我記得有些人把攔截/限制本機軟體行為的HIPS也叫做“防火牆”,反正我不太認同。
“防火牆”我覺得一般指的是檢查/過濾網路流量的軟體(或硬體裝置),和HIPS不是一回事。
還有些人可能把防毒軟體和防火牆也混為一談了……這個我也不多吐槽了……
Windows自帶防火牆的作用,主要就是預設遮蔽入站連線,這樣的話即使碰到WannaCry那種區域網傳播的蠕蟲,你也不受影響——不過很顯然,代價就是你不能用445埠背後的SMB服務了,也就是在局域網裡的資料夾和印表機共享,不能用了。
補充一下,忘了說了:如果你去控制面板的“高階共享設定”裡啟用“資料夾和印表機共享”和“網路發現”這兩個功能,那防火牆規則也會順帶著被自動調整的。
準確地講,防火牆預設阻擋的是“公用網路”中的資料夾和印表機共享。
至於什麼是“公用網路”,每次你插網線/連WiFi的時候,都會有彈窗提示你設定的。
大概來說,如果是很私密的家用/辦公室WiFi等環境(從不隨意分享密碼,甚至是不使用PSK密碼認證),你很確信別人連不進來,那就應該設定成“專用網路”,否則就應該是“公用網路”。
不過很顯然,肯定有不少使用者因為一知半解,或者病急亂投醫,就直接“啟用公用網路上的資料夾和印表機共享”了……
出站連線預設是不阻擋的,只有你手動新增規則才可以阻擋。有些軟體會聯網向伺服器查詢啟用狀態,所以某些盜版軟體的使用者可能會利用這個功能來躲正版驗證。
而且,你要是仔細觀察一下,就可以發現:雖然這個防火牆支援的過濾規則看起來選項繁多,但實際上很簡單,甚至是簡陋……連iptables都有人覺得夠不上“防火牆”的檔次,只能叫“資料包過濾器”,那就更不用提靈活性還遠不如iptables的Windows自帶防火牆啦。
有人喜歡關掉這個自帶防火牆,原因一般都是因為有些遊戲可以區域網聯機,需要在本機開伺服器,然後被防火牆預設阻擋了吧。可能也有其他原因,不過估計都和區域網伺服器有關。
想象一下:某玩家看著曲徑通幽的控制面板圖示,翻找半天,又看到長長的規則列表,翻了半天還是一頭霧水,還可能被UAC絆幾次腳,心裡那肯定是一把無名火啊,你這個辣雞玩意兒,擋著我們哥幾個聯機,壞我們興致,趕緊滾粗……
實際上對於要開伺服器的軟體來說,在它們監聽埠的時候,防火牆都會彈出視窗提示使用者是否放行的。不過我估摸著絕大多數使用者都沒理解這個視窗的意思。
我記得有些人把攔截/限制本機軟體行為的HIPS也叫做“防火牆”,反正我不太認同。
“防火牆”我覺得一般指的是檢查/過濾網路流量的軟體(或硬體裝置),和HIPS不是一回事。
還有些人可能把防毒軟體和防火牆也混為一談了……這個我也不多吐槽了……
Windows自帶防火牆的作用,主要就是預設遮蔽入站連線,這樣的話即使碰到WannaCry那種區域網傳播的蠕蟲,你也不受影響——不過很顯然,代價就是你不能用445埠背後的SMB服務了,也就是在局域網裡的資料夾和印表機共享,不能用了。
補充一下,忘了說了:如果你去控制面板的“高階共享設定”裡啟用“資料夾和印表機共享”和“網路發現”這兩個功能,那防火牆規則也會順帶著被自動調整的。
準確地講,防火牆預設阻擋的是“公用網路”中的資料夾和印表機共享。
至於什麼是“公用網路”,每次你插網線/連WiFi的時候,都會有彈窗提示你設定的。
大概來說,如果是很私密的家用/辦公室WiFi等環境(從不隨意分享密碼,甚至是不使用PSK密碼認證),你很確信別人連不進來,那就應該設定成“專用網路”,否則就應該是“公用網路”。
不過很顯然,肯定有不少使用者因為一知半解,或者病急亂投醫,就直接“啟用公用網路上的資料夾和印表機共享”了……
出站連線預設是不阻擋的,只有你手動新增規則才可以阻擋。有些軟體會聯網向伺服器查詢啟用狀態,所以某些盜版軟體的使用者可能會利用這個功能來躲正版驗證。
而且,你要是仔細觀察一下,就可以發現:雖然這個防火牆支援的過濾規則看起來選項繁多,但實際上很簡單,甚至是簡陋……連iptables都有人覺得夠不上“防火牆”的檔次,只能叫“資料包過濾器”,那就更不用提靈活性還遠不如iptables的Windows自帶防火牆啦。
有人喜歡關掉這個自帶防火牆,原因一般都是因為有些遊戲可以區域網聯機,需要在本機開伺服器,然後被防火牆預設阻擋了吧。可能也有其他原因,不過估計都和區域網伺服器有關。
想象一下:某玩家看著曲徑通幽的控制面板圖示,翻找半天,又看到長長的規則列表,翻了半天還是一頭霧水,還可能被UAC絆幾次腳,心裡那肯定是一把無名火啊,你這個辣雞玩意兒,擋著我們哥幾個聯機,壞我們興致,趕緊滾粗……
實際上對於要開伺服器的軟體來說,在它們監聽埠的時候,防火牆都會彈出視窗提示使用者是否放行的。不過我估摸著絕大多數使用者都沒理解這個視窗的意思。