win7系统墙的简要介绍及设置（有些问题 修改中）http://bbs.kafan.cn/thread-890640-1-1.html一楼 前言二楼 系统墙的定位 XP VISTA WIN7墙之间的区别三楼 win7墙的介绍及设置四楼 win7墙的注意事项五楼 win7墙的小小测试六楼 资源监视器&ARP&WFC七楼  结束语========================================================================写这篇文章的初衷：1、我们总是能听到，XP的系统墙太过于鸡肋，WIN7的墙已经足够强大，诚然，口口相传，是有其独到之处，但是更深入下去，很多人却不知所因，就让我抛砖引玉，让我们来看看微软本身的墙，能给我们带来什么惊喜。2、趋势有个防火墙助手，按照官人的说法，就是根据系统本身的防火墙，再加以一定的规则限制（可惜的是我到现在仍旧没有拿到这手资料，所以很难就防火墙助手做出评判）3、mse的强劲表现也让我们看到了微软的实力，也许这只老虎一直虎视眈眈，当这只老虎进入其中搏斗的时候，我们就真的能感受到格局的改变。所以我也忍不住想试试win7的墙。什么是防火墙？防火墙可以是软件，也可以是硬件，它能够检查来自 Internet 或网络的信息，然后根据防火墙设置阻止或允许这些信息通过计算机。防火墙有助于防止黑客或恶意软件（如蠕虫）通过网络或 Internet 访问计算机。 防火墙还有助于阻止计算机向其他计算机发送恶意软件。下图显示了防火墙的工作原理让程序通过防火墙的威胁，引用微软的话，就是每次你打开一个端口或允许一个程序通过防火墙进行通信，你的计算机就会变得有点不太安全。 防火墙允许的程序或已开放的端口越多，黑客或恶意软件就越有机会利用其中的一个开口传播一种蠕虫病毒，访问您的文件，或者使用你的电脑将恶意软件传播给其他人。通常来说，添加一个程序到信任列表比打开一个端口来的安全。 如果你打开一个端口，无论是否一个程序正在使用它，它将保持打开状态，直到你关闭。 如果你添加一个程序到信任列表，通道只有当你需要一个特定的通信时才会打开。端口计算机"端口"是英文port的意译，可以认为是计算机与外界通讯交流的出口。端口是出现在数据包头部的特定号码. 端口的主要作用是: 将数据分配到计算机上运行的特定进程.更多端口常识，请看http://bbs.kafan.cn/thread-288698-1-1.htmlnetshNetSH 是windows系统本身提供的功能强大的网络配置命令行工具。 导出配置脚本：netsh -c interface ip dump > c:\interface.txt 导入配置脚本：netsh -f c:\interface.txtwin7系统墙依然支持这个命令，更多相关 点我IPsecIPsec 规则确定 IPsec 必须对哪些类型的通信流进行检查；是允许通信流、阻止通信流还是协商安全性；如何对 IPSec 对等方进行身份验证；以及其他设置。 配置 IPsec 规则时，您可以配置筛选器列表，该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式（传输模式或隧道模式）。 IPsec 规则通常是针对特定用途（例如，“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”）配置的。更多请看微软的介绍http://www.microsoft.com/china/technet/security/topics/architectureanddesign/ipsec/ipsecapa.mspx更新日志1月14号初稿1月16号基本框架成型1月16号更新基础的界面介绍1月16号添加X-SCAN扫描1月16号添加XP VISTA WIN7系统墙的区别介绍1月17号更新高级防火墙对单个规则属性的讲解1月19号更新高级安全规则之 连接安全规则（ipsec）1月19号更新win7关于ARP的小招（转自救援区，ARP这个东西还是要注明下）1月20号更新WFC，再次感谢17楼饭友的分享。1月21号，无聊着把WFC汉化了......windows xp 中的系统防火墙Windows XP中的防火墙非常简单，只能保护接受到的网络数据，阻止非系统预装程序的运行，而且，默认是关闭的。直到SP2的出现，才将其设置为默认开启。就防火墙功能而言，Windows防火墙只阻截所有传入的未经请求的流量，对主动请求传出的流量不作理会。而第三方病毒防火墙软件一般都会对两个方向的访问进行监控和审核，这一点是它们之间最大的区别。如果入侵已经发生或间谍软件已经安装，并主动连接到外部网络，那么Windows防火墙是束手无策的。但是普通用户不必太过担心这点。这就好像宾馆里的房门一样——外面的人要进入必须用钥匙开门，而屋里的人要出门，只要拉一下门把手就可以了。vista 的防火墙在Vista中的防火墙加入了Windows过滤平台(WFP)，并且可以通过高级安全设置MMC来阻止发送的数据。在Vista中，可以通过控制面板来打开防火墙的基本设置。Vista的防火墙允许用户选择网络类型为公用网络或者专用网络。win7的防火墙及对vista的改进Win7中的防火墙对vista中的防火墙进行了进一步的优化，以使其更易用，尤其是通过多防火墙策略的支持，给移动笔记本用户带来了极大的方便。1、专用网络被进一步细化成了家庭网络和工作网络，总共有三个分类供你选择。家庭网络 - 此选项下，用户可以建立HomeGroup(家庭组)。此时，网络发现会自动打开。同在家庭网络中的计算机可以共享文件、音乐、视频和打印机等等。工作网络 - 此选项下，网络发现也是默认开启的，但用户无法创建和加入Homegroup。如果用户通过控制面板 - 系统 - 高级系统设置 - 计算机名 加入某个主机的话，系统将自动加入主机网络。公用网络 - 此选项主要适用于WI-FI等公用网络接入。网络发现默认关闭。2、配置的优化在Vista中，即使用户针对公用和专用网络，拥有不用的配置文件，也只能在两者之中选择一个开启。如果用户不慎接入多个网络的话，系统会自动应用最为严格的配置，阻止一切数据。那种情况下，可能出现不可预料事情而让你手足无措，而在WIn7中，系统可以针对不同的网络适配器应用不同的配置文件。比如你同时连入了家庭网络和工作网络，那么你连入家庭网络的部分启用家庭网络的配置，连入工作网络的部分启用工作网络。3、设置的简便Windows 7的防火墙设置没那么繁琐了。举个简单的例子，在Vista中，当用户创建防火墙规则时，用户必须手动填写端口和IP地址。但在win7中，用户填上范围即可（详细的设置介绍下面将放出）。4、事件记录在Vista中，防火墙记录的事件将会被存放在一个单独的文件中，默认为Windows\System32\LogFiles\Firewall\pfirewall.log。而在Windows 7中，防火墙特别配备了事件浏览器，查看记录更方便。计算机——控制面板——windows防火墙 下图为win7防火墙的主界面从上图我们可以清楚的看到家庭或工作网络和公用网络分开的配置，也就是我上面介绍区别的时候说的，对于不同的网络类型实行各自的专用配置。左边我们可以看到5个关联的设置1、允许程序或功能通过windows防火墙2、更改通知设置3、打开或关闭windows防火墙4、还原默认设置5、高级设置下面我们一个一个的来看点开第一个  允许程序或功能通过windows防火墙这个是最基础的通行与否，就像当初的XP就是这样的，添加规则很简单，点击“允许运行另一程序”，选择你想要添加的程序即可，但是我们可以看到还是区分了专用网络和公用网络的这边只要最基础的通行或者不通行，没有端口，更不用TCP和UDP。因为对于一般人来说，只是需要设置程序是否需要联网，而不会区分一条条的规则，而更高级的规则，将在稍后讲到（这边添加的程序，根据程序对应的服务，可能会在后面产生多条规则）。点击第二个和第三个更改通知设置和打开或关闭windows防火墙这两个效果是一样的，出来如下的界面这边就可以打开和关闭windows防火墙，切家庭或工作网络和公用网络是分开的。至于提醒，还是按照默认的勾上，阻止所有连入连接不用勾上，不然会影响某些程序的运行。第四个 还远默认设置如下图如果自己觉得自己配置的乱七八糟或者规则十分混乱，那么可以选择还原默认设置，那么防火墙的规则就会恢复到初始的状态（谨慎使用）==================================================第五个，就是这次讲解的重点，也就是高级设置从最左边看起，可以看到入站规则和出站规则这些规则包含两个部分，一部分就是系统预先设置好的，而且你点开某些预先的配置，是不允许更改的。另一部分就是用户自定义的。废话不多说，先配置一个入站规则入站规则右键，新建规则选择程序随便选一个桌面的魔兽改键精灵选择阻止连接选择配置文件，win7中有三大配置，域 ，专用网络  公用网络简单的介绍下这三个域 是一般企业用户启用的，当计算机连接到包含 Active Directory 域控制器（其中含有该计算机的域帐户）的网络时应用。这里略过专用 的即为家庭网络和工作网络配置。专用配置文件设置应该比域配置文件设置更为严格。本地管理员为网络分配专用类型。公用  即为公用网络配置文件。由于计算机连接到的公用网络对安全性的控制不如 IT 环境严格，所以公用配置文件设置应该最为严格。默认情况下，为新发现的网络分配公用类型。输入一个名称，我姑且叫做哈哈，那么一个新的入站规则就创建好了，是不是很简单？同理，出站规则也是如此===============================================点开我们配置的哈哈这条规则来跟我一起了解下防火墙规则属性页分7个标签，我来简单的介绍和讲解下注意事项。常规部分一、名称：就是规则的名称（注意：作为最佳实践，请为防火墙规则指定一个唯一名称。如果两个规则具有相同的名称，则无法使用 netsh 命令方便地对其进行管理。请不要对防火墙规则使用名称“all”，因为这是 Netsh 命令行工具关键字的名称。）二、描述：可以忽略三、操作：包括阻止连接，允许连接，仅允许安全连接（定义：使用此选项可以指定仅允许受 Internet 协议安全性 (IPsec) 保护的网络数据包。IPsec 设置必须在单独的连接安全规则中定义。默认情况下，此设置要求包含身份验证和完整性，但不要求加密。若要配置要求，请单击“自定义”，然后选择“自定义允许条件安全设置”对话框上的选项。）特别注意，多个规则同时定义时，按照下列顺序取决规则中指定的操作1、安全时允许（在“自定义允许条件安全设置”对话框中选择了“替代阻止规则”）。2、阻止连接。3、允许连接。默认配置文件行为（允许或阻止，如“高级安全 Windows 防火墙属性”对话框的相应“配置文件”选项卡上所指定）。在每个类别中，按照从最具体到最不具体的顺序评估规则。进行选择时，指定四个标准的规则优先于仅指定三个标准的规则。只要网络数据包匹配规则，就会触发其操作，不与任何其他规则进行比较。换句话说，即使网络数据包匹配多个规则，也仅对数据包应用第一个针对数据包评估的匹配规则。程序和服务部分注意事项1：若要将程序添加到规则，必须指定此程序使用的可执行 (.exe) 文件。在其自己唯一的 .exe 文件中运行且不受服务容器主持的系统服务被视为程序，且能将其添加到规则。同样，作用同系统服务且无论用户是否登录到计算机都运行的程序，只要该程序在其自己唯一的 .exe 文件中运行，也被视为程序。注意事项2：将程序添加到规则时，高级安全 Windows 防火墙将动态打开（取消阻止）并关闭（阻止）程序所需的端口。当程序正在运行和侦听传入流量时，高级安全 Windows 防火墙将打开所需端口；当程序未运行或未侦听传入流量时，高级安全 Windows 防火墙将关闭这些端口。由于此动态行为，推荐的方法是将程序添加到规则，以允许非请求传入流量通过高级安全 Windows 防火墙。计算机部分已授权的计算机：在此添加计算机，那么对于入站规则，可以指定哪些计算机可以连接到此计算机。对于出站规则，可以指定允许此计算机连接到哪些计算机。例外：道理同上。协议和端口部分协议类型：我们可以看到win7的墙比较强大，可以支持TCP UDP GRE HOPOPT ICMPv4 ICMPv6等协议，可操作性非常大本地端口和远程端口忽略不谈Internet 控制消息协议 (ICMP) 设置：只有选择 ICMPv4 或 ICMPv6 协议类型时才会启用“自定义”按钮作用域部分、高级部分和用户部分或有重复，或超过范畴，略过不讲===================================================下面我们来讲连接安全规则可以使用新建连接安全规则向导创建 Internet 协议安全性 (IPsec) 规则，以实现不同的网络安全目标。使用此页可以选择要创建的规则的类型。向导提供了四种预定义的规则类型，包括隔离、免除身份验证、服务器到服务器和隧道，还可以创建一条自定义规则。隔离 隔离规则可根据您定义的身份验证标准对连接进行限制。例如，您可以使用此规则类型来隔离加入您域中的计算机和域外的计算机（例如 Internet 上的计算机）。免除身份验证 使用此选项可以创建使指定计算机免于进行身份验证的规则，而不考虑其他连接安全规则。此规则类型通常用于授权访问基础结构计算机，如 Active Directory 域控制器、证书颁发机构 (CA) 或 DHCP 服务器，此计算机必须在执行身份验证前与之通信。它还用于无法使用为此策略和配置文件配置的身份验证形式的计算机。服务器到服务器 使用此规则类型对两台指定计算机之间、两个计算机组之间、两个子网之间或者指定计算机和计算机组或子网之间的通信进行身份验证。可以使用此规则对数据库服务器和业务层计算机之间或基础结构计算机和其他服务器之间的流量进行身份验证。此规则与隔离规则类型类似，但将显示“终结点”页，以便您可以识别受此规则影响的计算机。隧道 使用此规则类型，可以通过 IPsec 中的隧道模式而非传输模式确保两台计算机之间安全地进行通信。隧道模式将整个网络数据包嵌入到在两个已定义终结点之间路由的网络数据包。对于每个终结点，您可以指定接收和消耗通过隧道发送的网络流量的单个计算机，或者指定连接到专用网络的网关计算机，接收隧道终结点从隧道中提取接收的流量后会将流量路由到该专用网络。自定义 使用此规则类型创建需要特殊设置的规则。此选项启用所有向导页（仅用于创建隧道规则的向导页除外）。（下图显示了可以使用此选项卡配置的组件）部分注意事项1、在“身份验证模式”下，选择下列选项之一以指示是否要求或请求对网络流量进行身份验证。选项描述不进行身份验证选择此选项可以使规则成为免除身份验证规则。该计算机上的 Internet 协议安全性 (IPsec) 不会对匹配此规则的网络流量进行身份验证。该选项还对使用“自定义配置”或“客户端到网关”选项创建的隧道模式规则有效。请求入站和出站如果可能，则对连接进行身份验证，但如果身份验证失败，仍会允许连接。要求入站并请求出站所有入站网络连接必须经过身份验证，否则将失败。如果可能，则对出站连接进行身份验证，但如果身份验证失败，仍会允许出站连接。要求入站和出站仅允许经过身份验证的连接。要求入站和清除出站所有入站网络连接必须经过身份验证，否则将失败。不对出站连接进行身份验证。建议您仅在 IPsec 网关上有此需求时使用此设置，该 IPsec 网关必须能够在 Internet 上启动与无法使用 IPsec  的计算机的通信。2、IPsec隧道使用高级安全 Windows 防火墙可以在无法使用第二层隧道协议 (L2TP) 的情况下执行第 3 层隧道。如果将 L2TP 用于远程通信，则不需要进行任何隧道配置，因为此版本 Windows 的客户端和服务器虚拟专用网络 (VPN) 组件会自动创建用于保护 L2TP 通信的规则。3、终结点终结点1：是隧道本地端的计算机集合，必须可以向作为终结点 2 一部分的计算机发送数据以及从中接收数据。终结点 2： 是隧道远端的计算机集合，必须可以向作为终结点 1 一部分的计算机发送数据以及从中接收数据。端口隐形端口隐形也叫端口静默 (Port Stealth).通常情况下, 如果计算机收到一个对某个未使用端口进行连接的请求时, 那么其将回复一个 "port unreachable" 的消息. 这个消息将被消息发送者收到, 并以此判断你的计算机为活动主机. 如果发送者有恶意企图, 那么他就会搜索你计算机上可能存在的漏洞并尝试攻击.一般来讲，几乎所有的网络攻击行为，都是针对于特定端口展开的。因此，尽量减少端口的暴露，是降低电脑受攻击频率的一个最好方法。而这也就是我们平时所说的“端口静默”。一般而言，端口的状态有三种：打开（Open）、关闭（Close）和隐形（Stealth）。其实，关闭端口并不是最好的解决方案，因为能检测到存活，意味着有可能通过其他手段让这个端口打开，但是在端口隐形的模式下, 你的计算机将不会回复信息 --- 也就是在对方看来, 你的计算机是关闭或者是离线的. 而与此同时, 你的正常网络活动则不会受到影响.理所当然的，win7的墙支持端口隐形=======================================================x-scan3.3扫描测试条件局域网3台主机XP SP3 +WIN7+WIN7用X-SCAN互扫，以防差错。X-Scan是使用频率较高的一款综合型扫描软件（虽然3.3的05年的版本）。能够详细地提供出，被扫描端的开放的服务、操作系统版本、snmp信息、IIS漏洞、RPC漏洞、NT服务器NETBIOS等等许许多多的信息。迫不得已，只能找出这名老将，只能说，廉颇老矣，还能饭.....不多说，直接上扫描报告图一为开了win7防火墙，X-SCAN直接扫不到存活的主机图二为关闭win7防火墙   X-SCAN找到存活的主机并且扫出如此之多开放的服务。图一图二1、 扫描的报告只为有一个定性的概念，让大家知道打开和关闭win7系统墙的利弊。2、X-SCAN作为一个老牌的扫描软件，还是具有一定的参考性的。3、扫之前我以为系统墙不能做到主机失活，但是win7墙做到了，这是我意料之外的。4、既然能够在局域网做到失活，那么接下来的针对开放服务的检测就没得做了，不过这是好事5、只是一个定性试验，所以我也不纠结那么深了，别的扫描器也就不上了。老实说，即使看到开了这么多，我能不能攻进去还是个问题呢本帖最后由 神游懒猪 于 2011-7-6 15:33 编辑win7中有个很强大的资源监视器，却一直被很多用户忽略，这里就资源监视器涉及到网络的部分进行一定的补充，是大家在使用防火墙的同时，能在图形化和数字化的资源监视器下更好的了解自己的网络。启用资源监视器单击「开始」，在“开始搜索”框中单击，键入 “resmon.exe”或者“资源监视器”，然后按 Enter。点击网络选项卡，可以清楚的看到。1、网络活动进程2、网络活动3、TCP链接4、侦听端口表中可以清楚的看到各个程序的网络占用，包括本地与远程地址，通过的端口等等。表很直观，就不做过多介绍。其实资源管理器很强大，各位饭友可以自己去挖掘===================================================ARP部分对付ARP欺骗首先绑定网关的网卡IP地址和MAC地址首先我们在开始菜单中输入cmd，这时使用Ctrl+Shift+Enter提升权限到系统管理员（或者右键-以管理员权限运行），这里使用Windows自带的ARP命令即可完成绑定。我们在cmd中输入arp -d 命令删除当前网关的IP地址与MAC映射表，然后使用 arp -a 命令更新网关IP与地址与MAC的映射关系。最后使用arp -s <网关IP地址> <网关MAC地址>，例如 arp -s 192.168.88.1 ff-ff-ff-ff-ff-ff更多内容，请看救援区关于ARP的整理帖http://bbs.kafan.cn/thread-854201-1-1.html==============================================================感谢17楼的leonwxyz提供的一个小软件  win7 firewall controlWFC（就是win7 firewall control的缩写）：是基于 Windows Filtering Platform (WFP) 实做而成, VFC 只能用在 Vista /win 7/ 2008 / 这几个具有 WFP 的系统上运行WFP ：是上述作业系统中的一种新架构, 允许软件商可以过滤或修改 TCP/IP 封包, 监控或授权连线, 过滤 IPsec-protected traffic, 过滤 RPCs。WFP 提供 APIs 给第三方软件商开发防火墙，但WFP 不是防火墙, WFP 是 system services, user-mode and kernel-mode APIs 的集合.更多WFP介绍详见http://www.microsoft.com/whdc/device/network/wfp.mspx============================================附上文件 3.5版 英文界面 Windows7FirewallControl-Setup-i386.rar (1.26 MB, 下载次数: 2727)简体中文汉化补丁，覆盖到安装目录同名文件即可（感谢leonwxyz提供的繁体汉化包） Windows7FirewallControl.rar (283.1 KB, 下载次数: 876)宝岛的同志提供的繁体汉化 http://bbs.kafan.cn/forum.php?mod=viewthread&tid=890640&page=5#pid17272150WFC作者的主页：http://www.sphinx-soft.com/Vista/order.html?from=Windows7FirewallControl安装完毕之后，界面是英文的（有空我汉化看看，不过不要抱太大希望哦）不过 WFC很简单，下面先来介绍下页面第一个标签是程序，列出了曾经操作过的程序及限制情况第二个是设置，默认设置就OK了，没必要修改，不过建议修改默认的提示声，听的我肾虚....第三个是统计，显示各个程序的联网情况。再来到第一个标签，点开其中的一个程序，可以看到，WFC的设置十分简单，对于单个程序的操作，只有四个选项disable all    出站和入站都不允许（默认）enable all    出站和入站都允许incoming only   只允许入站outgoing only   只允许出站最下面三个，分别是apply（应用）  apply once（只这次联网应用）   cancel（取消）注意事项：1、WFC在没有打开系统墙的情况下，也是可以用的，但是建议使用的同时打开系统墙2、默认是disable，所以看清程序，别把不该拦的也拦了。3、这个程序挺适合对于程序有一定控制欲望的同学使用4、这个程序分为普通版和加强版（收费），普通版的功能已经足够我们使用了。七楼  总结1、本文更贴近介绍类性质的文章，我从微软的官方文献中和帮助文章中找了一些贴近使用者的帮助信息，尽量避免出现较深的词汇，即使有，我也添加了一定的注解。2、介绍中我们可以看到，系统墙的功能完全能满足一般用户对于墙的需求。3、系统墙只是纯墙，所以不要用带HIPS的墙来要求系统墙，如果高级用户，可以用带HIPS的，所谓4D防御的墙。4、很多人比较漠视墙的存在，反而更重视HIPS，我还是想说，两者都是很重要的部件，且各司其职，处在不同的防御位置。当年的冲击波就是就是一个很好的例子。所以一般用户还是开着墙比较好，况且WIN7的系统墙已经足够强大。5、折腾了一段时间系统墙之后，我对趋势的防火墙助手更感兴趣了.....小猜测，趋势根据系统墙，写了一定的规则，来规避漏洞可能的攻击。而趋势防火墙助手的病毒码的名字——网络病毒特征也验证了这个猜测。6、特别感谢C大的资料，仔细拜读了科普知识，并从原先的几个版主及技术型饭友的讨论中，获益匪浅。写文章的过程，也是自我提升的过程.....