使用這個對話方塊,為每一個網路設定檔設定基本防火牆內容。您也可以使用 [IPsec 設定] 索引標籤,為多個 IPsec 設定選項來設定預設值。
 | 開啟這個對話方塊 |
在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元中,選取下列其中一個步驟:
- 在瀏覽窗格中,於 [具有進階安全性的 Windows 防火牆] 上按一下滑鼠右鍵,然後按一下 [內容]。
- 選取瀏覽窗格中最上層的節點,然後在中心窗格中的 [概觀] 區段按一下 [Windows 防火牆內容]。
- 選取瀏覽窗格中最上層的節點,然後按一下 [動作] 窗格中的 [內容]。
- 在瀏覽窗格中,於 [具有進階安全性的 Windows 防火牆] 上按一下滑鼠右鍵,然後按一下 [內容]。
網域、私人以及公用設定檔索引標籤
您可以設定任何設定檔,甚至是非目前所套用的設定檔。如果未改變設定檔設定,每當具有進階安全性的 Windows 防火牆使用此設定檔時,將套用其預設值。我們建議您在三個設定檔都啟用具有進階安全性的 Windows 防火牆。
您可以在每一個設定檔索引標籤設定以下的值:
狀態
狀態選項決定具有進階安全性的 Windows 防火牆是否使用設定檔的設定,以及設定檔如何處理輸入和輸出的網路訊息。
防火牆狀態
選取 [開啟 (建議選項)] 讓 Windows 防火牆使用此設定檔的設定篩選網路流量。如果選取 [關閉],Windows 防火牆將不會使用此設定檔的任何防火牆規則或連線安全性規則。
 | 重要 |
如果您使用群組原則來停用 Windows 防火牆,或者將 Windows 防火牆加上一條允許所有輸入網路流量的規則,則 Windows 資訊安全中心會警告使用者目前發生安全性問題,請予以更正。如果使用者按一下 Windows 資訊安全中心中的 [啟動],嘗試更正報告的問題,則因為 Windows 資訊安全中心無法建立 Windows 防火牆,所以會顯示錯誤。這樣會造成支援工程師接到不必要的支援電話。如果您負責管理組織的電腦安全,而且不希望 Windows 資訊安全中心警告使用者關於安全性問題,則您可以使用 [本機電腦原則]\[電腦設定]\[系統管理範本]\[Windows 元件]\[資訊安全中心] 中的 [開啟資訊安全中心 (僅網域 PC)] 群組原則設定,就可以停用 Windows 資訊安全中心。 |
輸入連線
此設定決定與輸入防火牆規則不相符的輸入連線行為。預設的行為是封鎖連線,但有防火牆規則允許連線者除外。您可以選擇下列輸入連線的行為:
| 選項 | 描述 |
|---|---|
封鎖 (預設) |
封鎖沒有防火牆規則明確允許連線的所有連線。 |
封鎖所有連線 |
封鎖全部連線,不論是否有防火牆規則明確允許連線。 |
允許 |
允許連線,但有防火牆規則明確封鎖連線者除外。 |
輸出連線
此設定決定與輸出防火牆規則不相符的輸出連線行為。預設的行為是允許連線,但有防火牆規則封鎖連線者除外。您可以選擇下列輸出連線的行為:
| 選項 | 描述 |
|---|---|
封鎖 |
封鎖沒有防火牆規則明確允許連線的所有連線。 |
允許 (預設) |
允許連線,但有防火牆規則明確封鎖連線者除外。 |
 | 注意 |
如果您將 [輸出連線] 設定為 [封鎖],然後使用群組原則物件 (GPO) 部署防火牆原則,除非您建立並部署可讓群組原則運作的輸出規則,否則接收的電腦無法接收後續的群組原則更新。核心網路功能的預先定義規則包含可讓「群組原則」運作的輸出規則。確定這些輸出規則都在作用中,而且在部署原則之前,全面進行防火牆設定檔的測試。 |
受保護網路連線
請使用這些設定來指定此設定檔的設定控制的網路介面卡。按一下 [自訂],顯示 [自訂防火牆設定檔的受保護網路連線] 對話方塊。
設定
使用這些設定,為通知、多點傳送或廣播流量的單點傳播回應,以及群組原則合併設定相關的值。按一下 [自訂],顯示 [自訂防火牆設定檔的設定] 對話方塊。
記錄
使用這些設定,設定具有進階安全性的 Windows 防火牆記錄各種事件的方式、記錄檔可以變得多大,以及記錄檔的位置。按一下 [自訂],顯示 [自訂防火牆設定檔的記錄設定] 對話方塊。
IPsec 設定索引標籤
使用這個索引標籤,設定 IPsec 預設值與整體系統設定。
IPsec 預設值
使用這些設定,設定 IPsec 的金鑰交換、資料保護以及驗證方法,協助保護網路流量。按一下 [自訂],顯示 [自訂 IPsec 設定] 對話方塊。
IPsec 豁免
使用這個選項,判斷包含網際網路控制訊息 (ICMP) 訊息的網路流量是否受到 IPsec 的保護。
ICMP 一般是由網路疑難排解工具與程序所使用。很多網路系統管理員會從 IPsec 保護中豁免 ICMP 封包,以便確定這些訊息不會受到封鎖。
| 重要 |
這個設定只會豁免具有進階安全性的 Windows 防火牆 IPsec 部分的 ICMP。 若要確定 Windows 防火牆允許 ICMP 封包,您必須建立以及啟用輸入規則。 |
 | 附註 |
如果您在 [網路和共用中心] 啟用檔案及印表機共用,具有進階安全性的 Windows 防火牆會自動啟用防火牆規則,允許常用的 ICMP 封包類型。不過,這樣也會啟用與 ICMP 無關的網路功能。如果您只想啟用 ICMP,請在 Windows 防火牆中建立並啟用規則,允許輸入 ICMP 網路封包。 |
IPsec 通道授權
當您的連線安全性規則,會從遠端電腦建立 IPsec 通道模式連線至本機電腦,而且您想指定允許或拒絕透過通道存取本機電腦的使用者與電腦時,可使用這個選項。選取 [進階],然後按一下 [自訂],顯示 [自訂 IPsec 通道授權] 對話方塊。
選取 [自訂 IPsec 通道設定] 對話方塊的 [套用授權] 選項的通道規則時,您在此指定的授權才會生效。