使用此对话框可以为每个网络配置文件配置基本防火墙属性。还可以使用“IPsec 设置”选项卡配置多个 IPsec 配置选项的默认值。
打开此对话框的步骤 |
在高级安全 Windows 防火墙 MMC 管理单元中,执行下列步骤之一:
- 在导航窗格中,右键单击“高级安全 Windows 防火墙”,然后单击“属性”。
- 选择导航窗格中顶部的节点,然后在中心窗格的“概述”部分中单击“Windows 防火墙属性”。
- 选择导航窗格中顶部的节点,在“操作”窗格中单击“属性”。
- 在导航窗格中,右键单击“高级安全 Windows 防火墙”,然后单击“属性”。
“域配置文件”、“专用配置文件”和“公用配置文件”选项卡
可以配置任何配置文件,包括当前没有应用的配置文件。如果不更改配置文件设置,则只要高级安全 Windows 防火墙使用配置文件,就应用这些设置的默认值。建议您在所有三个配置文件上启用高级安全 Windows 防火墙。
可以在每个配置文件选项卡上配置下列设置:
状态
状态选择用于确定高级安全 Windows 防火墙是否使用配置文件设置,以及配置文件如何处理入站和出站网络消息。
防火墙状态
选择“启用(推荐)”可以使 Windows 防火墙使用此配置文件的设置筛选网络流量。如果选择“关闭”,Windows 防火墙将不使用此配置文件的任何防火墙规则或连接安全规则。
重要 | |
如果使用组策略禁用 Windows 防火墙,或为 Windows 防火墙配置允许所有入站网络流量的规则,则 Windows 安全中心将向用户发出警报,提示存在应更正的安全问题。如果用户尝试通过单击 Windows 安全中心中的“启用”更正报告的问题,则会由于 Windows 安全中心无法启用 Windows 防火墙而显示错误。这样会产生不必要的技术支持呼叫。如果要管理组织中计算机的安全性,且不希望 Windows 安全中心向用户发出有关安全问题的警报,则可以通过使用 Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\Security Center 中的“打开安全中心(仅限域内 PC)”组策略设置禁用 Windows 安全中心。 |
入站连接
此设置用于确定与入站防火墙规则不匹配的入站连接行为。默认行为是阻止连接,除非有防火墙规则允许连接。可以为入站连接选择以下行为:
选择 | 描述 |
---|---|
阻止(默认) |
阻止所有无显式允许连接的防火墙规则的连接。 |
阻止所有连接 |
阻止所有连接,不考虑任何显式允许连接的防火墙规则。 |
允许 |
允许连接,除非有显式阻止连接的防火墙规则。 |
出站连接
此设置用于确定与出站防火墙规则不匹配的出站连接行为。默认行为是允许连接,除非有防火墙规则阻止连接。可以为出站连接选择以下行为:
选择 | 描述 |
---|---|
阻止 |
阻止所有无显式允许连接的防火墙规则的连接。 |
允许(默认) |
允许连接,除非有显式阻止连接的防火墙规则。 |
小心 | |
如果将“出站连接”设置为“阻止”,然后使用组策略对象 (GPO) 部署防火墙策略,则除非创建并部署一个使组策略可以工作的出站规则,否则接收该组策略的计算机将无法接收到后续的组策略更新。核心网络的预定义规则包括使组策略可以工作的出站规则。在部署策略之前,请确保这些出站规则处于活动状态,并全面测试防火墙配置文件。 |
受保护的网络连接
使用这些设置可以指定哪些网络适配器受此配置文件配置的约束。单击“自定义”可以显示“自定义防火墙配置文件的受保护网络连接”对话框。
设置
使用这些设置可以配置通知、多播或广播流量的单播响应和组策略规则合并的设置。单击“自定义”可以显示“自定义防火墙配置文件的设置”对话框。
日志记录
使用这些设置可以配置高级安全 Windows 防火墙记录事件的方式、日志文件可以增长到多大以及日志文件的位置。单击“自定义”可以显示“自定义防火墙配置文件的日志记录设置”对话框。
“IPsec 设置”选项卡
使用该选项卡可以配置 IPsec 默认设置和系统范围内的设置。
IPsec 默认值
使用这些设置可以配置 IPsec 用来帮助保护网络流量的密钥交换、数据保护和身份验证方法。单击“自定义”可以显示“自定义 IPsec 设置”对话框。
IPSec 免除
使用此选项可以确定包含 Internet 控制消息协议 (ICMP) 消息的网络流量是否受 IPsec 保护。
ICMP 通常由网络疑难解答工具和过程使用。许多网络管理员将 ICMP 数据包从 IPsec 保护中免除,以确保未阻止这些消息。
重要 | |
此设置仅从高级安全 Windows 防火墙的 IPsec 部分免除 ICMP。若要确保允许 ICMP 数据包通过 Windows 防火墙,必须创建并启用入站规则。 |
注意 | |
如果在“网络和共享中心”中启用了文件和打印机共享,则高级安全 Windows 防火墙会自动启用允许常用 ICMP 数据包类型的防火墙规则。但是,这样也会启用与 ICMP 不相关的网络功能。如果只希望启用 ICMP,则在 Windows 防火墙中创建并启用规则,以允许入站 ICMP 网络数据包。 |
IPSec 隧道授权
在以下情况下使用此选项:具有创建从远程计算机到本地计算机的 IPsec 隧道模式连接的连接安全规则,并希望指定用户和计算机,以允许或拒绝其通过隧道访问本地计算机。选择“高级”,然后单击“自定义”可以显示“自定义 IPsec 隧道授权”对话框。
此处指定的授权仅适用于已在“自定义 IPsec 隧道设置”对话框上为其选择“应用授权”选项的那些隧道规则。