none
[WIN7防火墙求助]WIN7防火墙允许程序访问的问题 RRS feed

  • 常规讨论

  • 我的win7防火墙设置中的传入连接是:阻止所有未在允许程序列表中的程序的连接,同时阻止新程序时通知我。但是查看允许程序通过windows防火墙通信的列表当中,发现其中的程序列表并不完整,还有很多程序没有在列表当中但是可以访问网络。例如魔兽世界的客户端wow.exe文件,插件程序bigfoot.exe,浏览器firefox等。这些程序并不在列表中但是可以访问网络,win7也没有阻止的提示。但是某些程序又会提示,例如暴风影音,千千静听等。这与我的传入连接的设置是相悖的,查看高级防火墙设置发现,默认情况下是允许不匹配的规则出站的。但是这就存在程序的漏洞,默认情况下有些程序windows并不会阻止访问网络并提示。这是否是win7自带防火墙的漏洞?明明设置了所有不在列表的程序访问网络,实际却漏了很多程序
    2010年8月28日 17:15

全部回复

  • 对于使用标准HTTP协议(端口80)的程序,防火墙默认是不予阻止的
    共同努力,共同提高
    kaedei#live.cn My BLOG
    2010年8月29日 2:14
    版主
  • 但是wow.exe之类的程序,防火墙也没有阻止吧。还有其他很多程序,例如SONY VAIO自己的更新套件,bigfoot.exe等,并不是http协议吧?防火墙也没有通知我阻止了访问,而是直接放行
    2010年8月29日 3:52
  • 你好,

    Windows 7中的防火墙并非形同虚设。比如使用QQ就需要特定端口来进行通信,所以在第一次登录QQ时Windows防火墙便会发现QQ正在请求从某个端来实现网络通信,这时Windows防火墙便会发出提示询问用户是否允许QQ从互联网传入连接。

    但需要注意的是即使选择不允许QQ在专用或公共位置中通信,但仍然可以成功登录QQ。这是因为Windows防火墙所提示的并非是本机的传出连接,而是传入连接。

    也就是说“允许程序通过Windows防火墙通信”是设置传入连接而不是设置传出连接。这也就是为什么在“允许程序通过Windows防火墙通信”列表中的程序不完整的原因,因为仅当本机中存在的程序才会有机会让用户允许改程序传入连接。换言之,在互联网中未知的程序Windows防火墙将直接阻止不予通告。

    要阻止wow.exe、bigfoot.exe这类的程序传出连接,需要在“高级安全Windows防火墙”中专门创建专门规则来实现对其的限制。


    请将已解决的问题标记为“答案”,以便更多的朋友能够方便的找到问题解决方案。 - MVP | Windows Desktop Experience | Virtualization Sino
    2010年8月29日 8:03
    版主
  • 入站連接: 是位於本地的程序建立特定端口以偵聽來自外部計算機的訪問請求, Windows 防火墻默認阻止入站連接.

    出站連接: 是位於本地的程序發起對外部計算機的訪問請求, Windows 防火墻默認允許出站連接.

    你需要將確實想阻止其訪問外部計算機的程序, 為其添加阻止出站連接規則.


    Folding@Home
    2010年8月29日 8:28
  • 你好,

    Windows 7中的防火墙并非形同虚设。比如使用QQ就需要特定端口来进行通信,所以在第一次登录QQ时Windows防火墙便会发现QQ正在请求从某个端来实现网络通信,这时Windows防火墙便会发出提示询问用户是否允许QQ从互联网传入连接。

    但需要注意的是即使选择不允许QQ在专用或公共位置中通信,但仍然可以成功登录QQ。这是因为Windows防火墙所提示的并非是本机的传出连接,而是传入连接。

    也就是说“允许程序通过Windows防火墙通信”是设置传入连接而不是设置传出连接。这也就是为什么在“允许程序通过Windows防火墙通信”列表中的程序不完整的原因,因为仅当本机中存在的程序才会有机会让用户允许改程序传入连接。换言之,在互联网中未知的程序Windows防火墙将直接阻止不予通告。

    要阻止wow.exe、bigfoot.exe这类的程序传出连接,需要在“高级安全Windows防火墙”中专门创建专门规则来实现对其的限制。


    请将已解决的问题标记为“答案”,以便更多的朋友能够方便的找到问题解决方案。 - MVP | Windows Desktop Experience | Virtualization Sino

    根据3楼repl所述,我也清楚默认情况下,win7防火墙是不允许不匹配的入站连接,允许不匹配的出站连接。我的疑惑是,如果某个不在列表中的程序发起了出站连接,win7默认允许,那当服务器端回应的时候,为什么此时没有阻止呢,难道服务器端的响应不算入站连接吗?您提到的qq,在不允许专用或公用网络通信的情况下,qq发起了出站请求,服务器响应登陆请求,这是一个双向的通信,按照我的理解,即便允许了出站,但是入站是要阻止的吧,那应该结果是登陆不了?例如wow.exe,作为网络游戏来说也是双向通信吧,但是win7也是没有阻止的(wow.exe不在允许程序列表中)。另一个问题是,有些程序是在列表中有记录,例如千千静听,三国杀online等,但是诸如wow.exe之类的,我觉得应该是和三国杀online等程序基本通信原理相似的程序却不在列表中,即是说一些功能相似的程序防火墙有记录和通知,但是有些又没有。请您再解答一下谢谢
    2010年8月29日 11:05
  • 既然系統默認允許本地程序向外部計算機發送訪問請求, 那么就沒有必要阻止外部計算機的響應. 另外如果本地程序同外部計算機的數據傳送規則是, 外部計算機只接收請求, 而不回應, 那么對于外部計算機應用阻止入站連接規則也是沒有意義的.

     


    Folding@Home
    2010年8月29日 12:46
  • 既然系統默認允許本地程序向外部計算機發送訪問請求, 那么就沒有必要阻止外部計算機的響應. 另外如果本地程序同外部計算機的數據傳送規則是, 外部計算機只接收請求, 而不回應, 那么對于外部計算機應用阻止入站連接規則也是沒有意義的.

     


    Folding@Home

    那这样就会存在问题吧,假如一个无法检测的未知的恶意程序在本机上发起一个请求,例如下载器木马,去请求下载其他木马程序,而win7防火墙却完全无法阻止这种情况。至于外部计算机只接受请求,对于魔兽世界wow.exe和三国杀online这种应用程序来说,必须是双方通信的吧,然而三国杀online却在允许列表里(当初防火墙也通知过我是否阻止通信),而魔兽世界wow.exe却没有通知和允许列表里的记录。以前我使用过金山网镖,该软件会通知用户只要某个程序会访问网络(这里是出站),让用户选择是禁止还是允许。这样的好处是可以帮助用户阻止未知的恶意程序访问网络,我也凭此避免了几次被盗号的可能。可惜的是金山网标不支持64位win7。我是基于这个思路来思考的,所以win7自带的防火墙开始让我以为和网标是一个原理,实际上发现并不相同,win7的防火墙无法像网标那样提示和帮助用户来决定是否允许某个程序访问网络,而是必须更改高级防火墙设置,由用户手动添加允许程序,这就交互性而言,不如网标方便,对于普通用户来说需要一定的相关知识。这应该算是win7防火墙目前的不完善之处吧
    2010年8月29日 12:56
  • 既然系統默認允許本地程序向外部計算機發送訪問請求, 那么就沒有必要阻止外部計算機的響應. 另外如果本地程序同外部計算機的數據傳送規則是, 外部計算機只接收請求, 而不回應, 那么對于外部計算機應用阻止入站連接規則也是沒有意義的.

     


    Folding@Home

    那这样就会存在问题吧,假如一个无法检测的未知的恶意程序在本机上发起一个请求,例如下载器木马,去请求下载其他木马程序,而win7防火墙却完全无法阻止这种情况。至于外部计算机只接受请求,对于魔兽世界wow.exe和三国杀online这种应用程序来说,必须是双方通信的吧,然而三国杀online却在允许列表里(当初防火墙也通知过我是否阻止通信),而魔兽世界wow.exe却没有通知和允许列表里的记录。以前我使用过金山网镖,该软件会通知用户只要某个程序会访问网络(这里是出站),让用户选择是禁止还是允许。这样的好处是可以帮助用户阻止未知的恶意程序访问网络,我也凭此避免了几次被盗号的可能。可惜的是金山网标不支持64位win7。我是基于这个思路来思考的,所以win7自带的防火墙开始让我以为和网标是一个原理,实际上发现并不相同,win7的防火墙无法像网标那样提示和帮助用户来决定是否允许某个程序访问网络,而是必须更改高级防火墙设置,由用户手动添加允许程序,这就交互性而言,不如网标方便,对于普通用户来说需要一定的相关知识。这应该算是win7防火墙目前的不完善之处吧

    這時 Windows Vista/7 內置的 UAC 和 Windows Defender(如果安裝了 MSE, 則由 MSE 接替) 就派上用場了, 木馬程序要想隨著系統啟動, 為自己的隱秘操作而往系統目錄寫入必備文件, 安裝服務等需要管理員確認的操作, 就會被 UAC 發現, 進而告知用戶. 同時只要 Windows Defender 或 MSE 沒有禁用, 那么惡意程序程序多半都沒法運行, 跟不要說下載木馬了.
    Folding@Home
    2010年8月29日 14:00

  • 這時 Windows Vista/7 內置的 UAC 和 Windows Defender(如果安裝了 MSE, 則由 MSE 接替) 就派上用場了, 木馬程序要想隨著系統啟動, 為自己的隱秘操作而往系統目錄寫入必備文件, 安裝服務等需要管理員確認的操作, 就會被 UAC 發現, 進而告知用戶. 同時只要 Windows Defender 或 MSE 沒有禁用, 那么惡意程序程序多半都沒法運行, 跟不要說下載木馬了.
    Folding@Home

    UAC我给忘记了,因为用win7才不久。但是我总觉得对于未知程序而言,UAC和win defender还是不能完全解决问题吧,可能我受到以前使用过的安全产品的影响,希望win7的防火墙也具有我所希望的功能。因为总会有新的漏洞出现,让本地的恶意程序访问网络而且绕开UAC,如果win7的防火墙能够更加人性化把所有要访问网络的应用程序都通知用户应该更好一点吧。当然是我自己的看法,也许微软就是结合防火墙+UAC来达到这个效果。谢谢repl的回答了
    2010年8月29日 15:23
  • 不过我的问题还没有解决,第一个问题是为什么有的程序就会通知我,有的就不会,甚至都不在列表里,最典型的就是wow.exe,还有别的部分应用程序了。第二个问题是,如果repl的说法是正确的,对于本地程序默认允许出站,对应的入站连接也不阻止,那不是效果差很多了吗?默认情况下的防火墙仅是对外部的程序首先发起入站连接才阻止,而对于本地的程序只要用户不设置匹配规则就默认放行,那还是存在安全隐患吧,抛开UAC和windows defender或者MSE来说的话。
    2010年8月29日 15:30
  • 在防火牆列外列表的程序或服務, 為在本地開有端口進行偵聽外部計算機之請求的程序或服務, 它們需要在本地開放特定端口進行通信以實現既定的功能.  阻止入站連接有兩種情況: 一, 阻止特定或不特定的本地程序打開指定的端口; 二, 阻止外部計算機連接到本地程序打開的端口. 該操作表明用戶允許特定的程序或不特定的程序打開指定的本地端口, 但不允許指定的外部計算機進行訪問.

    如果本地程序沒有打開端口, 則不記錄到該列表.


    Folding@Home

     

     

    2010年8月30日 1:00
  • 在防火牆列外列表的程序或服務, 為在本地開有端口進行偵聽外部計算機之請求的程序或服務, 它們需要在本地開放特定端口進行通信以實現既定的功能.  阻止入站連接有兩種情況: 一, 阻止特定或不特定的本地程序打開指定的端口; 二, 阻止外部計算機連接到本地程序打開的端口. 該操作表明用戶允許特定的程序或不特定的程序打開指定的本地端口, 但不允許指定的外部計算機進行訪問.

    如果本地程序沒有打開端口, 則不記錄到該列表.


    Folding@Home

     

     

     

    这里看了几遍不是特别明白,那对于魔兽世界客户端wow.exe来说,难道在本地没有打开端口?不可能吧。能结合我的问题具体阐述下么,为什么wow.exe不在列表中可以流畅的和服务器端通信?
    2010年8月30日 10:48
  • 對于作為客戶端的程序和作為服務端的程序都會建立端口以進行通信, 但區別在于服務端的端口是手動指定, 客戶端的端口是系統分配. 之所以防火墻對於作為服務端的程序進行嚴格的限制, 是因為因為, 一作為服務端的話, 那很可能是打開常見的端口, 既然是提供服務, 那么打開的端口通常會存在相當長的時間, 而由于網絡環境的錯綜復雜, 使得無論是系統或管理員都很難確定到底有多少外部計算機會連接到端口, 那些計算機(程序)是否有惡意的, 是否會通過端口(如果是常見端口, 則會增加被攻擊的可能)利用空開或未公開的漏洞入侵系統, 這於系統安全防范來說是個難題. 而作為客戶端的程序通常都是有明確的目的, 發送連接請求的外部計算機也相較於識別, 至少是易鎖定的, 較服務端的程序容易管理.

    因為我沒有玩過魔獸世界, 再加上要理解一個程序的內部工作原理, 是需要做相當多的工作, 相當深入的研究才能理解, 所以這裏只能給出一個一般性的回復, 魔獸世界的客戶端應該是一個 C/S 結構的程序(客戶/服務器端), 只需要按照已經設置好的運行邏輯向發送遠程主機請求, 待連接建立後, 再依據運行邏輯交換數據.

    最後提供一個 TcpView 實用工具, 你可以通過該工具了解你的系統正在使用網絡功能的程序的相關狀態.

    TcpView

    http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

    注:

    首次使用該工具時, 可能出現列表控件裏的字過小, 如果是的話, 就需要通過該工具 "Options" 菜單 - "Fonts..." 菜單項, 修改字體為 "Fixedsys".


    Folding@Home
    2010年8月30日 12:34
  • 對于作為客戶端的程序和作為服務端的程序都會建立端口以進行通信, 但區別在于服務端的端口是手動指定, 客戶端的端口是系統分配. 之所以防火墻對於作為服務端的程序進行嚴格的限制, 是因為因為, 一作為服務端的話, 那很可能是打開常見的端口, 既然是提供服務, 那么打開的端口通常會存在相當長的時間, 而由于網絡環境的錯綜復雜, 使得無論是系統或管理員都很難確定到底有多少外部計算機會連接到端口, 那些計算機(程序)是否有惡意的, 是否會通過端口(如果是常見端口, 則會增加被攻擊的可能)利用空開或未公開的漏洞入侵系統, 這於系統安全防范來說是個難題. 而作為客戶端的程序通常都是有明確的目的, 發送連接請求的外部計算機也相較於識別, 至少是易鎖定的, 較服務端的程序容易管理.

    因為我沒有玩過魔獸世界, 再加上要理解一個程序的內部工作原理, 是需要做相當多的工作, 相當深入的研究才能理解, 所以這裏只能給出一個一般性的回復, 魔獸世界的客戶端應該是一個 C/S 結構的程序(客戶/服務器端), 只需要按照已經設置好的運行邏輯向發送遠程主機請求, 待連接建立後, 再依據運行邏輯交換數據.

    最後提供一個 TcpView 實用工具, 你可以通過該工具了解你的系統正在使用網絡功能的程序的相關狀態.

    TcpView

    http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

    注:

    首次使用該工具時, 可能出現列表控件裏的字過小, 如果是的話, 就需要通過該工具 "Options" 菜單 - "Fonts..." 菜單項, 修改字體為 "Fixedsys".


    Folding@Home

    所以说啊,我觉得win7的防火墙并不完善,某些网游就有阻止的信息,有些网游就自由通信。允许程序列表这个功能做的比较失败,要熟练使用必须更改高级防火墙设置,手动制作规则
    2010年8月30日 14:43
  • 其实这也是Windows防火墙的设计使然,目的在于不干扰用户的工作状态。

    大多数用户都希望能够计算机得到安全防护但不希望受到安全提示或让用户选择操作的对话框。

    即便如此,Windows同时也提供了具备完整功能的“高级安全Windows防火墙”,使用它用户可以创建非常细密的双向安全规则来保护防火墙内的计算机。

    “允许程序通过Windows防火墙”列表其实可以简单的认为该列表中记录的全部是需要计算机打开本地端口的程序,而不需要打开端口的程序不会记录在该列表中。


    请将已解决的问题标记为“答案”,以便更多的朋友能够方便的找到问题解决方案。 MVP | Windows Desktop Experience | Virtualization Sino
    2010年8月31日 5:01
    版主