銅墻鐵壁用好Windows自帶的防火墻

如果說(shuō)Win Vista以及先前版本的Windows系統(tǒng)自帶的防火墻充其量只是一個(gè)半成品，在安全方面難堪大用的話，那么Win 7及Win 8提供的防火墻，便儼然已有了專業(yè)風(fēng)范，在安全性和易操作性方面有了很大進(jìn)步。利用它，我們無(wú)需第三方軟件，就能輕松截殺一切企圖入侵本機(jī)的網(wǎng)絡(luò)黑手，打造起護(hù)衛(wèi)系統(tǒng)安全的銅墻鐵壁，當(dāng)然前提是我們能夠知人善任，從各個(gè)層面真正地玩轉(zhuǎn)它。

由于Win 7和Win 8中的防火墻無(wú)論是在功能方面還是操作、設(shè)置方面都大同小異，所以下面我們主要以最新的Win 8為例來(lái)介紹一下。

新手入門之基礎(chǔ)篇

和Win Vista及先前版本的操作系統(tǒng)不同的是，Win 7和Win 8中提供的防火墻不僅能阻止任何非本機(jī)啟動(dòng)的網(wǎng)絡(luò)連接進(jìn)入本機(jī)，還能阻止本機(jī)中全部或指定的連接訪問(wèn)內(nèi)部或外部網(wǎng)絡(luò)。換句話說(shuō)，Win 7和Win 8中防火墻的保護(hù)作用是雙向的，因而具有較高的安全性。

防火墻的開(kāi)啟與關(guān)閉

默認(rèn)情況下，Win 7和Win 8系統(tǒng)已經(jīng)開(kāi)啟了防火墻功能。如果對(duì)這一點(diǎn)你不確定，可以在“控制面板”中依次選擇“系統(tǒng)和安全/Windows防火墻”，進(jìn)入“Windows防火墻”窗口，選擇左側(cè)的“啟用或關(guān)閉Windows防火墻”，然后在右側(cè)查看。這里有兩種網(wǎng)絡(luò)類型：專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)，每種網(wǎng)絡(luò)類型下都有“啟用Windows防火墻”和“關(guān)閉Windows防火墻”兩個(gè)選項(xiàng)，我們可以查看一下目前正在使用的網(wǎng)絡(luò)類型下的“啟用Windows防火墻”項(xiàng)是否被勾選。如果是，說(shuō)明防火墻功能已經(jīng)開(kāi)啟，否則為沒(méi)開(kāi)啟，只需勾選相應(yīng)選項(xiàng)，然后“確定”即可（如圖1）。

| Tips |

Win 7和Win 8防火墻提供了還原默認(rèn)設(shè)置功能，所以即使你是新手，也不妨大膽地去設(shè)置，以后如果發(fā)現(xiàn)設(shè)置出現(xiàn)問(wèn)題，只需在“Windows防火墻”窗口中，單擊左側(cè)的“還原默認(rèn)值”項(xiàng)，將相關(guān)參數(shù)恢復(fù)到默認(rèn)值即可（如圖2）。

防火墻兩大網(wǎng)絡(luò)類型介紹

Win 7和Win 8提供了兩種網(wǎng)絡(luò)類型，以便能讓用戶根據(jù)自己的實(shí)際情況，設(shè)置不同的安全規(guī)則。這兩種網(wǎng)絡(luò)類型就是我們上面所說(shuō)的“專用網(wǎng)絡(luò)”和“公用網(wǎng)絡(luò)”（在Win 7中有三種，分別為“家庭網(wǎng)絡(luò)”、“工作網(wǎng)絡(luò)”和“公用網(wǎng)絡(luò)”，Win 8直接將前兩者合并為“專用網(wǎng)絡(luò)”）。

顧名思義，前者針對(duì)的是家庭專用或單位局域網(wǎng)等不允許其他人隨意連接的網(wǎng)絡(luò)環(huán)境，而后者針對(duì)的則是公用的網(wǎng)絡(luò)環(huán)境，即任何人都可以通過(guò)各種設(shè)備隨意連接的網(wǎng)絡(luò)。很明顯，就安全性而言，后者的危險(xiǎn)系數(shù)要明顯大于前者，因?yàn)樵诠矆?chǎng)合中，任何人都可能通過(guò)搜尋處于同一網(wǎng)絡(luò)中的設(shè)備發(fā)現(xiàn)我們的設(shè)備，并在愿意的時(shí)候?qū)ζ溥M(jìn)行惡意攻擊或連接。因此，在正常情況下，我們對(duì)后者設(shè)置的安全規(guī)則應(yīng)該比前者更為嚴(yán)厲才行。

默認(rèn)情況下，Win 7和Win 8系統(tǒng)對(duì)兩者啟用的規(guī)則是相同的，即它僅僅會(huì)阻止那些不在允許應(yīng)用列表中的程序訪問(wèn)網(wǎng)絡(luò)，而不會(huì)阻止那些已經(jīng)在列表中的程序訪問(wèn)網(wǎng)絡(luò)。此外，它也會(huì)允許所有由外部發(fā)起的主動(dòng)連接訪問(wèn)本機(jī)，這就為外部入侵（如遠(yuǎn)程連接或木馬、病毒攻擊）創(chuàng)造了機(jī)會(huì)。所以如果我們當(dāng)前處于較復(fù)雜的公用網(wǎng)絡(luò)環(huán)境中，最好的方法是在圖1所示的窗口中勾選“公用網(wǎng)絡(luò)設(shè)置”欄中的“阻止所有傳入連接包括位于允許應(yīng)用列表中的應(yīng)用”項(xiàng)，禁止所有外部連接主動(dòng)連接到本機(jī)。當(dāng)然，這也包括那些已經(jīng)位于允許應(yīng)用列表中的程序，如eMule和BitComet（比特彗星）等需要依靠訪問(wèn)我們所共享的數(shù)據(jù)，才能完成下載、加速的P2P軟件。

在防火墻中查看允許訪問(wèn)網(wǎng)絡(luò)的程序的方法很簡(jiǎn)單：

在圖2所示的“Windows防火墻”窗口中，單擊左側(cè)的“允許應(yīng)用或功能通過(guò)Windows防火墻”項(xiàng)，相應(yīng)的列表即會(huì)出現(xiàn)。其中除了可查看到這些程序被允許訪問(wèn)的網(wǎng)絡(luò)類型是“專用”還是“公用”外（如圖3），還可通過(guò)在列表中選擇某程序，然后單擊“詳細(xì)信息”按鈕，在出現(xiàn)的對(duì)話框中查看到有關(guān)該程序的更詳細(xì)的信息，比如名稱和所在路徑等（如圖4）。

| Tips |

在Vista和XP等先前的Windows版本中，如果我們分別為專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)防火墻設(shè)置了不同的安全規(guī)則，并且當(dāng)前的PC同時(shí)連接到了兩個(gè)不同的網(wǎng)絡(luò)，系統(tǒng)會(huì)默認(rèn)使用最嚴(yán)格的那一個(gè)規(guī)則來(lái)使用所有連接。這就意味著，即使我們當(dāng)前正在專用網(wǎng)絡(luò)，也無(wú)法進(jìn)行一些可能的網(wǎng)絡(luò)訪問(wèn)，因?yàn)榇藭r(shí)防火墻有可能在按照公用網(wǎng)絡(luò)規(guī)則來(lái)限制網(wǎng)絡(luò)訪問(wèn)。在Win 7、Server 2008 R2和Win 8中，這一現(xiàn)象得到改善。在這幾個(gè)系統(tǒng)中，防火墻會(huì)智能地針對(duì)目前用戶正在使用的網(wǎng)絡(luò)類型來(lái)使用不同的規(guī)則，即對(duì)專用網(wǎng)絡(luò)的連接使用專用網(wǎng)絡(luò)規(guī)則，而對(duì)來(lái)自于公用網(wǎng)絡(luò)的流量使用公用網(wǎng)絡(luò)規(guī)則。

關(guān)于公用和專用網(wǎng)絡(luò)類型的更改

無(wú)論是在Windows 7還是Windows 8系統(tǒng)，防火墻的設(shè)置窗口中，都無(wú)法找到有關(guān)更改網(wǎng)絡(luò)類型的選項(xiàng)。這就出現(xiàn)了一個(gè)問(wèn)題：有些朋友明明當(dāng)前處于專用網(wǎng)絡(luò)中，卻會(huì)顯示正在連接的是公用網(wǎng)絡(luò)。實(shí)際上，這一問(wèn)題的癥結(jié)并不在于系統(tǒng)，而在于用戶本身，這是因?yàn)樵诎惭b系統(tǒng)時(shí)，誤將網(wǎng)絡(luò)設(shè)置成了公用網(wǎng)絡(luò)，或者雖然設(shè)置成了專用網(wǎng)絡(luò)，但后來(lái)又禁用了網(wǎng)絡(luò)共享功能的緣故。

默認(rèn)情況下，Windows系統(tǒng)會(huì)將禁止了網(wǎng)絡(luò)共享的網(wǎng)絡(luò)設(shè)置為公用網(wǎng)絡(luò)，以達(dá)到最佳的防護(hù)效果，其實(shí)如果我們想更改網(wǎng)絡(luò)類型很容易，只需照下面的方法實(shí)行即可。

單擊系統(tǒng)托盤(pán)區(qū)中的網(wǎng)絡(luò)連接圖標(biāo)，打開(kāi)右側(cè)的Charms菜單，右擊當(dāng)前正在使用的網(wǎng)絡(luò)連接，選擇“啟用或關(guān)閉共享”，然后在出現(xiàn)的菜單中選擇“是，啟用共享并連接到設(shè)備”項(xiàng)，即可將當(dāng)前的公用網(wǎng)絡(luò)更改為專用網(wǎng)絡(luò)（如圖5）。相反，如果我們的目的是要將專用網(wǎng)絡(luò)更改為公用網(wǎng)絡(luò)，只需在菜單中選擇“否，不啟用共享或連接到設(shè)備”項(xiàng)即可。

| Tips |

Win 7更改網(wǎng)絡(luò)類型的方法略有不同，這里我們簡(jiǎn)單地講一下。單擊系統(tǒng)托盤(pán)區(qū)中的網(wǎng)絡(luò)連接圖標(biāo)，打開(kāi)“網(wǎng)絡(luò)和共享中心”窗口，在右側(cè)的“查看活動(dòng)網(wǎng)絡(luò)”項(xiàng)下，我們可以看到目前正在使用的網(wǎng)絡(luò)連接及其所屬的類型（如：家庭網(wǎng)絡(luò)、工作網(wǎng)絡(luò)和公用網(wǎng)絡(luò)等），單擊以藍(lán)色文字顯示的網(wǎng)絡(luò)類型，打開(kāi)“設(shè)置網(wǎng)絡(luò)位置”對(duì)話框，然后按照自己的意愿選擇更改即可（如圖6）。

登堂入室之高級(jí)篇

防火墻的使用當(dāng)然不止是使用默認(rèn)設(shè)置那樣簡(jiǎn)單。實(shí)際上，系統(tǒng)默認(rèn)的設(shè)置安全系數(shù)并不高，為了讓防火墻能發(fā)揮最大的作用，真正成為系統(tǒng)守護(hù)的守門神，我們還需要根據(jù)自己的需要，對(duì)其中一些規(guī)則進(jìn)行更改。而要做到這一點(diǎn)，我們可以請(qǐng)Win 7和Win 8防火墻提供的高級(jí)功能來(lái)幫忙。

在圖2所示的“Windows防火墻”窗口中，單擊左側(cè)的“高級(jí)設(shè)置”項(xiàng)，打開(kāi)“高級(jí)安全Windows防火墻”窗口（如圖7）。在這里，我們可以通過(guò)創(chuàng)建一些規(guī)則，來(lái)滿足自己的某些需要。此處，為了讓大家能更直觀的了解規(guī)則的建立方法，我們將用實(shí)例的方式來(lái)進(jìn)行講解。

實(shí)例1：還我清凈，屏蔽指定網(wǎng)頁(yè)

小王是電信用戶，每次當(dāng)他在瀏覽器中輸入不存在的網(wǎng)址時(shí)，都會(huì)得到由運(yùn)營(yíng)商提供的錯(cuò)誤提示頁(yè)面，同時(shí)所訪問(wèn)的網(wǎng)站會(huì)自動(dòng)轉(zhuǎn)到電信自家的114導(dǎo)航頁(yè)面http：//daohang.114so.cn，非常煩人。因此小王決定動(dòng)用Windows系統(tǒng)防火墻這柄利劍，將114導(dǎo)航頁(yè)面徹底屏蔽于眼球之外。

第一步：按下“Win+R”組合鍵，打開(kāi)“運(yùn)行”對(duì)話框，輸入“cmd”，回車，打開(kāi)命令提示符窗口。輸入“ping daohang.114so.cn”，回車，獲得該網(wǎng)站的IP地址（如圖8），記下它。

第二步：在圖7所示的窗口左側(cè)，單擊“入站規(guī)則”項(xiàng)，然后在右側(cè)的“操作/入站規(guī)則”欄中，單擊“新建規(guī)則”項(xiàng)，打開(kāi)“新建入站規(guī)則向?qū)А睂?duì)話框。在右側(cè)的“要?jiǎng)?chuàng)建的規(guī)則類型”欄下選擇“自定義”項(xiàng)，單擊“下一步”按鈕。

第三步：選擇左側(cè)的“作用域”，在右側(cè)的“此規(guī)則應(yīng)用于哪些本地IP地址”欄中選擇“任何IP地址”項(xiàng)；“此規(guī)則應(yīng)用于遠(yuǎn)程IP地址”欄中選擇“下列IP地址”項(xiàng)，同時(shí)單擊“添加”按鈕，打開(kāi)“IP地址”對(duì)話框，將剛才記下的114導(dǎo)航網(wǎng)頁(yè)的IP地址輸入到“此IP地址或子網(wǎng)”文本框中，單擊“確定”按鈕（如圖9），將該地址添加到地址列表中，返回上級(jí)界面，單擊“下一步”按鈕。

第四步：在對(duì)話框右側(cè)選擇“阻止連接”項(xiàng)，然后選擇左側(cè)的“配置文件”項(xiàng)，在右側(cè)選擇所有可選項(xiàng)，單擊“下一步”按鈕（如圖10）。為規(guī)則定個(gè)名字（如：電信騷擾），單擊“完成”按鈕。以后該IP的訪問(wèn)請(qǐng)求將被禁止，它自然也就不會(huì)出來(lái)煩人了。用同樣的方法，我們可以將色情、暴力和自己不喜歡的網(wǎng)站添加到其中，以達(dá)到清靜上網(wǎng)的目的。

實(shí)例2：阻止指定程序聯(lián)網(wǎng)

除了網(wǎng)站之外，Windows防火墻也能輕松阻止指定的程序訪問(wèn)網(wǎng)絡(luò)，比如假期期間，如果我們擔(dān)心小孩子會(huì)因過(guò)度使用QQ而荒廢學(xué)業(yè)，完全可用Windows防火墻阻止它連接到網(wǎng)絡(luò)。

在圖7所示的窗口左側(cè)選擇“出站規(guī)則”，單擊“新建規(guī)則”項(xiàng)，打開(kāi)相應(yīng)的窗口，選擇右側(cè)的“自定義”項(xiàng)，然后在左側(cè)選擇“程序”項(xiàng)，單擊“下一步”按鈕。在接下來(lái)的窗口中，選擇“此程序路徑”項(xiàng)，同時(shí)單擊其下的“瀏覽”按鈕，打開(kāi)“打開(kāi)”對(duì)話框，選擇程序路徑為QQ可執(zhí)行EXE文件（默認(rèn)為“D：＼Program Files （x86）＼Tencent＼QQ＼Bin＼qq.exe”，其中D為程序所在分區(qū)盤(pán)符），單擊“下一步”按鈕，最后依次設(shè)置“操作”為“阻止連接”；“配置文件”為“域”、“專用”、“公用”；“名稱”為“禁止QQ連接”，單擊“完成”按鈕，以后用戶再想運(yùn)行QQ時(shí)，就會(huì)受到防火墻的攔截，因而也就無(wú)法上網(wǎng)與他人聊天了。

用同樣的方法，我們可以隨意阻止任意的程序連接到網(wǎng)絡(luò)，比如游戲、網(wǎng)絡(luò)電視和在線音樂(lè)盒等。

實(shí)例3：只允許指定的程序聯(lián)網(wǎng)

360和金山衛(wèi)士等防火墻可以提供入口防御功能，攔截外來(lái)網(wǎng)絡(luò)對(duì)本機(jī)的入侵。不過(guò)，現(xiàn)在木馬黑客技術(shù)越來(lái)越高超，360的木馬防火墻在很多時(shí)候還是無(wú)法保證系統(tǒng)的安全。靈活利用Windows防火墻的出站和入站可以打造出比360的木馬防火墻更為安全的上網(wǎng)環(huán)境。比如我們可以設(shè)置只有特定程序才能聯(lián)網(wǎng)（其他任何程序都無(wú)法聯(lián)網(wǎng)，任何外來(lái)連接無(wú)法進(jìn)入）的安全上網(wǎng)環(huán)境。

第一步：阻止所有程序聯(lián)網(wǎng)。在圖7所示的窗口右擊左側(cè)的“本地計(jì)算機(jī)上的高級(jí)安全Windows防火墻”項(xiàng)，在彈出的右鍵菜單中選擇“屬性”，打開(kāi)相應(yīng)的對(duì)話框，依次切換到“域配置文件”、“專用配置文件”和“公用配置文件”標(biāo)簽，分別對(duì)“狀態(tài)”下的各項(xiàng)做以下設(shè)置：

設(shè)置完畢，單擊“確定”按鈕（如圖11），返回“高級(jí)安全Windows防火墻”窗口。

第二步：放行系統(tǒng)兩大應(yīng)用。經(jīng)過(guò)以上的設(shè)置，現(xiàn)在，本機(jī)已沒(méi)有任何程序可以連接到網(wǎng)絡(luò)了，同時(shí)，外部程序也無(wú)法連接到本機(jī)。接下來(lái)我們就可以根據(jù)自己的實(shí)際需要，設(shè)置可以聯(lián)網(wǎng)的程序了。不過(guò)，在指定具體程序前，我們首先要設(shè)定規(guī)則，放行兩大系統(tǒng)應(yīng)用，使其能夠聯(lián)網(wǎng)，否則后面即使設(shè)置了允許聯(lián)網(wǎng)的程序，這些程序也無(wú)法連接到網(wǎng)絡(luò)。這兩大應(yīng)用包括System和DNS。

規(guī)則1：允許System聯(lián)網(wǎng)

單擊“出站規(guī)則”、“新建規(guī)則”項(xiàng)，打開(kāi)“新建出站規(guī)則向?qū)А贝翱?，依次選擇或輸入“程序/下一步/在此程序路徑”文本框中輸入”System”/下一步/允許連接”，然后設(shè)置規(guī)則“名稱”為“允許System訪問(wèn)網(wǎng)絡(luò)”，單擊“完成”按鈕。

規(guī)則2：允許DNS聯(lián)網(wǎng)

DNS 是計(jì)算機(jī)域名系統(tǒng)（Domain Name System 或Domain Name Service）的縮寫(xiě)，其作用是將我們輸入的域名解析成網(wǎng)絡(luò)能夠識(shí)別的IP地址，是上網(wǎng)沖浪的基礎(chǔ)。

在“新建出站規(guī)則向?qū)А贝翱谥?，選擇右側(cè)的“自定義”項(xiàng)，單擊“下一步”按鈕，然后在接下來(lái)的向?qū)Ы缑嬷校障旅娴姆椒ㄟM(jìn)行設(shè)置（注意：每操作完一步都要單擊“下一步”按鈕）：

程序：在“此程序路徑”文本框中輸入“%System Root%＼System32＼Svchost.exe”；

協(xié)議和端口：“協(xié)議類型”設(shè)置為“UDP”；“本地端口”選擇為“特定端口”，然后輸入“1024-65535”；“遠(yuǎn)程端口”選擇為“特定端口”并輸入“53”（如圖12）。

作用域：“此規(guī)則應(yīng)用于哪些本地IP地址”和“此規(guī)則應(yīng)用于哪些遠(yuǎn)程IP地址”皆選擇“任何IP地址”；

操作：選擇“允許連接”項(xiàng)；

配置文件：根據(jù)自己當(dāng)前所處的網(wǎng)絡(luò)環(huán)境，選擇“公用”或“專用”；

名稱：允許DNS聯(lián)網(wǎng)。

第三步：放行其他應(yīng)用。經(jīng)過(guò)上述設(shè)置后，本機(jī)便已具備了基礎(chǔ)的網(wǎng)絡(luò)連接能力，下面，我們只需將要允許其聯(lián)網(wǎng)的程序添加到放行行列當(dāng)中即可。以允許IE瀏覽器聯(lián)網(wǎng)為例。

用與上面相同的方法新建一條自定義的出站規(guī)則，然后依次進(jìn)行如下設(shè)置：

程序：在“此程序路徑”文本框中輸入“%Program Files%＼Internet Explorer＼iexplore.exe”；

協(xié)議和端口：“協(xié)議類型”設(shè)置為“TCP”；“本地端口”選擇為“特定端口”，然后輸入“1024-65535”；“遠(yuǎn)程端口”選擇為“特定端口”并輸入“80”。

作用域：“此規(guī)則應(yīng)用于哪些本地IP地址”和“此規(guī)則應(yīng)用于哪些遠(yuǎn)程IP地址”皆選擇“任何IP地址”；

操作：選擇“允許連接”項(xiàng)；

配置文件：根據(jù)自己當(dāng)前所處的網(wǎng)絡(luò)環(huán)境，選擇“公用”或“專用”。

名稱：允許IE聯(lián)網(wǎng)。

設(shè)置上述規(guī)則后，本機(jī)中的IE瀏覽器就可以上網(wǎng)了。最后，用類似的方法，設(shè)置好其他允許聯(lián)網(wǎng)的程序即可。如此一來(lái)，以后我們的PC就只有自己允許的程序可以聯(lián)網(wǎng)了。至于其他黑客、木馬，由于本機(jī)中并沒(méi)有開(kāi)放其他端口，即使中了招也無(wú)法實(shí)現(xiàn)外部連接，所以極大地提高了本機(jī)的安全性。

| Tips |

如果你不知道某應(yīng)用程序?qū)?yīng)的端口號(hào)，可使用“端口查看器”這款工具進(jìn)行查看，由于該工具用法簡(jiǎn)單，此處就不再贅述了。