組策略配置

通過使用Windows防火墻，管理員可以使其對小型網絡的公共連接或連接在internet上的單獨計算機進行必要的保護。他們通過在網絡中部署Windows防火墻的適當的配置設定，并啟動它來對網絡提供安全保護。Windows防火墻組策略配置可以通過組策略控制臺的以下位置找到:

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile

Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Standard profile

在Windows XP SP2中，Windows防火墻默認設定為阻止所有端口，這也意味著服務器到客戶機的應用將無法到達客戶端。這種情況下可以通過在組策略中設定IPSEC來驗證并信任服務器端應用發送到客戶端的請求。'Windows 防火墻: 允許通過驗證的IPSEC旁路'的組策略設定允許你指定是否啟用Windows防火墻的IPSEC驗證來允許來自指定系統的主動傳入消息。

命令行工具

Windows防火墻的配置和狀態信息可以通過命令行 Netsh.exe 獲得。我們可以使用 netsh firewall 命令來獲取防火墻信息和修改防火墻設定。

Commands in this context:

-------------------------------------------------------

? - Displays a list of commands.

add - Adds firewall configuration.

delete - Deletes firewall configuration.

dump - Displays a configuration script.

help - Displays a list of commands.

reset - Resets firewall configuration to default.

set - Sets firewall configuration.

show - Shows firewall configuration.

安全警告

在Windows XP SP2中，當用戶在本地運行一個應用程序并將作為Internet服務器提供服務時，Windows防火墻將彈出一個新的安全警告對話框（如上圖）。你可以使用對話框中的選項將此應用程序或服務添加到Windows防火墻的例外項中。Windows防火墻的例外項配置可以允許特定的進站連接。如果使用這種方法后程序無法正常運行，你可以通過下列分析步驟將問題隔離出來:

添加程序到例外項中;

添加端口到例外項中;

使用防火墻安全紀錄;

禁止防火墻(不推薦).

Windows 防火墻是在 Windows XP Service Pack 2 中取代原來的 Internet Connection Firewall 的更新版本. 默認狀態下防火墻在所有的網卡界面均為開啟狀態. 無論是windows xp全新安裝還是升級安裝，這個選項都可以在默認的情況下給網絡連接提供更多的保護。但是，如果某些應用程序不能在這個防火墻過濾狀態下工作的話，他們將無法兼容于這個新的操作系統。

更新

用戶界面和新特性

要配置 Windows 防火墻, 可以從安全中心中打開，安全中心位于控制面板，當然也可以直接從控制面板中打開Windows 防火墻控制臺，還有第3個選擇，可以從網絡連接的高級選項卡中進入防火墻控制臺。在主選項卡中有3個選項：

啟用 (推薦)

不允許例外

關閉 (不推薦)

;選擇了不允許例外，Windows 防火墻將攔截所有的連接你的計算機的網絡請求, 包括在例外選項卡中列表的應用程序和系統服務。另外，防火墻也將攔截文件和打印機共享，還有網絡設備的偵測。使用不允許例外選項的windows 防火墻比較適用于連接在公共網絡上個人計算機，比如在賓館和機場公共使用的計算機。即使你使用了不允許例外選項的windows 防火墻，你仍然可以瀏覽網頁，發送接受電子郵件，或者使用即使通訊軟件。

例外選項卡中允許添加阻止規則例外的程序和端口來允許特定的進站通訊。對于每一個例外項，你都可以相應的設置一個作用域。對于家用和小型辦公室應用網絡，推薦設置作用域為可能的本地網絡。當然，你也可以手工設置作用域中IP的范圍。這樣，只有來自特定的IP地址范圍的網絡請求才能被接受。

在例外選項卡中還有一個添加程序的按鈕。如果你希望網絡中（防火墻外）的其他客戶端能夠訪問你本地的某個特定的程序或服務，而你又不知道這個程序或服務將使用哪一個端口和哪一類型端口，這種情況下你可以將這個程序或者服務添加到Windows 防火墻的例外項中以保證它能被外部訪問。

在高級選項卡中可以配置以下設定：

應用在每個網絡界面上的連接特定規則

安全紀錄配置

全局ICMP規則，通過Internet控制消息協議(ICMP)允許網絡上的計算機共享和傳遞錯誤和狀態信息。

默認設置，可以將所有Windows防火墻設置還原為默認狀態

我們可以針對不同的網絡連接配置不同的規則。將例外選項中的設定與高級選項中網絡連接的附加設定組合后稱之為Windows防火墻'合成設置(resultant set)'。