使用此对话框可以为每个网络配置文件配置基本防火墙属性。还可以使用“IPsec 设置”选项卡配置多个 IPsec 配置选项的默认值。

打开此对话框的步骤
  • 在高级安全 Windows 防火墙 MMC 管理单元中,执行下列步骤之一:

    • 在导航窗格中,右键单击“高级安全 Windows 防火墙”,然后单击“属性”

    • 选择导航窗格中顶部的节点,然后在中心窗格的“概述”部分中单击“Windows 防火墙属性”

    • 选择导航窗格中顶部的节点,在“操作”窗格中单击“属性”

“域配置文件”、“专用配置文件”和“公用配置文件”选项卡

可以配置任何配置文件,包括当前没有应用的配置文件。如果不更改配置文件设置,则只要高级安全 Windows 防火墙使用配置文件,就应用这些设置的默认值。建议您在所有三个配置文件上启用高级安全 Windows 防火墙。

可以在每个配置文件选项卡上配置下列设置:

状态

状态选择用于确定高级安全 Windows 防火墙是否使用配置文件设置,以及配置文件如何处理入站和出站网络消息。

防火墙状态

选择“启用(推荐)”可以使 Windows 防火墙使用此配置文件的设置筛选网络流量。如果选择“关闭”,Windows 防火墙将不使用此配置文件的任何防火墙规则或连接安全规则。

重要

如果使用组策略禁用 Windows 防火墙,或为 Windows 防火墙配置允许所有入站网络流量的规则,则 Windows 安全中心将向用户发出警报,提示存在应更正的安全问题。如果用户尝试通过单击 Windows 安全中心中的“启用”更正报告的问题,则会由于 Windows 安全中心无法启用 Windows 防火墙而显示错误。这样会产生不必要的技术支持呼叫。如果要管理组织中计算机的安全性,且不希望 Windows 安全中心向用户发出有关安全问题的警报,则可以通过使用 Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\Security Center 中的“打开安全中心(仅限域内 PC)”组策略设置禁用 Windows 安全中心。

入站连接

此设置用于确定与入站防火墙规则不匹配的入站连接行为。默认行为是阻止连接,除非有防火墙规则允许连接。可以为入站连接选择以下行为:

选择 描述

阻止(默认)

阻止所有无显式允许连接的防火墙规则的连接。

阻止所有连接

阻止所有连接,不考虑任何显式允许连接的防火墙规则。

允许

允许连接,除非有显式阻止连接的防火墙规则。

出站连接

此设置用于确定与出站防火墙规则不匹配的出站连接行为。默认行为是允许连接,除非有防火墙规则阻止连接。可以为出站连接选择以下行为:

选择 描述

阻止

阻止所有无显式允许连接的防火墙规则的连接。

允许(默认)

允许连接,除非有显式阻止连接的防火墙规则。

小心

如果将“出站连接”设置为“阻止”,然后使用组策略对象 (GPO) 部署防火墙策略,则除非创建并部署一个使组策略可以工作的出站规则,否则接收该组策略的计算机将无法接收到后续的组策略更新。核心网络的预定义规则包括使组策略可以工作的出站规则。在部署策略之前,请确保这些出站规则处于活动状态,并全面测试防火墙配置文件。

受保护的网络连接

使用这些设置可以指定哪些网络适配器受此配置文件配置的约束。单击“自定义”可以显示“自定义防火墙配置文件的受保护网络连接”对话框。

设置

使用这些设置可以配置通知、多播或广播流量的单播响应和组策略规则合并的设置。单击“自定义”可以显示“自定义防火墙配置文件的设置”对话框。

日志记录

使用这些设置可以配置高级安全 Windows 防火墙记录事件的方式、日志文件可以增长到多大以及日志文件的位置。单击“自定义”可以显示“自定义防火墙配置文件的日志记录设置”对话框。

“IPsec 设置”选项卡

使用该选项卡可以配置 IPsec 默认设置和系统范围内的设置。

IPsec 默认值

使用这些设置可以配置 IPsec 用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”可以显示“自定义 IPsec 设置”对话框。

IPSec 免除

使用此选项可以确定包含 Internet 控制消息协议 (ICMP) 消息的网络流量是否受 IPsec 保护。

ICMP 通常由网络疑难解答工具和过程使用。许多网络管理员将 ICMP 数据包从 IPsec 保护中免除,以确保未阻止这些消息。

重要

此设置仅从高级安全 Windows 防火墙的 IPsec 部分免除 ICMP。若要确保允许 ICMP 数据包通过 Windows 防火墙,必须创建并启用入站规则。

注意

如果在“网络和共享中心”中启用了文件和打印机共享,则高级安全 Windows 防火墙会自动启用允许常用 ICMP 数据包类型的防火墙规则。但是,这样也会启用与 ICMP 不相关的网络功能。如果只希望启用 ICMP,则在 Windows 防火墙中创建并启用规则,以允许入站 ICMP 网络数据包。

IPSec 隧道授权

在以下情况下使用此选项:具有创建从远程计算机到本地计算机的 IPsec 隧道模式连接的连接安全规则,并希望指定用户和计算机,以允许或拒绝其通过隧道访问本地计算机。选择“高级”,然后单击“自定义”可以显示“自定义 IPsec 隧道授权”对话框。

此处指定的授权仅适用于已在“自定义 IPsec 隧道设置”对话框上为其选择“应用授权”选项的那些隧道规则。


目录