解读Windows XP SP2防火墙

核心提示： 五、Windows XP SP2的防火墙可以限制某个应用程序访问网络吗？Windows XP SP2的防火墙置不适用于不对特定 UDP 或 TCP 端口集合进行监听的应用程序，不能限制某个应用程序访问网络，解读Windows XP SP2防火墙(5)，但是，却可以限制对谁提供哪些服务，现在

五、Windows XP SP2的防火墙可以限制某个应用程序访问网络吗？

Windows XP SP2的防火墙置不适用于不对特定 UDP 或 TCP 端口集合进行监听的应用程序，不能限制某个应用程序访问网络，但是，却可以限制对谁提供哪些服务，这一点也不同于早期版本的Windows防火墙。

虽然Windows防火墙不可以限制出站通讯，但是Windows XP内置的Internet Protocol security (IPSec)却可以提供这种保护，使用IPSec规则，可以指定通讯是被阻断（丢弃数据）还是被放行（允许），同时能保护加密的入站和出站通讯。在这三种情况下（阻断、允许、保护），IPSec能够配置原地址和目标地址范围。同时使用IPSec规则和Windows防火墙可以给网络提供更强大的安全保护。

对早期Windows防火墙而言，如果开启了某些服务，它将允许所有人访问这些服务，但是SP2的防火墙却可以精确的设置是对某台计算机或者某些子网允许连接；如果没有开启服务，则所有连接都将被拒绝。设置方法：安全中心-防火墙设置-例外-编辑（某个服务）-更改范围-自定义列表。自定义列表的说明，如果对某个IP提供服务，设置子网掩码为全1，例如192.168.0.3/255.255.255.255；如果针对某个子网提供服务，设置正确的子网掩码，如192.168.0.1/255.255.255.128，多个项目之间用“,”号隔离。

如上所述，ICF和基于应用程序的个人防火墙产品是不一样的。基于应用程序的个人防火墙可以控制每一个访问Internet的程序，但是不能限制某个应用程序访问网络，使用使用IPSec规则可以提供对计算机向外发出的报文进行过滤的功能。

六、部署文件和打印共享、网上邻居不再困难

网络资源共享的一个重要应用是文件和打印共享，如果启用了防火墙是不是象2003或XPSP1中的防火墙一样，阻止了文件和打印共享服务呢？在 Windows XP SP22的防火墙下部署文件和打印共享服务非常简单，不必担心出现早期版本遇到的难堪的困难，如上图在“例外”选项上“程序和服务”列表中选择“文件及打印机共享”就可以了。曾几何时，在XPSP1防火墙中如果要让防火墙和网上邻居共存需要映射多个端口，现在，如果在Windows XP SP2防火墙启用了“文件及打印机共享”，网上邻居不能正确显示的问题也迎刃而解。