高效保护系统安全 管好XP防火墙几则技巧

　　尽管Windows系统自带有防火墙功能，但不少人认为该功能并不是十分强大，往往无法保护好系统安全，为此他们常常借助外来“力量”，在本地计算机中安装第三方安全保护程序，来“护驾”系统安全运行。事实上，Windows系统自带防火墙的“潜能”还是十分巨大的，只要我们善于从细节出发，深入对其“潜能”进行挖掘，完全可以用自带防火墙保护好本地系统的安全。这不，本文下面就为各位总结了几则防火墙的管理维护技巧，但愿这些技巧能帮助各位更高效地保护好系统安全!

　　巧用命令，管理防火墙

　　在管理Windows系统内置的防火墙时，相信多数人都会在Windows状态下，进入防火墙的参数配置界面来对其进行管理控制。事实上，除了在Windows界面下能管理防火墙外，我们还能改变管理思路，通过一些简单的命令来对防火墙进行快速管理控制。例如，当有人对防火墙的配置参数进行胡乱修改，导致网络不能正常访问连接时，我们只要按照如下操作步骤就能快速地让防火墙的参数恢复到默认数值:

　　首先打开Windows系统的“开始”菜单，并执行其中的“运行”命令，打开系统运行对话框，在其中输入“cmd”字符串命令，单击回车键后，将Windows系统切换到MS-DOS工作模式;

　　然后在MS-DOS命令提示符下，输入“netsh firewall reset”字符串命令，单击回车后系统就会自动将Windows内置防火墙的各项参数恢复到出厂设置状态，并返回“确定”提示(如图1所示);将防火墙参数恢复到默认状态后，我们再重新对其正确配置，这样说不定就能将由防火墙引起的网络故障快速排除掉了。

图1

　　除了通过命令可以快速恢复防火墙参数外，我们还能对防火墙进行其他方面的管理操作。例如，要想检查防火墙参数是否设置正确时，我们根本不需要逐一打开每一个配置页面进行依次检查，而只需要在MS-DOS命令提示符下简单地执行一下“netsh firewall show config”字符串命令，系统就能自动把防火墙所有的配置参数列写出来了，这样我们就能一目了然地查看到各种参数配置信息了。

　　要想在本地计算机系统中安装其他更加专业的防火墙程序时，我们往往需要先将Windows系统内置的防火墙程序暂时关闭掉，以防止新安装的防火墙与其发生冲突。在暂时禁用Windows系统内置的防火墙时，我们只需在DOS命令提示符下执行“netsh firewall set opmode mode=disable”字符串命令就可以了，而根本不用麻烦去打开防火墙配置界面。日后想将Windows系统自带防火墙重新启用起来的话，只需执行字符串命令“netsh firewall set opmode mode=enable”就OK了。怎么样，这种管理防火墙的方法是不是很新颖呀!?

　　着眼服务，启用防火墙

　　在默认状态下，Windows XP系统内置的防火墙是不会被启用的，而要启用防火墙，我们往往需要先打开本地系统的网络连接列表窗口，然后用鼠标右键单击其中的“本地连接”图标，执行快捷菜单中的“属性”命令，进入本地连接属性配置界面，再打开该配置界面中的“高级”标签页面，最后单击其中的“设置”按钮，才能启用防火墙。但在实际启用防火墙的过程中，我们有时会发现进入到本地连接属性配置界面中的“高级”标签页面时，发现“设置”按钮竟然变成了灰色调，这么一来我们就无法将防火墙启用起来了。遇到这种特殊现象时，我们究竟该如何才能将防火墙重新启用起来呢?

　　正常情况下，Windows系统是允许用户手工启用防火墙的，一旦发现“高级”标签页面中的“设置”按钮变为不可设置状态时，很有可能是我们在操作计算机的过程中，意外地将与防火墙相关联的服务停用了。这个时候，我们不妨按照如下步骤来重新启用防火墙:

　　用鼠标右键单击Windows系统桌面中的“我的电脑”图标，从弹出的右键菜单中执行“管理”命令，进入到本地系统的计算机管理窗口，在该窗口的左侧显示区域，找到“服务和应用程序”分支项目，然后选中该分支项目下面的“服务”子项;

　　在对应“服务”子项右侧的列表区域中，用鼠标双击“Windows Firewall/Internet Connection Sharing(ICS)”系统服务，打开如图2所示的系统服务参数设置界面;

图2

　　单击该界面中的“常规”标签，并在对应标签页面的“服务状态”设置项处我们能清楚地查看到该系统服务当前的运行状态;如果发现该系统服务还没有被正常启用的话，那我们只要单击一下“启动”按钮就能让该服务重新启用起来了，之后再次进入本地连接属性配置界面中的“高级”标签页面时，我们就会发现“设置”按钮此时就有效了，单击生效了的“设置”按钮后，我们就能进入防火墙设置窗口，对其中的各项参数进行任意设置了。此外，为了保证“Windows Firewall/Internet Connection Sharing(ICS)”系统服务能随Windows系统一起启动，我们还必须在“常规”标签页面中的“启动类型”设置项处将服务启动类型设置为“自动”。

　　使用命令，重装防火墙

　　从上面我们不难了解，一旦无法进入防火墙参数配置界面时，只要重新启动一下“Windows Firewall/Internet Connection Sharing(ICS)”系统服务就应该能解决问题了。但事实上，我们有时会碰到“Windows Firewall/Internet Connection Sharing(ICS)”系统服务启动出错的特殊现象，这种现象多半是由防火墙系统文件受到破坏引起的;此时，我们只有按照如下操作步骤，重新安装一下系统防火墙，才能将受损的系统文件修复起来:

　　首先打开Windows系统的“开始”菜单，并执行其中的“运行”命令，打开系统运行对话框，在其中输入“cmd”字符串命令，单击回车键后，将Windows系统切换到MS-DOS工作模式;

　　其次在DOS命令行提示符下，输入字符串命令“Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf”，单击回车键后，再重新启动一下Windows系统;

　　接下来再将Windows系统切换到MS-DOS工作模式，并在DOS命令行提示符下执行“netsh firewall reset”字符串命令，这样Windows防火墙的各项设置参数就被自动恢复到默认状态了;之后，我们再尝试启用“Windows Firewall/Internet Connection Sharing(ICS)”系统服务时，就不会遇到什么系统错误提示了。

　　禁用服务，屏蔽防火墙

　　有时为了实现某种特殊安全防范目的，我们往往需要在本地计算机系统中安装第三方防火墙，为防止该防火墙与系统自带防火墙相互引起冲突，事先必须将Windows系统自带防火墙关闭掉。可是，即使我们将Windows系统自带防火墙关闭掉了，该防火墙有时还会随系统一起启动，那么我们有没有办法将防火墙彻底屏蔽掉呢?

　　其实，彻底屏蔽Windows系统自带防火墙的方法有很多，不过笔者在这里为大家提供一则比较简单的方法，那就是禁用服务“Application Layer Gateway Service”就可以了，下面就是具体的实施步骤:

　　用鼠标右键单击Windows系统桌面中的“我的电脑”图标，从弹出的右键菜单中执行“管理”命令，进入到本地系统的计算机管理窗口，在该窗口的左侧显示区域，找到“服务和应用程序”分支项目，然后选中该分支项目下面的“服务”子项;

　　在对应“服务”子项右侧的列表区域中，用鼠标双击“Application Layer Gateway Service”系统服务，打开如图3所示的系统服务参数设置界面;

图3

　　单击该界面中的“常规”标签，并在对应标签页面中单击“停止”按钮，这样就能将已经启动的“Application Layer Gateway Service”系统服务暂时停用掉了;为了达到彻底屏蔽防火墙的目的，我们还需要在“启动类型”设置项处，将该服务的启动类型设置为“已禁用”，最后单击“确定”按钮，那样的话Windows系统自带防火墙就能被彻底屏蔽掉了。

　　巧设策略，锁定防火墙

　　在多个人共享使用同一台计算机的情形下，每个人都可以随意进入防火墙参数配置界面，来对计算机系统进行安全限制。但这么一来，本地系统的安全参数很容易被设置混乱，从而影响其他人正常使用该共享计算机系统。为了防止普通用户随意修改防火墙参数，导致计算机系统不能被正常使用，我们可以按照如下步骤将防火墙锁定起来，以便实现禁止修改防火墙参数的目的:

　　在Windows系统桌面中逐一单击“开始”、“运行”命令，在其后出现的运行文本框中输入“gpedit.msc”字符串命令，打开本地计算机的系统组策略窗口;

　　在该窗口的左侧显示区域，找到“计算机配置”分支项目，然后用鼠标逐一展开该分支项目下面的“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”子项，在对应“标准配置文件”子项右侧的显示区域中，用鼠标右键单击“Windows防火墙:保护所有网络连接”项目，从其后出现的快捷菜单中执行“属性”命令，打开如图4所示的属性设置窗口;

 
图4

　　在该窗口的“设置”标签页面中，检查一下“Windows防火墙:保护所有网络连接”项目此时是否处于“已启用”状态，要是发现该项目已被启用的话，我们只要重新选择“已禁用”选项，再单击确定。