銅墻鐵壁用好Windows自帶的防火墻

如果說Win Vista以及先前版本的Windows系統自帶的防火墻充其量只是一個半成品，在安全方面難堪大用的話，那么Win 7及Win 8提供的防火墻，便儼然已有了專業風范，在安全性和易操作性方面有了很大進步。利用它，我們無需第三方軟件，就能輕松截殺一切企圖入侵本機的網絡黑手，打造起護衛系統安全的銅墻鐵壁，當然前提是我們能夠知人善任，從各個層面真正地玩轉它。

由于Win 7和Win 8中的防火墻無論是在功能方面還是操作、設置方面都大同小異，所以下面我們主要以最新的Win 8為例來介紹一下。

新手入門之基礎篇

和Win Vista及先前版本的操作系統不同的是，Win 7和Win 8中提供的防火墻不僅能阻止任何非本機啟動的網絡連接進入本機，還能阻止本機中全部或指定的連接訪問內部或外部網絡。換句話說，Win 7和Win 8中防火墻的保護作用是雙向的，因而具有較高的安全性。

防火墻的開啟與關閉

默認情況下，Win 7和Win 8系統已經開啟了防火墻功能。如果對這一點你不確定，可以在“控制面板”中依次選擇“系統和安全/Windows防火墻”，進入“Windows防火墻”窗口，選擇左側的“啟用或關閉Windows防火墻”，然后在右側查看。這里有兩種網絡類型：專用網絡和公用網絡，每種網絡類型下都有“啟用Windows防火墻”和“關閉Windows防火墻”兩個選項，我們可以查看一下目前正在使用的網絡類型下的“啟用Windows防火墻”項是否被勾選。如果是，說明防火墻功能已經開啟，否則為沒開啟，只需勾選相應選項，然后“確定”即可（如圖1）。

| Tips |

Win 7和Win 8防火墻提供了還原默認設置功能，所以即使你是新手，也不妨大膽地去設置，以后如果發現設置出現問題，只需在“Windows防火墻”窗口中，單擊左側的“還原默認值”項，將相關參數恢復到默認值即可（如圖2）。

防火墻兩大網絡類型介紹

Win 7和Win 8提供了兩種網絡類型，以便能讓用戶根據自己的實際情況，設置不同的安全規則。這兩種網絡類型就是我們上面所說的“專用網絡”和“公用網絡”（在Win 7中有三種，分別為“家庭網絡”、“工作網絡”和“公用網絡”，Win 8直接將前兩者合并為“專用網絡”）。

顧名思義，前者針對的是家庭專用或單位局域網等不允許其他人隨意連接的網絡環境，而后者針對的則是公用的網絡環境，即任何人都可以通過各種設備隨意連接的網絡。很明顯，就安全性而言，后者的危險系數要明顯大于前者，因為在公共場合中，任何人都可能通過搜尋處于同一網絡中的設備發現我們的設備，并在愿意的時候對其進行惡意攻擊或連接。因此，在正常情況下，我們對后者設置的安全規則應該比前者更為嚴厲才行。

默認情況下，Win 7和Win 8系統對兩者啟用的規則是相同的，即它僅僅會阻止那些不在允許應用列表中的程序訪問網絡，而不會阻止那些已經在列表中的程序訪問網絡。此外，它也會允許所有由外部發起的主動連接訪問本機，這就為外部入侵（如遠程連接或木馬、病毒攻擊）創造了機會。所以如果我們當前處于較復雜的公用網絡環境中，最好的方法是在圖1所示的窗口中勾選“公用網絡設置”欄中的“阻止所有傳入連接包括位于允許應用列表中的應用”項，禁止所有外部連接主動連接到本機。當然，這也包括那些已經位于允許應用列表中的程序，如eMule和BitComet（比特彗星）等需要依靠訪問我們所共享的數據，才能完成下載、加速的P2P軟件。

在防火墻中查看允許訪問網絡的程序的方法很簡單：

在圖2所示的“Windows防火墻”窗口中，單擊左側的“允許應用或功能通過Windows防火墻”項，相應的列表即會出現。其中除了可查看到這些程序被允許訪問的網絡類型是“專用”還是“公用”外（如圖3），還可通過在列表中選擇某程序，然后單擊“詳細信息”按鈕，在出現的對話框中查看到有關該程序的更詳細的信息，比如名稱和所在路徑等（如圖4）。

| Tips |

在Vista和XP等先前的Windows版本中，如果我們分別為專用網絡和公用網絡防火墻設置了不同的安全規則，并且當前的PC同時連接到了兩個不同的網絡，系統會默認使用最嚴格的那一個規則來使用所有連接。這就意味著，即使我們當前正在專用網絡，也無法進行一些可能的網絡訪問，因為此時防火墻有可能在按照公用網絡規則來限制網絡訪問。在Win 7、Server 2008 R2和Win 8中，這一現象得到改善。在這幾個系統中，防火墻會智能地針對目前用戶正在使用的網絡類型來使用不同的規則，即對專用網絡的連接使用專用網絡規則，而對來自于公用網絡的流量使用公用網絡規則。

關于公用和專用網絡類型的更改

無論是在Windows 7還是Windows 8系統，防火墻的設置窗口中，都無法找到有關更改網絡類型的選項。這就出現了一個問題：有些朋友明明當前處于專用網絡中，卻會顯示正在連接的是公用網絡。實際上，這一問題的癥結并不在于系統，而在于用戶本身，這是因為在安裝系統時，誤將網絡設置成了公用網絡，或者雖然設置成了專用網絡，但后來又禁用了網絡共享功能的緣故。

默認情況下，Windows系統會將禁止了網絡共享的網絡設置為公用網絡，以達到最佳的防護效果，其實如果我們想更改網絡類型很容易，只需照下面的方法實行即可。

單擊系統托盤區中的網絡連接圖標，打開右側的Charms菜單，右擊當前正在使用的網絡連接，選擇“啟用或關閉共享”，然后在出現的菜單中選擇“是，啟用共享并連接到設備”項，即可將當前的公用網絡更改為專用網絡（如圖5）。相反，如果我們的目的是要將專用網絡更改為公用網絡，只需在菜單中選擇“否，不啟用共享或連接到設備”項即可。

| Tips |

Win 7更改網絡類型的方法略有不同，這里我們簡單地講一下。單擊系統托盤區中的網絡連接圖標，打開“網絡和共享中心”窗口，在右側的“查看活動網絡”項下，我們可以看到目前正在使用的網絡連接及其所屬的類型（如：家庭網絡、工作網絡和公用網絡等），單擊以藍色文字顯示的網絡類型，打開“設置網絡位置”對話框，然后按照自己的意愿選擇更改即可（如圖6）。

登堂入室之高級篇

防火墻的使用當然不止是使用默認設置那樣簡單。實際上，系統默認的設置安全系數并不高，為了讓防火墻能發揮最大的作用，真正成為系統守護的守門神，我們還需要根據自己的需要，對其中一些規則進行更改。而要做到這一點，我們可以請Win 7和Win 8防火墻提供的高級功能來幫忙。

在圖2所示的“Windows防火墻”窗口中，單擊左側的“高級設置”項，打開“高級安全Windows防火墻”窗口（如圖7）。在這里，我們可以通過創建一些規則，來滿足自己的某些需要。此處，為了讓大家能更直觀的了解規則的建立方法，我們將用實例的方式來進行講解。

實例1：還我清凈，屏蔽指定網頁

小王是電信用戶，每次當他在瀏覽器中輸入不存在的網址時，都會得到由運營商提供的錯誤提示頁面，同時所訪問的網站會自動轉到電信自家的114導航頁面http：//daohang.114so.cn，非常煩人。因此小王決定動用Windows系統防火墻這柄利劍，將114導航頁面徹底屏蔽于眼球之外。

第一步：按下“Win+R”組合鍵，打開“運行”對話框，輸入“cmd”，回車，打開命令提示符窗口。輸入“ping daohang.114so.cn”，回車，獲得該網站的IP地址（如圖8），記下它。

第二步：在圖7所示的窗口左側，單擊“入站規則”項，然后在右側的“操作/入站規則”欄中，單擊“新建規則”項，打開“新建入站規則向導”對話框。在右側的“要創建的規則類型”欄下選擇“自定義”項，單擊“下一步”按鈕。

第三步：選擇左側的“作用域”，在右側的“此規則應用于哪些本地IP地址”欄中選擇“任何IP地址”項；“此規則應用于遠程IP地址”欄中選擇“下列IP地址”項，同時單擊“添加”按鈕，打開“IP地址”對話框，將剛才記下的114導航網頁的IP地址輸入到“此IP地址或子網”文本框中，單擊“確定”按鈕（如圖9），將該地址添加到地址列表中，返回上級界面，單擊“下一步”按鈕。

第四步：在對話框右側選擇“阻止連接”項，然后選擇左側的“配置文件”項，在右側選擇所有可選項，單擊“下一步”按鈕（如圖10）。為規則定個名字（如：電信騷擾），單擊“完成”按鈕。以后該IP的訪問請求將被禁止，它自然也就不會出來煩人了。用同樣的方法，我們可以將色情、暴力和自己不喜歡的網站添加到其中，以達到清靜上網的目的。

實例2：阻止指定程序聯網

除了網站之外，Windows防火墻也能輕松阻止指定的程序訪問網絡，比如假期期間，如果我們擔心小孩子會因過度使用QQ而荒廢學業，完全可用Windows防火墻阻止它連接到網絡。

在圖7所示的窗口左側選擇“出站規則”，單擊“新建規則”項，打開相應的窗口，選擇右側的“自定義”項，然后在左側選擇“程序”項，單擊“下一步”按鈕。在接下來的窗口中，選擇“此程序路徑”項，同時單擊其下的“瀏覽”按鈕，打開“打開”對話框，選擇程序路徑為QQ可執行EXE文件（默認為“D：＼Program Files （x86）＼Tencent＼QQ＼Bin＼qq.exe”，其中D為程序所在分區盤符），單擊“下一步”按鈕，最后依次設置“操作”為“阻止連接”；“配置文件”為“域”、“專用”、“公用”；“名稱”為“禁止QQ連接”，單擊“完成”按鈕，以后用戶再想運行QQ時，就會受到防火墻的攔截，因而也就無法上網與他人聊天了。

用同樣的方法，我們可以隨意阻止任意的程序連接到網絡，比如游戲、網絡電視和在線音樂盒等。

實例3：只允許指定的程序聯網

360和金山衛士等防火墻可以提供入口防御功能，攔截外來網絡對本機的入侵。不過，現在木馬黑客技術越來越高超，360的木馬防火墻在很多時候還是無法保證系統的安全。靈活利用Windows防火墻的出站和入站可以打造出比360的木馬防火墻更為安全的上網環境。比如我們可以設置只有特定程序才能聯網（其他任何程序都無法聯網，任何外來連接無法進入）的安全上網環境。

第一步：阻止所有程序聯網。在圖7所示的窗口右擊左側的“本地計算機上的高級安全Windows防火墻”項，在彈出的右鍵菜單中選擇“屬性”，打開相應的對話框，依次切換到“域配置文件”、“專用配置文件”和“公用配置文件”標簽，分別對“狀態”下的各項做以下設置：

設置完畢，單擊“確定”按鈕（如圖11），返回“高級安全Windows防火墻”窗口。

第二步：放行系統兩大應用。經過以上的設置，現在，本機已沒有任何程序可以連接到網絡了，同時，外部程序也無法連接到本機。接下來我們就可以根據自己的實際需要，設置可以聯網的程序了。不過，在指定具體程序前，我們首先要設定規則，放行兩大系統應用，使其能夠聯網，否則后面即使設置了允許聯網的程序，這些程序也無法連接到網絡。這兩大應用包括System和DNS。

規則1：允許System聯網

單擊“出站規則”、“新建規則”項，打開“新建出站規則向導”窗口，依次選擇或輸入“程序/下一步/在此程序路徑”文本框中輸入”System”/下一步/允許連接”，然后設置規則“名稱”為“允許System訪問網絡”，單擊“完成”按鈕。

規則2：允許DNS聯網

DNS 是計算機域名系統（Domain Name System 或Domain Name Service）的縮寫，其作用是將我們輸入的域名解析成網絡能夠識別的IP地址，是上網沖浪的基礎。

在“新建出站規則向導”窗口中，選擇右側的“自定義”項，單擊“下一步”按鈕，然后在接下來的向導界面中，照下面的方法進行設置（注意：每操作完一步都要單擊“下一步”按鈕）：

程序：在“此程序路徑”文本框中輸入“%System Root%＼System32＼Svchost.exe”；

協議和端口：“協議類型”設置為“UDP”；“本地端口”選擇為“特定端口”，然后輸入“1024-65535”；“遠程端口”選擇為“特定端口”并輸入“53”（如圖12）。

作用域：“此規則應用于哪些本地IP地址”和“此規則應用于哪些遠程IP地址”皆選擇“任何IP地址”；

操作：選擇“允許連接”項；

配置文件：根據自己當前所處的網絡環境，選擇“公用”或“專用”；

名稱：允許DNS聯網。

第三步：放行其他應用。經過上述設置后，本機便已具備了基礎的網絡連接能力，下面，我們只需將要允許其聯網的程序添加到放行行列當中即可。以允許IE瀏覽器聯網為例。

用與上面相同的方法新建一條自定義的出站規則，然后依次進行如下設置：

程序：在“此程序路徑”文本框中輸入“%Program Files%＼Internet Explorer＼iexplore.exe”；

協議和端口：“協議類型”設置為“TCP”；“本地端口”選擇為“特定端口”，然后輸入“1024-65535”；“遠程端口”選擇為“特定端口”并輸入“80”。

作用域：“此規則應用于哪些本地IP地址”和“此規則應用于哪些遠程IP地址”皆選擇“任何IP地址”；

操作：選擇“允許連接”項；

配置文件：根據自己當前所處的網絡環境，選擇“公用”或“專用”。

名稱：允許IE聯網。

設置上述規則后，本機中的IE瀏覽器就可以上網了。最后，用類似的方法，設置好其他允許聯網的程序即可。如此一來，以后我們的PC就只有自己允許的程序可以聯網了。至于其他黑客、木馬，由于本機中并沒有開放其他端口，即使中了招也無法實現外部連接，所以極大地提高了本機的安全性。

| Tips |

如果你不知道某應用程序對應的端口號，可使用“端口查看器”這款工具進行查看，由于該工具用法簡單，此處就不再贅述了。