AVG·北京

新闻中心

more

相关资料

more

所获奖项

view more awards
现在位置:首页 >> 相关资料 浏览正文

帮助信息--AVG防火墙设置

主屏幕中的防火墙设置

“选择防火墙配置文件”下拉菜单列出了当前定义的所有配置文件。您可以在此下拉菜单中切换至其它配置文件,然后按“保存更改”进行确认。如果只有两个系统配置文件(“全部允许”“全部阻止”),我们建议运行配置向导来创建自定义配置文件。

 

通过选择“防火墙已启用”“防火墙已禁用”,可以启用或禁用整个防火墙组件。

“紧急模式”是一个快捷选项,用于阻止所有网络通信,使计算机无法访问外部网络/无法从外部网络进行访问。

 

选中“启用游戏模式”框可确保在运行全屏应用程序(游戏、PowerPoint 演示文稿等)时,防火墙不会显示对话框来询问您是允许还是阻止未知应用程序的通信。如果当时有未知应用程序企图通过网络进行通信,防火墙将自动允许或禁止这一企图(根据当前配置文件中的设置;若要了解这些设置,请查看“防火墙设置” ->“配置文件”,然后选择对应的配置文件)。

 

作出任何更改后,不要忘了按“保存更改”以确认这些设置,否则这些更改将被忽略!

 

防火墙配置向导

利用防火墙配置向导,可以方便地执行最初的防火墙整体设置操作,尤其是自定义防火墙配置文件,这对于正确保护计算机至关重要。AVG 制造商无法为方便您使用而预定义这些设置。因为每台计算机需要使用不同的安全规则,具体取决于计算机的特定配置、已安装的程序以及所用的网络连接类型。

安装 AVG 系统后,此向导会自动启动。不过您也可以日后随时使用它来更新防火墙配置。在此向导的每个对话框中,都可以直接获取帮助信息。如果您在完成安装后尚未运行此向导,则强烈建议您尽快执行此操作! 

此向导可从以下位置启动:AVG 主屏幕 -> 防火墙组件 ->“配置向导”按钮。

 

防火墙高级设置

防火墙高级设置的访问路径:AVG主屏幕 -> 主菜单“工具”->“防火墙设置”

此对话框的左侧显示一个可扩展的树视图,其中列出了各个可用的设置选项:

· 常规
· 安全
· 区域和适配器配置文件
· 日志

 

· 配置文件

请注意,高级设置主要面向网络管理员,以及其他需要对配置进行全面控制的经验丰富的用户。如果对设置不确定,请勿修改。

防火墙设置 – 常规

“常规”分支中,可以管理完整防火墙设置的备份和存档。

 

导出 – 将所有现有配置文件的当前防火墙配置导出到一个特殊文件(采用 .cfe 格式)中。该文件随后可被用于向其它计算机分发相同的设置,或用作配置的备份。

 

导入 – 导入以前保存的防火墙配置。

 

防火墙设置 – 安全

“安全”分支中,您可以设置对所有防火墙配置文件都有效的防火墙规则。

 

“获允修改设置者:”组定义了应允许哪些用户更改防火墙配置。

“能看到确认对话框者:”组定义了哪些用户应能够查看防火墙确认对话框。如果没有为某一应用程序定义防火墙规则,则每次该应用程序尝试通过网络进行通信时,都会弹出该确认对话框。如果不允许用户查看该确认对话框,使其不能决定是允许还是阻止此通信尝试,则自动阻止此尝试。

对用户的定义如下:

· 计算机/网络“管理员”所拥有的权限几乎不受限制,可以更改任何设置。管理员还可以定义用户组,并为每个组分配特定权限。
· “超级用户”是由管理员定义的一个用户组。该组的成员拥有的权限通常比普通用户高。
· “所有用户”是指上述任何组均不包括的用户。

 

“防火墙信息消息”组定义了防火墙应向用户显示的警报对话框的类型,包括:严重错误(例如,防火墙配置未正确保存)、警告(例如,将防火墙设置更改为有潜在危险的值时)、信息(例如,已保存防火墙设置更改)。

我们建议保留默认设置(显示严重错误和警告)。

防火墙设置 – 区域和适配器配置文件

防火墙的一项重要功能是配置文件切换。但是,如果不想使用该功能而要将其关闭,请选中“禁用区域检测和自动配置文件切换”框。

 

此对话框在下面列出了已安装的所有网络适配器,以及计算机进行网络通信时所用网络的一般定义:

 

适配器/网卡

 

网络区域

每个网络或适配器均可被分配一个特定的防火墙配置文件:只需单击配置文件即可打开一个上下文菜单,您可以在其中选择所需的配置文件。您也可以突出显示列表中的一项,然后按“编辑区域”以打开“区域属性”对话框。

请注意列表中的默认配置文件。如果没有为区域或适配器指定其它配置文件,将使用此配置文件。

 

高级设置

每当计算机连接到新的网络时,防火墙都将发出警报,并显示一个对话框,您可以在其中为新的网络区域定义名称并分配防火墙配置文件。如果不想显示此对话框,请选中“禁用新区域分配对话框”框。

如果启用了配置文件切换功能,则每当防火墙检测到网络变更并切换至其它配置文件时,将在系统托盘中弹出一些气泡状的信息。若要关闭气泡状信息,请选中“禁止显示有关区域和配置文件变更的信息”框。

 

区域属性

第一行显示所选网络适配器/区域的名称。请从以下列表中选择要分配给此区域的防火墙配置文件。可用的配置文件为:

· 未分配 – 没有特定的配置文件;将始终对此区域应用当前活动的防火墙配置文件(在主屏幕或“配置文件”对话框中设置)
· 全部允许(系统配置文件)
· 全部阻止(系统配置文件)

 

· 自定义配置文件(通过防火墙配置向导生成)。

 

防火墙设置 – 日志

“日志”分支显示由以下参数定义的防火墙操作和事件的完整记录:

 

· 事件时间 – 事件发生的日期和确切时间。单击列标题可按时间顺序排列各个事件。
· 应用程序 – 引发事件的应用程序或进程。单击列标题可按字母顺序排列各个事件。
· 记录操作 – 所执行的操作(允许、询问、阻止、BlockedIDS)。

 

若要显示已记录事件的详细信息,请按“显示详细信息”。单击每个列标题均可按相应的标准排列各个事件。

若要更新日志(包括最新的事件),请按“刷新列表”

若要清除日志,请按“清空列表”

 

防火墙设置 – 配置文件

“配置文件”分支中,您可以编辑当前定义的所有防火墙配置文件的设置。防火墙允许基于以下情况定义特定的安全规则:您的计算机是域成员、独立的计算机,还是笔记本电脑。其中每个选项都需要设置一种不同的保护级别,具体级别可在各自的配置文件中查看。简言之,防火墙配置文件就是防火墙组件的一项特定配置,您可以使用多项此类预定义配置。

可用的配置文件为:

· 全部允许(系统配置文件)
· 全部阻止(系统配置文件)
· 自定义配置文件(通过防火墙配置向导生成)。

定义配置文件后,您还可以利用自动切换配置文件功能,如果您频繁连接到各种不同的网络(例如使用笔记本电脑时),此功能就特别有用。有关配置文件切换的更多信息

 

设置选项

展开树中的配置文件(通过单击加号节点)可显示配置文件的进一步设置选项。

请注意,系统配置文件(“全部允许”、“全部阻止”)是不可编辑的;您只能查看这些设置。

 

列表中突出显示的配置文件当前处于活动状态。若要激活其它配置文件,请用鼠标将其选定,然后按“激活配置文件”

任何自定义配置文件也都可以通过按“复制配置文件”按钮加以复制;新建的配置文件将原封不动地继承“父级”配置文件的设置,您也可以根据需要编辑这些设置。

若要更改任何自定义配置文件的名称,请按“重命名配置文件”按钮。

若要删除选定的自定义配置文件,请按“删除配置文件”按钮。

 

导出配置文件 – 用于将所选配置文件的完整设置导出到一个专用文件(.cfe 格式)中。这样就可以使用该文件将配置文件分发到其它计算机,或者将该文件用作配置的备份。

 

导入配置文件 – 用于导入以前保存的防火墙配置文件。

 

 

全部允许

“全部允许”是由制造商预先设置并总是存在的一个防火墙系统配置文件。激活此配置文件后,将允许所有网络通信而不应用任何安全策略规则,就如同关闭防火墙保护一样。

您不得复制或删除此系统配置文件,也不得修改其设置。

全部阻止

“全部阻止”是由制造商预先设置并总是存在的一个防火墙系统配置文件。激活此配置文件后,所有网络通信都将被阻止,计算机既不能从外部网络进行访问,也不能与外部进行通信。

您不得复制或删除此系统配置文件,也不得修改其设置。

 

自定义配置文件

配置文件通过防火墙配置向导生成。如果您尚未运行此向导,则强烈建议您执行此操作!

通过此向导最多可生成三个自定义配置文件:

· 独立计算机 – 适用于直接连接至 Internet 的常见台式家用电脑。
· 域中的计算机 – 适用于本地网络(如学校或公司网络)中的计算机。假定网络受某些其它措施保护,因此其安全级别可低于独立计算机。
· 小型家庭或办公网络 – 适用于小型网络(如家庭或小型企业)中的计算机,这种网络通常只有几台计算机连在一起,没有“中央”管理员。

 

· 移动计算机 – 适用于笔记本电脑。假设移动计算机像手持式旅行计算机一样,它们从各种未知因此完全不安全的位置(网吧、酒店房间等)连接至 Internet,应设置最高的安全级别。

 

配置文件切换

借助于配置文件切换功能,防火墙可在使用特定网络适配器或在连接到特定类型的网络时自动切换到预定义的配置文件。如果尚未为某一网络区域分配配置文件,则在下次连接到此区域时,防火墙将显示一个对话框,要求您分配配置文件。

您可以在“区域和适配器配置文件”对话框中为所有本地网络接口或区域分配配置文件并指定进一步设置;如果您不想使用该功能,您还可以在该对话框中禁用该功能。(这样的话,对于任何类型的连接,都将使用默认配置文件,具体请参见上述对话框中的相应列表。)

通常,使用多种连接的笔记本电脑用户会发现此功能十分有用。如果您使用的是台式机,并且始终只使用一种类型的连接(例如有线连接到 Internet),则无需费力去设置配置文件切换,因为您大概永远都不会用到它。

配置文件信息

在每个配置文件的简介页面,可以为对应的配置文件指定“游戏模式设置”

 

选中“玩游戏时禁用防火墙通知”框可禁止在运行全屏应用程序(如游戏、演示文稿等)时显示防火墙询问对话框。若要指定在有未知应用程序企图通过网络进行通信时防火墙应如何处理(而不是让它显示一个对话框),请从下拉菜单中选择以下两项自动操作之一:

· 允许与所有网络通信 – 允许与所有网络适配器进行通信。
· 阻止 – 阻止通信企图。

如果不确定该如何选择,则为全屏应用程序“阻止”此类通信是比较安全的。

 

应用程序

此对话框列出了可能需要进行网络通信的所有已安装应用程序,以及所分配操作的图标:

 

允许与所有网络通信

 

只允许与定义为“安全”的网络通信

 

阻止通信

 

显示询问对话框

 

已定义高级设置

列表中的应用程序是防火墙配置向导执行搜索时在计算机上检测到的(并分配相应的操作);对于未知或新安装的应用程序,则在以后进行检测。

请注意,只有已安装的应用程序才会被检测到,因此如果以后安装了新应用程序,就必须为其定义防火墙规则:默认情况下,当新应用程序首次尝试进行网络连接时,防火墙将询问您是允许还是阻止其通信,届时您可以将您的答案保存为一项永久性规则(该规则之后将被列在此对话框中)。

当然,您也可以立即为新应用程序定义规则,方法是在此对话框中,按“添加”,然后填写应用程序详细信息。

除了应用程序外,此列表还包含两个特殊项目:

· “优先应用程序规则”(位于列表顶部)为首选规则,其优先级始终高于任何特定应用程序的规则。
· “其它应用程序规则”(位于列表底部)可在没有特定应用程序规则可供应用的情况下被用作“最后的措施”,例如对于未知和未定义的应用程序,即可应用这些规则。

这些项目的设置选项不同于常规应用程序,仅供经验丰富的用户使用!

 

此列表可使用以下控制按钮进行编辑:

“添加”会打开“应用程序属性”对话框,以定义新应用程序的规则集。

“编辑”也会打开该对话框,但用于编辑现有应用程序的规则集。

“删除”会从列表中(而非计算机中!)删除选定的应用程序。

 

预定义适配器

此对话框列出所有可用的网卡和适配器。每个特定网络都引用一个适配器(有关网络列表,请参见“预定义网络”对话框)。

对于检测到每个适配器,将提供以下信息:

· 适配器 – 列出检测到的所有适配器的名称,计算机使用这些适配器连接至特定的网络。
· 界面安全 – 默认情况下,所有适配器都被视为非安全的,只有您确信适配器(以及相应的网络)是安全的,才能为其分配安全标记(单击引用相应适配器的列表项,然后从上下文菜单中选择“安全”,也可以使用“标记为安全”按钮)– 所有安全的适配器及其相应的网络都将被划归为一组,表示应用程序可在其上按照被设置为“只允许与安全网络通信”的应用程序规则进行通信。

 

· IP 地址范围 – 将自动检测每个网络(引用特定的适配器)的范围,并以 IP 地址范围的形式加以指定。

 

预定义网络

此对话框列出计算机接入的所有网络。每个网络都引用一个特定的适配器(有关所有适配器的列表,请参见“预定义适配器”对话框)。

对于检测到每个网络,将提供以下信息:

· “网络”列出计算机连接到的所有网络的名称。
· “网络安全”定义网络的可信度。默认情况下,所有网络都被视为非安全的,只有您确信相应网络是安全的,才能为其分配安全标记(单击相应的列表项,然后从上下文菜单中选择“安全”,也可以使用“标记为安全”按钮)。所有安全的网络都将被划归为一组,表示应用程序可在其上按照被设置为“只允许与安全网络通信”的应用程序规则进行通信。
· “IP 地址范围”将自动检测每个网络的 IP 地址范围并在此列中加以指定。

 

“添加网络”/“编辑网络”会打开“网络属性”对话框,您可以在其中编辑新定义或已定义网络的参数。

“删除网络”会从网络列表中删除所选网络的名称。

 

网络属性

可在此对话框中定义新网络或编辑现有网络。请注意,您只能创建或编辑远程网络定义;本地网络定义取决于您的 PC 硬件配置。

 

在此对话框的上部,您可以编辑“网络名称”,提供“网络说明”(供您自己使用);如果您确定计算机在此网络中不会受到攻击,还可以将此网络标记为安全。

可以在“网络属性”对话框中定义新的网络;此对话框可通过按“添加 IP”按钮打开,也可以通过按“编辑 IP”/“删除 IP”打开。

如果有大量网络应被定义为新建网络的组成部分,则可以使用“高级 IP 范围表示形式”选项:请在对应的文本字段中输入所有网络的列表(支持所有标准格式),然后按“验证”按钮以确保可以识别所用格式。

网络属性

您可在此对话框中编辑新网络或现有网络的 IP 定义。

 

可以使用显示的以下任意 IP 选项来定义网络:

“IP 地址范围”,此选项定义的网络仅限于在“从:”“到:”字段中指定的范围之内的地址。

“IP 地址/掩码”,使用“地址”字段中指定的地址前缀和“掩码”字段中指定的网络掩码来定义网络。

“一个 IP 地址”,将网络定义为“地址”字段中指定的单一 IP 地址。

“整个网络”,将网络定义为所有可用的 IP 地址。

 

上述选项允许您以 IPv4(IP 第 4 版)格式定义 IP 地址,也就是说,可以按 32 位 IP 地址的形式进行定义。如果要使用更新的 IPv6 格式(由八个 16 位部分组成的 128 位 IP 地址),则可以选中“使用 IP 第 6 版”复选框,这样将为 IPv6 格式激活上述文本字段。

此外,选中“使用 IP 第 6 版”复选框还将激活一个新的文本字段,即“自由格式”字段;您可以在该字段中以混合格式输入 IP 地址范围;混合格式可以是以下任意格式的组合:IPv6 标准格式、IPv6 零压缩格式(使用“::”符号)以及嵌入式 IPv4 格式。

 

预定义服务

此对话框列出默认配置为应用程序定义的服务,以及已经由用户定义的服务。列表中的服务按名称和端口号定义(蓝色箭头指示通信方向;左向 箭头表示传出连接,右向箭头表示传入连接)。您可以在此处添加、编辑和删除特定的服务。

 

“添加服务”/“编辑服务”会打开“服务项编辑器”,您可以在其中编辑新定义或已定义服务的参数。通过双击列表中的相应项目,也可以对现有服务进行编辑。

“删除服务”会从列表中删除所选服务的名称。

服务项编辑器

可在此对话框中定义新服务或编辑现有服务。

 

在此对话框的上部,可以指定“服务名称”并提供简短的“服务说明”(供您自己使用)。

随后可以在“服务项列表”区域通过指定以下参数来定义服务项:

· 方向(传入、传出、双向)
· 协议号(协议类型;请从菜单中选择)
· 本地端口(本地端口的范围列表)
· 远程端口(远程端口的范围列表)

可以通过“添加”按钮(或“编辑”/“删除”按钮)打开“服务项编辑器”,在其中定义新的服务项。

 

服务项编辑器

可在此对话框中的以下区域编辑新服务项或现有服务项的定义。

 

协议

指定对应的服务项应采用何种协议。只能为每项指定一种协议。可以从下拉菜单中进行选择。对于列出的常用协议(TCP、UDP、ICMP),往往都定义了这些协议通常使用的标准端口号。但是,如果您已选中“其它协议”选项,则“协议号”文本字段已激活,而且您必须指定该协议用来通信的端口号。

“自定义协议”选项仅供有经验的用户使用!

方向

指定应用程序应使用此特定服务建立何种方向的连接:“传入”表示传入连接,“传出”表示传出连接,“双向”表示双向连接。

端口范围

指定本地/远程计算机上要用于所定义服务的端口号。您可以输入一列以逗号(不加空格)分隔的端口号,也可以提供端口号范围(介于 1 至 65535 之间的数字范围,各个数值间用逗号隔开;或者是用破折号“-”分隔的数值区间)。

请注意,有些数字或有些完整的范围为系统保留使用;所谓的“公认端口”已被分配给特定应用程序。如欲了解更多最新信息,可访问 http://www.iana.org/assignments/port-numbers。端口号设置不正确可能会导致某些应用程序出现不可预知的行为!

 

“配置文件”章节中提供了对各个配置文件的说明及更多信息。

应用程序属性

在此对话框中,可以详细定义相应应用程序的设置。

应用程序基本信息

在此区域中,请填写应用程序“名称”,也可以选填“说明”(供您自己参考的简短注释)。在“路径”字段中,输入应用程序(可执行文件)在磁盘上的完整路径;也可以按“...”按钮,然后方便地在树结构中找到该应用程序。

应用程序操作

在下拉菜单中,可以选择要应用于该应用程序的防火墙规则,即当该应用程序在尝试通过网络进行通信时,防火墙应如何处理:

· “允许与所有网络通信”将允许该应用程序毫无限制地通过所有已定义的网络适配器进行通信。
· “只允许与安全网络通信”将只允许该应用程序通过已定义为“安全”(值得信任)的网络进行通信。
· “阻止”将自动禁止通信;将不允许该应用程序连接到任何网络。
· “询问”将显示一个对话框,使您可以即时决定是允许还是阻止该通信尝试。
· “高级设置”会在对话框底部显示进一步的详细设置选项,如下所述。

 

选中“记录规则事件”框可将每次规则应用都记录在“日志”中。

 

高级设置

如果为应用程序选择“高级设置”,则会显示进一步的选项。在“应用程序详细规则”区域中,可以定义详细的规则;这些详细规则将按排列顺序进行应用,因此您可以根据需要在列表中“上移”“下移”这些规则,以设置它们的优先顺序。

每项规则均可分配一项操作,而且您可以决定是否要记录规则事件,请参见上文(“应用程序操作”一段)。

“预定义服务”选项卡列出了可分配给各项规则的服务(使用“展开”/“折叠”按钮可显示或隐藏完整的预定义服务列表)。每项服务都可以在“服务项编辑器”中进一步编辑。

“预定义网络”选项卡列出了可供规则通信的网络让您选择;您还可以根据需要在“网络属性”对话框中编辑网络设置。

同样,在“预定义适配器”选项卡中,您可以为规则分配网络适配器

系统服务

此对话框列出了可能需要通过网络进行通信的 Windows 标准系统服务和协议,以及与指定的操作相对应的图标。

 

允许与所有网络通信

 

只允许与定义为“安全”的网络通信

 

阻止通信

 

可以使用以下控制按钮编辑此列表(包括指定的操作):

“添加” – 打开“系统服务属性”对话框以定义新的系统服务规则集。

“编辑” – 打开同样的对话框以编辑现有的系统服务规则集。

“删除” – 从此列表中删除选定的系统服务(并非从计算机中删除!)。

 

“记录未知的传入通信” – 选中此框可在每次外部有未知者企图连接到您的计算机时将这一情况记录在日志

“记录未知的传出通信” – 选中此框可在每次您的计算机中有未知程序企图连接到外部位置时将这一情况记录在日志

系统服务属性

在此对话框中,您可以对各项系统服务的设置进行详细定义。

系统规则基本信息

在此区域中,请填写系统服务的“名称”,也可以选填“说明”(供您自己参考的简短注释)。

系统规则详细信息

您可以在下拉菜单中选择用于该系统服务的防火墙规则,即当该服务尝试通过网络进行通信时防火墙应如何处理:

· “允许与所有网络通信”将允许该服务通过所有已定义的网络适配器不受限制地进行通信。
· “只允许与安全网络通信”将允许该服务通过已定义为“安全”(值得信任)的网络进行通信。
· “阻止”将自动禁止通信;将不允许该服务连接到任何网络。

 

选中“记录规则事件”框可将规则的每次应用都记录在“日志”中。

系统规则操作

在此区域中,您可以定义详细的规则;这些详细规则将被按照列出的顺序进行应用,因此您可以根据需要在列表中“上移”“下移”这些规则,以设置它们的优先顺序。

“预定义服务”选项卡列出了可分配给各项规则的服务(使用“展开”/“折叠”按钮可显示或隐藏完整的预定义服务列表)。每项服务都可以在“服务项编辑器”中进一步编辑。

“预定义网络”选项卡列出了可供规则通信的网络让您选择;您还可以根据需要在“网络属性”对话框中编辑网络设置。

同样,在“预定义适配器”选项卡中,您可以为规则分配网络适配器