关于网络规则

网络规则是指防火墙在检测网络连接请求时采取的允许或阻止操作。

防火墙针对不同类型的网络攻击提供两种级别的保护：网络级别和程序级别。应用网络数据包规则即提供网络级别的保护。设定应用程序可以访问网络资源的规则即提供程序级别的保护。

根据这两种防火墙保护级别，您可以创建：

• 网络数据包规则。网络数据包规则将对网络数据包进行限制，与程序无关。此类规则将限制通过特定端口的选定数据协议发送和接收的网络流量。默认情况下，防火墙已指定了某些网络数据包规则。
• 应用程序网络规则 。应用程序网络规则将对特定应用程序的网络活动进行限制。它们不仅将网络数据包的特征列入重要参考因素，还把接收或发送该网络数据包的应用程序列入重要参考因素中。这些规则让您可以微调网络活动过滤设置：例如，阻止某些应用程序进行某些网络连接，而不阻止其他应用程序则进行这些网络连接。

网络数据包规则的优先级比应用程序网络规则高。如果网络数据包规则和应用程序网络规则指定了同一类别的网络活动，则该网络活动将根据网络数据包规则进行处理。

您可以为每种网络数据包规则和应用程序网络规则指定优先执行。

网络数据包规则的优先级比应用程序网络规则高。如果网络数据包规则和应用程序网络规则指定了同一类别的网络活动，则该网络活动将根据网络数据包规则进行处理。

应用程序网络规则的工作方式如下：应用程序网络规则包括基于网络状态（公用、本地或受信任）的访问规则。例如，默认情况下，“高限制组”信任组中的应用程序在所有状态的网络中均不允许进行任何网络活动。如果为单个应用程序（父应用程序）指定了网络规则，则其他应用程序的子进程将依据父应用程序的网络规则运行。如果为单个应用程序（父应用程序）指定了网络规则，则其他应用程序的子进程将依据父应用程序的网络规则运行。

例如，对于除浏览器 X 之外的所有应用程序，您已禁止所有状态的网络中的任何网络活动。如果从浏览器 X（父应用程序）中启动浏览器 Y 的安装（子进程），则浏览器 Y 安装程序将能够访问网络并下载必要的文件。安装之后，浏览器 Y 将根据防火墙设置被拒绝任何网络连接。要禁止作为子进程的浏览器 Y 安装程序的网络活动，必须为浏览器 Y 的安装程序添加网络规则。