與傳統(tǒng)操作系統(tǒng)相比，Windows 7系統(tǒng)功能更加強大、安全更有保障了，不過許多普通用戶與之接觸后，共享打印失敗、無法上網(wǎng)現(xiàn)象反而比傳統(tǒng)操作系統(tǒng)環(huán)境下出現(xiàn)得更加頻繁了，這是怎么回事呢？長期以來，很多人都認為W i n d o w s系統(tǒng)內(nèi)置防火墻功能有限、操作簡單，那么Windows 7系統(tǒng)自帶防火墻與以前相比又有什么與眾不同，讓用戶頻繁遭遇如此多的網(wǎng)絡(luò)訪問麻煩呢？面對Windows 7系統(tǒng)自帶防火墻越來越嚴格的限制，用戶又該怎樣高效穿越它呢？

系統(tǒng)防火墻的玄機之處

從Windows XP系統(tǒng)時代開始，微軟公司就已經(jīng)在Windows系統(tǒng)中集成了防火墻功能，可是這項安全防范功能作用十分有限，僅僅只能為普通用戶提供單向的安全保護，而無法提供雙向安全保護，而且啟用方式單一，用戶只能從系統(tǒng)控制面板中啟用防火墻功能。而在Windows 7系統(tǒng)中，Windows系統(tǒng)防火墻功能有了很大的進步，除了新增加了高級設(shè)置功能外，還支持雙向網(wǎng)絡(luò)數(shù)據(jù)包過濾功能，甚至用戶能根據(jù)不同的網(wǎng)絡(luò)環(huán)境，自動選擇切換安全規(guī)則等，這些與眾不同之處，終于讓Windows 7系統(tǒng)防火墻具有了專業(yè)安全工具的風采，巧妙利用這些功能，可以讓其及時預防流行病毒與惡意程序?qū)Ρ镜叵到y(tǒng)或網(wǎng)絡(luò)的攻擊，增強了Windows系統(tǒng)自我安全防護能力，為本地系統(tǒng)或網(wǎng)絡(luò)的安全防護又多了一項選擇。

在Windows 7系統(tǒng)防火墻中，微軟公司特意為網(wǎng)絡(luò)管理員級別的用戶開發(fā)設(shè)計了更為強大的管理控制功能，讓這些專業(yè)選手們借助它能更為靈活地保障本地系統(tǒng)或網(wǎng)絡(luò)的安全。Windows 7系統(tǒng)防火墻打開方式很靈活，用戶既能像以往那樣直接從控制面板窗口中訪問系統(tǒng)防火墻的基本配置界面，又能在M M C控制臺中對防火墻的各項高級功能進行自由配置。進入高級Windows防火墻配置界面時，可以依次單擊“開始”|“運行”命令，彈出系統(tǒng)運行對話框，輸入“m m c”命令，單擊回車鍵后，切換到M M C控制臺窗口；依次單擊“文件”|“添加/刪除管理單元”命令，從“可用的管理單元列表”中選擇高級Windows防火墻選項，按下“添加”按鈕，這樣高級Windows防火墻會自動出現(xiàn)在“所選管理單元”列表中，單擊“確定”按鈕，返回到如圖1所示的高級防火墻管理界面。在該管理界面中，我們會看到左側(cè)列表區(qū)域中的“入站規(guī)則”、“出站規(guī)則”等功能選項，通過“入站規(guī)則”系統(tǒng)防火墻可以地對從外界到本地網(wǎng)絡(luò)數(shù)據(jù)包進行過濾保護，通過“出站規(guī)則”可以對從本地系統(tǒng)發(fā)送到外界的網(wǎng)絡(luò)數(shù)據(jù)包進行過濾保護，這樣Windows 7系統(tǒng)防火墻就具有雙向控制能力了。

雙向控制帶來的麻煩

盡管Windows 7系統(tǒng)防火墻看上去更加安全了，不過很多用戶還沒有來得及享受該防火墻充分防范來自外界非法攻擊的功能，就已經(jīng)感覺到平時的網(wǎng)絡(luò)訪問好像變得更困難了，這些困難或許就是系統(tǒng)防火墻雙向控制能力惹的禍。在Windows 7系統(tǒng)中，上網(wǎng)應用程序或共享訪問操作不能訪問網(wǎng)絡(luò)時，應該首先想到是不是被系統(tǒng)防火墻暗中攔截了，而W i n d o w s 7系統(tǒng)防火墻最大的變化，就是變成了雙向攔截程序。比方說，在局域網(wǎng)工作環(huán)境中，如果用戶無法正常進行共享訪問操作，那需要檢查W i n d o w s 7系統(tǒng)防火墻有沒有對文件或打印機共享組件進行攔截。在進行檢查時，依次單擊“開始”|“控制面板”命令，切換到系統(tǒng)控制面板窗口，雙擊其中的“W i n d o w s防火墻”圖標，彈出系統(tǒng)防火墻基本配置界面；單擊該界面左側(cè)區(qū)域中的“允許程序或功能通過Windows防火墻”按鈕，打開如圖2所示的程序或功能列表界面，檢查其中的“文件和打印機共享”選項是否處于選中狀態(tài)，如果發(fā)現(xiàn)該選項沒有被選中時，那就意味著系統(tǒng)防火墻的確對共享訪問操作進行了攔截，此時可以重新選中該選項即可。

要是修改了防火墻配置后，仍舊不能正常進行共享訪問操作，可以嘗試臨時關(guān)閉系統(tǒng)防火墻，看看共享訪問操作是否真的與防火墻有關(guān)。在關(guān)閉Windows 7系統(tǒng)防火墻時，可以點擊基本配置界面中的“打開或關(guān)閉Windows防火墻”按鈕，彈出如圖3所示的設(shè)置頁面，選擇家庭網(wǎng)絡(luò)或公用網(wǎng)絡(luò)位置處的“關(guān)閉Windows防火墻”選項，并單擊“確定”按鈕保存設(shè)置操作即可。關(guān)閉了系統(tǒng)防火墻后，按理來說，共享訪問操作應該可以正常進行了，但是沒有防火墻的保護，本地系統(tǒng)的安全將會受到極大威脅，所以在確認防火墻引起共享訪問故障時，需要繼續(xù)追查其他配置是否正確。為提高排查效率，可以先嘗試將防火墻的配置恢復到默認數(shù)值，并按照之前的操作方法，讓防火墻允許“文件和打印機共享”組件正常通行，這樣多半就能解決共享訪問故障了。在恢復防火墻默認配置時，可以在其基本配置界面中，按下“還原默認設(shè)置”按鈕即可，之后重新嘗試共享訪問操作，此時系統(tǒng)防火墻會自動彈出提示，詢問用戶是否允許共享訪問操作訪問網(wǎng)絡(luò)，只要進行肯定回答，那么防火墻下次就能自動放行共享訪問操作了。不過，要提醒大家的是，有的網(wǎng)絡(luò)隱性故障是由于防火墻之間的沖突引起的，因此當將系統(tǒng)防火墻的配置恢復到默認狀態(tài)后，看到網(wǎng)絡(luò)故障仍然還無法解決時，不妨暫時關(guān)閉一下系統(tǒng)防火墻，再將對應系統(tǒng)重新啟動一下，說不定這樣一來網(wǎng)絡(luò)故障就能立即解除了。

當然，上述配置操作只能解決單向攔截問題，而Windows 7系統(tǒng)防火墻自從有了雙向控制功能后，它給我們帶來的訪問麻煩自然就比平時多了一倍。在Windows 7系統(tǒng)下，系統(tǒng)的安全防范等級明顯加強，它不僅會攔住外來的陌生訪問連接，還會攔截所有從本地系統(tǒng)出去的連接，只有位于允許訪問列表并被選中的應用程序下次訪問網(wǎng)絡(luò)時才不會受到攔截，而我們經(jīng)常遇到的網(wǎng)絡(luò)訪問故障也多半是被Windows 7系統(tǒng)防火墻的雙向控制功能給攔截了。

實戰(zhàn)雙向控制攔截功能

Windows 7系統(tǒng)防火墻的雙向控制功能，主要是通過“入站規(guī)則”、“出站規(guī)則”等選項體現(xiàn)出來的，雙擊高級防火墻管理界面中的某個規(guī)則，打開對應規(guī)則設(shè)置頁面，并根據(jù)實際要求對其進行合適設(shè)置，讓其更加符合實際安全防范需要。例如，如果希望Windows 7系統(tǒng)防火墻攔截本地系統(tǒng)的139端口，以便禁止一些惡意程序通過該端口向局域網(wǎng)中的其他客戶機發(fā)送數(shù)據(jù)包時，可以按照如下步驟設(shè)置高級防火墻的出站規(guī)則：

首先依次單擊“開始”|“控制面板”命令，彈出系統(tǒng)控制面板窗口，雙擊“Windows防火墻”圖標，彈出系統(tǒng)防火墻基本配置界面，單擊該界面左側(cè)區(qū)域中的“高級設(shè)置”按鈕，打開本地計算機上的高級安全防火墻，選擇該界面左側(cè)顯示窗格中的“出站規(guī)則”選項，按下右側(cè)顯示窗格中的“新規(guī)則”按鈕，打開新規(guī)則創(chuàng)建向?qū)υ捒颉?/p>

其次將規(guī)則類型選擇為“端口”選項，按“下一步”按鈕后，打開如圖4所示的設(shè)置對話框，依照實際情況在這里選擇合適的網(wǎng)絡(luò)協(xié)議，比方說選擇經(jīng)常使用的“TCP”協(xié)議選項，同時選中“特定本地端口”選項，在對應文本框中輸入“139”，繼續(xù)單擊“下一步”按鈕。當向?qū)υ捒驈棾鎏崾?，詢問連接符合條件時應該進行什么操作時，必須選中“阻止連接”選項，之后根據(jù)本地系統(tǒng)所處網(wǎng)絡(luò)位置情況，選擇當前規(guī)則發(fā)生作用的網(wǎng)絡(luò)環(huán)境。比方說，本地系統(tǒng)為筆記本電腦系統(tǒng)時，可能要頻繁連接到不同的網(wǎng)絡(luò)環(huán)境中，在單位辦公時要訪問局域網(wǎng)，在家庭上網(wǎng)時要訪問公網(wǎng)，那么此時就能同時選中這里的不同網(wǎng)絡(luò)環(huán)境，以確保防火墻在不同環(huán)境中發(fā)揮不同的作用。

接著繼續(xù)按“下一步”按鈕，依照向?qū)崾緸楫斍耙?guī)則設(shè)置好合適的名稱，就能將當前安全規(guī)則添加到高級安全防火墻出站規(guī)則列表中了。完成上述設(shè)置任務(wù)后，Windows 7系統(tǒng)防火墻就會對本地系統(tǒng)的139端口實行禁出令，讓上網(wǎng)數(shù)據(jù)包不能通過該端口發(fā)送到局域網(wǎng)中。當然，要是一些惡意程序繞過本地系統(tǒng)的139端口而去非法攻擊局域網(wǎng)中某個遠程主機中的特定端口時，我們可以切換到防火墻出站規(guī)則列表中，用鼠標雙擊之前生成的出站規(guī)則，打開對應規(guī)則屬性對話框，點選“協(xié)議和端口”標簽，展開對應標簽設(shè)置頁面中的“遠程端口”下拉列表，從中選擇“特定端口”選項，再輸入需要禁止通信的端口號碼即可。如果希望臨時刪除或停用高級安全防火墻中的某個規(guī)則時，只要進入規(guī)則列表，選擇指定的規(guī)則選項，按下右側(cè)顯示區(qū)域中的“刪除”或“禁用規(guī)則”按鈕即可。

高效進行許可訪問配置

如果對局域網(wǎng)中每臺計算機、每個網(wǎng)絡(luò)程序的訪問權(quán)限進行單獨配置，顯然會十分麻煩，有鑒于此，Windows 7系統(tǒng)防火墻允許我們配置防火墻許可訪問范圍列表，對計算機中所有應用程序或局域網(wǎng)特定子網(wǎng)中的所有計算機上網(wǎng)權(quán)限進行快速控制。比方說，如果希望單位局域網(wǎng)中某臺計算機系統(tǒng)的所有應用程序都能訪問本地系統(tǒng)時，那就可以使用高級安全防火墻進行快速許可訪問配置。

在進行配置操作時，先打開高級安全防火墻管理窗口，選擇該界面左側(cè)顯示窗格中的“入站規(guī)則”選項，按下右側(cè)顯示窗格中的“新規(guī)則”按鈕，打開新規(guī)則創(chuàng)建向?qū)υ捒?，選擇“自定義”選項，按“下一步”按鈕，當向?qū)崾驹儐栍脩粢獙斍耙?guī)則應用于所有程序還是特定程序時，應該選中“所有程序”選項，點擊“下一步”按鈕按鈕后，打開如圖5所示的選項設(shè)置對話框。將“協(xié)議類型”選擇為“任何”，將“本地端口”選擇為“所有端口”，將“遠程端口”也選擇為“所有端口”。

當我們看到此規(guī)則要應用于哪些本地和遠程I P地址的提示時，請在“此規(guī)則應用于哪些本地I P地址？”位置處選中“下列I P地址”選項，同時按下“添加”按鈕，導入本地計算機系統(tǒng)使用的I P地址，之后在“此規(guī)則應用于哪些遠程I P地址？”位置處，選中“下列I P地址”選項，并將局域網(wǎng)中指定計算機的I P地址添加進來，再單擊“下一步”按鈕，選中其后界面中的“允許連接”選項，確保局域網(wǎng)中指定計算機系統(tǒng)中的所有應用程序都能正常訪問本地系統(tǒng)。最后依照向?qū)崾?，分別設(shè)置好規(guī)則應用環(huán)境、入站規(guī)則的具體名稱，并單擊“完成”按鈕，結(jié)束高級安全防火墻的配置任務(wù)。

注重安全規(guī)則分級控制

在使用Windows 7系統(tǒng)訪問網(wǎng)絡(luò)時，經(jīng)常會遭遇上網(wǎng)不穩(wěn)定的故障現(xiàn)象，也許在家中上網(wǎng)沖浪的時候，網(wǎng)絡(luò)訪問一切正常，不過一回到單位進行網(wǎng)上辦公時，網(wǎng)絡(luò)訪問操作就問題多多，局域網(wǎng)中的同事既不能訪問自己的共享文件夾，自己可能也無法訪問局域網(wǎng)中的其他資源。類似這些上網(wǎng)不穩(wěn)定故障，多半是系統(tǒng)防火墻的安全規(guī)則沒有注意分級控制引起的。例如，要是在家中共享訪問正常，而在單位中無法進行共享訪問時，可以按照如下步驟檢查防火墻的相關(guān)安全規(guī)則：

首先依次單擊“開始”|“控制面板”命令，彈出系統(tǒng)控制面板窗口，雙擊“W i n d o w s防火墻”圖標，彈出系統(tǒng)防火墻基本配置界面，單擊該界面左側(cè)區(qū)域中的“高級設(shè)置”按鈕，打開本地計算機上的高級安全防火墻，選擇該界面左側(cè)顯示窗格中的“入站規(guī)則”選項，從入站規(guī)則列表中找到“文件和打印機共享”選項，并用鼠標右鍵單擊該選項，執(zhí)行右鍵菜單中的“屬性”命令，切換到對應規(guī)則屬性對話框。

接著選擇“高級”標簽，打開如圖6所示的標簽設(shè)置頁面，檢查這里的“公用”、“域”或“專用”選項是否處于選中狀態(tài)，如果其中某個選項沒有被選中時，那就容易出現(xiàn)共享訪問不穩(wěn)定的現(xiàn)象。例如，選中“公用”選項，那么在家庭網(wǎng)絡(luò)中上網(wǎng)時就能正常，選中“域”選項時，可以讓Windows 7系統(tǒng)在單位局域網(wǎng)中正常上網(wǎng)，如果同時選擇所有選項，那么Windows 7系統(tǒng)防火墻就能在不同網(wǎng)絡(luò)中平滑切換，那么上網(wǎng)不穩(wěn)定現(xiàn)象自然會消失了。

按照相同的辦法，打開出站規(guī)則列表界面，選擇“文件和打印機共享”選項，并用鼠標右鍵單擊該選項，執(zhí)行右鍵菜單中的“屬性”命令，切換到對應規(guī)則屬性對話框，在高級標簽設(shè)置頁面中，正確選擇好“公用”、“域”或“專用”等選項，確保防火墻不會對任何網(wǎng)絡(luò)環(huán)境中的上網(wǎng)訪問進行攔截。

防止用戶繞過防火墻配置

在多人使用同一臺計算機的情形下，每位用戶都可以進入Windows 7系統(tǒng)防火墻配置窗口，自由改變安全規(guī)則，以達到繞過防火墻配置的目的，這樣防火墻就變成“雞肋”了，這樣一來本地系統(tǒng)的上網(wǎng)安全將會遭受極大的威脅。為此，在公共場合下，我們應該禁止用戶隨意進入系統(tǒng)防火墻配置界面，任意改變它的安全配置，降低防火墻的安全防范能力，下面就是具體的實施步驟：

首先打開系統(tǒng)“開始”菜單，選擇“運行”命令，在系統(tǒng)運行框中輸入“g p e d i t. m s c”命令，單擊回車鍵后，打開系統(tǒng)組策略編輯界面。在該編輯界面左側(cè)區(qū)域，找到“計算機配置”|“管理模板”|“網(wǎng)絡(luò)”|“網(wǎng)絡(luò)連接”|“W i n d o w s防火墻”|“標準配置文件”組策略目錄，雙擊該目錄下的“Windows防火墻：不允許例外”選項，彈出如圖7所示的選項設(shè)置框。

檢查這里的“Windows防火墻：不允許例外”選項當前是否處于已啟用狀態(tài)，一旦看到該選項還沒有被啟動選用的話，那我們應該立即重新選中“已啟用”選項，再按“確定”按鈕執(zhí)行設(shè)置保存操作，這樣普通用戶就無法任意修改防火墻的安全配置了，那么系統(tǒng)防火墻的作用就能得到充分發(fā)揮了。

系統(tǒng)防火墻使用技巧

1. 禁止Ping本地系統(tǒng)

眾所周知，要是惡意用戶不斷向自己的計算機系統(tǒng)發(fā)送大容量的Ping測試包時，自己的計算機系統(tǒng)或許會被攻擊癱瘓。為了遠離惡意Ping現(xiàn)象，我們可以通過配置Windows 7系統(tǒng)的高級防火墻，來禁止自己的計算機系統(tǒng)對Ping測試包進行響應，下面就是具體的實施步驟：

首先打開系統(tǒng)“開始”菜單，選擇“控制面板”命令，雙擊系統(tǒng)控制面板中的“Windows防火墻”圖標，進入系統(tǒng)防火墻基本配置界面，按下左側(cè)區(qū)域中的“高級設(shè)置”按鈕，展開高級安全防火墻，點選“入站規(guī)則”選項，用鼠標右擊該規(guī)則選項，執(zhí)行右鍵菜單中的“新規(guī)則”命令，打開新規(guī)則向?qū)гO(shè)置對話框，選中“自定義”選項。

其次選中“所有程序”選項，在如圖8所示的對話框中選擇“ICMPv4”，之后將“阻止連接”選項選中，再設(shè)置好規(guī)則名稱和規(guī)則適用的網(wǎng)絡(luò)環(huán)境，這樣Windows 7系統(tǒng)高級安全防火墻功能就能讓本地系統(tǒng)遠離Ping命令攻擊了。日后所有發(fā)給本地系統(tǒng)的Ping測試數(shù)據(jù)包，都會被防火墻自動攔截下來，那么本地系統(tǒng)的工作狀態(tài)自然也就不會受到影響了。

2. 禁止進行FTP下載

在安全性能要求較高的場合下，肯定不希望一些F t p工具會通過缺省開放的21端口，在本地系統(tǒng)中隨意進行下載或上載操作。要實現(xiàn)這個控制目的，我們可以通過Windows 7系統(tǒng)防火墻功能，來創(chuàng)建一個限制21端口訪問的出入站規(guī)則，下面就是具體的創(chuàng)建步驟：

首先進入Windows 7系統(tǒng)高級安全防火墻配置界面，點選“入站規(guī)則”選項，用鼠標右擊目標規(guī)則選項，從彈出的右鍵菜單中選擇“新規(guī)則”命令，打開入站規(guī)則新建向?qū)гO(shè)置框；選中“端口”選項，按下“下一步”按鈕，將其后界面中的“TCP”、“特定本地端口”等選項選中，并輸入“21”號碼。

接下來向?qū)υ捒驎儐栍脩粢獔?zhí)行什么操作時，應該將“阻止連接”選項選中（如圖9所示），之后同時選中“域”、“公用”、“專用”等選項，再定義好安全規(guī)則名稱，并按下“完成”按鈕，這樣Windows 7系統(tǒng)就會禁止用戶通過21端口進行上載操作了。同樣地，再手工創(chuàng)建一個出站規(guī)則，禁止用戶通過21端口進行下載操作。