防火墻就能在不同網絡中平滑切換，那么上網不穩定現象自然會消失了。

按照相同的辦法，打開出站規則列表界面，選擇“文件和打印機共享”選項，并用鼠標右鍵單擊該選項，執行右鍵菜單中的“屬性”命令，切換到對應規則屬性對話框，在高級標簽設置頁面中，正確選擇好“公用”、“域”或“專用”等選項，確保防火墻不會對任何網絡環境中的上網訪問進行攔截。

防止用戶繞過防火墻配置

在多人使用同一臺計算機的情形下，每位用戶都可以進入Windows 7系統防火墻配置窗口，自由改變安全規則，以達到繞過防火墻配置的目的，這樣防火墻就變成“雞肋”了，這樣一來本地系統的上網安全將會遭受極大的威脅。為此，在公共場合下，我們應該禁止用戶隨意進入系統防火墻配置界面，任意改變它的安全配置，降低防火墻的安全防范能力，下面就是具體的實施步驟：

首先打開系統“開始”菜單，選擇“運行”命令，在系統運行框中輸入“g p e d i t. m s c”命令，單擊回車鍵后，打開系統組策略編輯界面。在該編輯界面左側區域，找到“計算機配置”|“管理模板”|“網絡”|“網絡連接”|“W i n d o w s防火墻”|“標準配置文件”組策略目錄，雙擊該目錄下的“Windows防火墻：不允許例外”選項，彈出如圖7所示的選項設置框。

檢查這里的“Windows防火墻：不允許例外”選項當前是否處于已啟用狀態，一旦看到該選項還沒有被啟動選用的話，那我們應該立即重新選中“已啟用”選項，再按“確定”按鈕執行設置保存操作，這樣普通用戶就無法任意修改防火墻的安全配置了，那么系統防火墻的作用就能得到充分發揮了。

系統防火墻使用技巧

1. 禁止Ping本地系統

眾所周知，要是惡意用戶不斷向自己的計算機系統發送大容量的Ping測試包時，自己的計算機系統或許會被攻擊癱瘓。為了遠離惡意Ping現象，我們可以通過配置Windows 7系統的高級防火墻，來禁止自己的計算機系統對Ping測試包進行響應，下面就是具體的實施步驟：

首先打開系統“開始”菜單，選擇“控制面板”命令，雙擊系統控制面板中的“Windows防火墻”圖標，進入系統防火墻基本配置界面，按下左側區域中的“高級設置”按鈕，展開高級安全防火墻，點選“入站規則”選項，用鼠標右擊該規則選項，執行右鍵菜單中的“新規則”命令，打開新規則向導設置對話框，選中“自定義”選項。

其次選中“所有程序”選項，在如圖8所示的對話框中選擇“ICMPv4”，之后將“阻止連接”選項選中，再設置好規則名稱和規則適用的網絡環境，這樣Windows 7系統高級安全防火墻功能就能讓本地系統遠離Ping命令攻擊了。日后所有發給本地系統的Ping測試數據包，都會被防火墻自動攔截下來，那么本地系統的工作狀態自然也就不會受到影響了。

2. 禁止進行FTP下載

在安全性能要求較高的場合下，肯定不希望一些F t p工具會通過缺省開放的21端口，在本地系統中隨意進行下載或上載操作。要實現這個控制目的，我們可以通過Windows 7系統防火墻功能，來創建一個限制21端口訪問的出入站規則，下面就是具體的創建步驟：

首先進入Windows 7系統高級安全防火墻配置界面，點選“入站規則”選項，用鼠標右擊目標規則選項，從彈出的右鍵菜單中選擇“新規則”命令，打開入站規則新建向導設置框；選中“端口”選項，按下“下一步”按鈕，將其后界面中的“TCP”、“特定本地端口”等選項選中，并輸入“21”號碼。

接下來向導對話框會詢問用戶要執行什么操作時，應該將“阻止連接”選項選中（如圖9所示），之后同時選中“域”、“公用”、“專用”等選項，再定義好安全規則名稱，并按下“完成”按鈕，這樣Windows 7系統就會禁止用戶通過21端口進行上載操作了。同樣地，再手工創建一個出站規則，禁止用戶通過21端口進行下載操作。