Windows 防火墙概述

要保护您的网络不受日益增长的恶意网络攻击的侵害，您需要采用深层防御策略。深层防御策略将各种各样的网络安全技术集成在您的安全体系结构中，并以分层结构实施这些技术，这种分层结构从您的外围网络（外层）延伸至您的组织中的每台计算机（内层）。通过在网络的最内层提供主机防火墙保护，Windows 防火墙（带 Service Pack 2 的 Windows XP 以及带 Service Pack 1 的 Windows Server 2003 中的新安全组件）可以成为深层防御安全策略的有效组成部分。

什么是 Windows 防火墙？

Windows 防火墙是一种主机防火墙技术，所以它可在所有客户端和服务器上运行，防御穿过您的外围网络或来自组织内部的网络攻击，例如，特洛伊木马攻击、端口扫描攻击和蠕虫。像许多防火墙技术一样，Windows 防火墙是一种有状态防火墙，所以它检查和筛选所有 TCP/IP 版本 4 (IPv4) 和 TCP/IP 版本 6 (IPv6) 通信。非请求传入通信将被丢弃，除非它是对主机的请求（请求的通信）的响应，或者它是被特定允许的（即，已被添加到例外列表）。通过配置 Windows 防火墙设置，可以根据端口号、应用程序名或服务名来指定要添加到例外列表的通信。除了某些 Internet 控制消息协议 (ICMP) 消息以外，Windows 防火墙允许所有传出通讯。

不能将 Windows 防火墙用作外围网络解决方案，不应用它替代其他网络安全技术。Windows 防火墙旨在作为一种补充的安全解决方案；它应当是实施各种安全技术［例如，边界路由器、外围防火墙、虚拟专用网络 (VPN) 和 Internet 协议安全 (IPSec)］的安全体系结构的组成部分。

Windows 防火墙是如何工作的？

传入数据包到达您的计算机时，Windows 防火墙检查该数据包，确定它是否符合例外列表上指定的条件。如果该数据包与列表中的某一项匹配，Windows 防火墙便将该数据包传递到 TCP/IP 协议，以供进一步处理。如果数据包与列表中的项不匹配，Windows 防火墙默默地将该数据包丢弃，并在 Windows 防火墙日志记录文件中创建一个条目（前提是启用了日志记录文件）。例外列表中的项目可由程序名、系统服务名、TCP 端口和 UDP 端口组成。无法基于 IP 标头中的“IP 协议”字段在例外列表中创建条目。

只有在两种条件下通信能通过 Windows 防火墙：

常用的 Windows 防火墙方案

除个别情况外，可在带有 SP2 的 Windows XP 或带有 SP1 的 Windows Server 2003 的所有配置上启用 Windows 防火墙。因此，建议您在您的组织中的所有客户端和服务器上都启用 Windows 防火墙，包括您的外围网络中的堡垒主机和其他服务器、连接到您的网络的移动客户端和远程客户端以及您的内部网络中的所有客户端和服务器。另外，可以为任何网络体系结构启用 Windows 防火墙。因此，还建议您无论您的外围网络或内部网络是如何设计和实施的，都要启用 Windows 防火墙。

在某些情况下，可能需要您禁用 Windows 防火墙。

运行“路由和远程访问”的服务器

不应该在运行“路由和远程访问”的服务器上启用 Windows 防火墙。“路由和远程访问”有自己的防火墙，这样，Windows 防火墙就会变得多余而不必要，如果您启用了 Windows 防火墙，“路由和远程访问”可能不会运行。

运行外围防火墙的服务器

在运行外围防火墙［例如，Microsoft Internet Security and Acceleration (ISA) Server 2004］的服务器上不应该运行 Windows 防火墙。在这种情况下，Windows 防火墙提供的保护是多余的和不必要的。另外，Windows 防火墙还会导致外围防火墙（如 ISA Server）无法正常运行。

运行非 Microsoft 主机防火墙的计算机

应在运行非 Microsoft 主机防火墙的计算机上禁用 Windows 防火墙。尽管可以在单台计算机上运行两个主机防火墙，但建议您不这么做。主机防火墙实施方法各种各样，差别很大，所以无法保证非 Microsoft 主机防火墙和 Windows 防火墙能够很好地协同运行。另外，在单台计算机上使用多个主机防火墙并不一定能减少您的攻击面，这是因为每种防火墙的配置设置（通信规则）可能是一样的，因此，采用多个主机防火墙就会变得多余。并且，在单台计算机上使用多个主机防火墙还会增加您的运营开销，而安全性却不会有显著的提高。

另外，如果客户端或服务器要求您打开许多端口，或允许许多应用程序和服务接收非请求通信，则您可能想禁用 Windows 防火墙。由于将允许大量的网络通信通过 Windows 防火墙，因此，通过禁用 Windows 防火墙，您可以去除与 Windows 防火墙配置和维护相关的运营开销。此外，还可以避免受到与 Windows 防火墙有关的任何性能影响。但是，您应该仔细评估任何需要您打开许多端口的客户端或服务器的设计。在您的组织内，为许多角色配置的或被配置为提供许多服务的客户端和服务器可能是关键故障点，通常表明基础结构设计不够完善。

Windows 防火墙的影响

如果在 Windows 防火墙的默认配置中启用了 Windows 防火墙，则 Windows 防火墙会在所有网络连接上阻止所有非请求传入网络通信。阻止非请求传入通信确实可减少您的攻击面并提高您的安全水平，但这也可能导致某些应用程序和服务无法正常运行。因此，您可能需要对 Windows 防火墙进行配置，以允许非请求传入通信通过特定端口或被特定应用程序和服务接收。因为在客户端上运行的应用程序和服务不需要经常接收非请求传入通信，所以在运行 Windows XP 的客户端上不需要经常更改配置。但是，因为在服务器上运行的许多应用程序和服务本来就需要接收和处理非请求传入通信，所以运行 Windows Server 2003 的服务器上经常需要更改配置。

对 Windows XP 的影响

Windows 防火墙仅影响侦听和响应非请求传入网络通信的应用程序和服务。因为客户端通常被配置成服务使用者，而不是服务提供者，所以在客户端上没有很多应用程序和服务侦听和响应非请求传入网络通信。换言之，通过客户端计算机的网络通信大部分是该客户端以传出请求的形式向其他计算机发出的。因此，在客户端上通常不需要配置 Windows 防火墙设置。但是，在某些情况下，可能必须创建 Windows 防火墙例外：

文件和打印机共享

如果您希望共享文件、文件夹或打印机以使其他计算机可以访问某一台客户端计算机上的这些资源，则需要在该客户端计算机上配置 Windows 防火墙，以便在 TCP 端口 139 和 445 以及 UDP 端口 137 和 138 上允许传入非请求传入通信。

远程协助

如果您希望管理员和技术支持人员使用“远程协助”管理客户端，则需要在客户端上配置 Windows 防火墙，以允许“远程协助”应用程序处理非请求传入通信。

远程桌面

如果您希望管理员和技术支持人员使用“远程桌面”管理客户端，则需要在客户端上配置 Windows 防火墙以允许非请求传入通信通过 TCP 端口 3389。

UPnP

如果您的客户端需要处理来自其他计算机的 UPnP 请求，那么您就需要在客户端上配置 Windows 防火墙，以允许非请求传入通信通过 TCP 端口 2869 和 UDP 端口 1900。

另外，在运行特定类型的电子邮件和防病毒程序的客户端上可能必须要配置 Windows 防火墙。在 Exchange 服务器向客户端发送消息以通知该客户端有新邮件到达时，连接到 Exchange 服务器的电子邮件程序通常会接收非请求传入通信。将新病毒签名从服务器推到客户端时，集中管理的防病毒程序通常会接收非请求通信。

对 Windows Server 2003 的影响

与客户端不同，服务器通常运行的应用程序和服务很多都侦听和响应非请求传入网络通信。因此，在服务器上，您经常需要配置某些 Windows 防火墙设置，以使 Windows 防火墙不阻止非请求通信。需要对 Windows 防火墙做出的配置更改取决于服务器角色和服务器上运行的应用程序和服务。下面是一些常用的服务器角色以及需要您配置的相应的 Windows 防火墙设置：

除了为各种服务器角色、应用程序和服务配置 Windows 防火墙，还需要在您打算要远程管理的每台服务器上配置 Windows 防火墙设置。如果您在运行 Windows XP 的客户端上使用“管理工具包”来管理服务器，则需要在该服务器上配置 Windows 防火墙设置，以确保 Windows 防火墙允许来自远程计算机的非请求通信到达在该服务器上运行的应用程序和服务。

注意