答案1
Windows 防火墙的默认配置是确认入站仅用于连接。每当程序尝试创建“监听”套接字时,您都会收到警报 - 最常见的做法是接受来自其他机器的连接,但对于 Chrome,它通常用于接收 LAN 广播以进行设备发现。(它要么是 Chrome 的内置 UPnP/SSDP 支持,要么是 mDNS,或者两者兼而有之。)
Windows 防火墙可以配置为提示出站连接,和/或彻底阻止特定程序的网络访问(请参阅wf.msc
),但是这种情况很少这样做。
传入连接的端口是否必须由路由器上的端口转发来处理?
如果它们确实来自路由器的另一端,那么可以。但情况并非总是如此——例如,Windows 有一个“公共”网络类别的全部目的就是防止来自已经里面网络,例如商店中各种免费 Wi-Fi 网络(许多网络会阻止客户端到客户端的数据包,但许多网络不会阻止)。换句话说,操作系统级防火墙是路由器提供的防火墙(和 NAT)之上的附加层。
此外,并非所有计算机是在路由器后面;当 Windows 防火墙交互提示首次推出时(在 WinXP SP2 中),家庭互联网连接在计算机本身终止的情况仍然非常普遍(通常是因为它仍然是家庭中唯一支持 LAN 的设备)。您的 DSL 调制解调器默认处于“桥接”模式,您将在 Windows 中输入 PPPoE 参数,计算机将直接获得公共 IP 地址——操作系统防火墙将是仅有的防御。