通过使用软件配置向导 (SCW),可以创建防火墙规则,以允许此计算机向程序、系统服务、计算机或用户发送通信,或者从程序、系统服务、计算机或用户接收通信。可以创建防火墙规则,以便对与规则的条件匹配的所有连接执行下列三个操作之一:允许连接、只允许使用 Internet 协议安全 (IPSec) 保护的连接或者明确阻止连接。

重要

防火墙规则允许通信通过防火墙,但不确保该通信的安全。若要使用 IPSec 确保通信安全,可以创建连接安全规则。但是,创建连接安全规则不允许通信通过防火墙。如果防火墙的默认行为不允许该通信通过,则必须创建防火墙规则来实现。连接安全规则不应用于程序或服务,而是在两台计算机之间应用。必须使用“高级安全 Windows 防火墙”管理单元 (FW.msc) 创建连接安全规则。

常规选项卡

可以为入站通信或出站通信创建规则。可以配置规则,以指定程序、服务、协议或端口。当 IT 环境更改时,可以更改、创建或删除规则。

防火墙规则按以下优先级顺序应用:

  • 经过身份验证的绕过(覆盖阻止规则的规则)

  • 阻止连接

  • 允许连接

入站规则

入站规则显式允许或者显式阻止尝试访问与规则条件匹配的计算机的通信。例如,可以将规则配置为显式允许受 IPSec 保护的远程桌面通信通过防火墙,但阻止不受 IPSec 保护的远程桌面通信。首次安装 Windows 时,将阻止入站通信;若要允许通信,您必须创建一个入站规则。

出站规则

出站规则显式允许或者显式阻止来自与规则条件匹配的计算机的通信。例如,可以将规则配置为显式阻止特定计算机的出站通信通过防火墙,但允许其他计算机的出站通信通过防火墙。默认情况下允许出站通信,因此,必须创建出站规则来阻止通信。

程序和服务选项卡

由于具有高级安全性的 Windows 防火墙在默认情况下阻止所有未经请求的 TCP/IP 传入通信,所以,可能需要对充当服务器、侦听程序或者对等端的程序或服务配置程序、端口和系统服务规则。当服务器角色或配置更改时,必须根据实际情况对程序、端口和系统服务规则进行管理。

重要

设置防火墙规则可以为连接请求与规则进行匹配所依据的条件增加了限制级别。例如,如果未在“程序和服务”选项卡中指定程序或服务,将允许所有与其他条件相匹配的程序和服务连接。因此,添加更详细的条件会使规则变得越来越严格,因此,匹配的可能性也就越小。

若要向规则列表中添加程序,必须指定该程序使用的可执行 (.exe) 文件的完整路径。在其自己唯一的 .exe 文件中运行且不是由服务容器托管的系统服务被视为程序,可以将其添加到规则列表中。同样,对于功能与系统服务类似且无论用户是否登录到计算机都会运行的程序,只要该程序在其自己唯一的 .exe 文件中运行,也会被视为程序。

小心

如果将托管服务的程序(例如 Svchost.exe、Dllhost.exe 和 Inetinfo.exe)添加到规则中没有进一步限制的规则列表中,可能会使计算机受到安全威胁。同样,添加这些程序还可能与运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机上的其他服务强化策略发生冲突。

将程序添加到规则列表中之后,具有高级安全性的 Windows 防火墙将动态打开(取消阻止)和关闭(阻止)程序所需的端口。如果程序正在运行并侦听传入通信,具有高级安全性的 Windows 防火墙将打开所需端口;当程序未在运行或未在侦听传入通信时,具有高级安全性的 Windows 防火墙将关闭这些端口。由于此动态行为,推荐的方法是将程序添加到规则列表中,以允许未经请求的传入通信通过具有高级安全性的 Windows 防火墙。

注意

只有在程序使用 Windows 套接字 (Winsock) 创建端口分配时,才可以使用程序规则来允许未经请求的传入通信通过具有高级安全性的 Windows 防火墙。如果程序不使用 Winsock 分配端口,则必须确定程序使用的端口并将这些端口添加到规则列表中。

协议和端口选项卡

在某些情况下,如果无法将程序或系统服务添加到规则列表中,必须确定程序或系统服务使用的端口,然后将相应端口添加到具有高级安全性的 Windows 防火墙规则列表中。

“协议和端口”选项卡上,可以从最常用协议及其关联协议号列表中进行选择。如果需要添加的协议不在列表中,则可以选择“自定义”并指定协议号。

如果选择 TCP 或 UDP 协议,则可以指定将应用规则的本地和远程端口。将 TCP 或 UDP 端口添加到规则列表中后,只要具有高级安全性的 Windows 防火墙正在运行,无论是否有程序或系统服务在该端口侦听传入通信,该端口都会处于打开(取消阻止)状态。因此,如果需要允许未经请求的传入通信通过具有高级安全性的 Windows 防火墙,应创建程序规则而不是端口规则。

范围选项卡

使用“范围”选项卡可指定 IP 地址、子网或 IP 地址范围。可以使用 IPv4 地址和 IPv6 IP 地址。

本地 IP 地址

“本地 IP 地址”下,可以配置要在目标计算机是本地计算机时应用的防火墙规则。可以进一步确定将规则应用于本地计算机的时间,方法是指定要向位于网络某个分支的计算机应用规则的 IP 地址或 IP 地址范围。

远程 IP 地址

“远程 IP 地址”下,可以配置要在目标计算机是远程计算机时应用的防火墙规则。可以进一步确定将规则应用于远程计算机的时间,方法是指定要向位于网络某个分支的计算机应用规则的 IP 地址或 IP 地址范围。

关于指定 IP 地址

  • IPv4。如果您的网络使用的是 IPv4 地址,则可以指定一个 IP 地址(例如 172.30.160.169)或子网(例如 146.53.0.0/24)。

  • IPv6。如果您的网络使用的是 IPv6 地址,则可以使用冒号分隔的八组四位十六进制数(或允许的等效格式)或子网指定一个 IP 地址。

  • 对于这两种格式,若要指定地址范围,只需指定规则中包括的第一个(“从”)和最后一个(“到”)IP 地址。

其他参考

目录