详解Windows(十三)——Windows防火墙
一、Windows防火墙基础知识
1. 什么是防火墙
防火墙的定义与作用
防火墙就像是你家的大门保安,负责检查进出网络的所有数据流量。它的主要工作是根据预设的安全规则,决定哪些网络通信可以通过,哪些应该被阻止。简单来说,防火墙是一道保护你电脑免受网络威胁的安全屏障。
防火墙主要有以下作用:
- 阻止未经授权的访问进入你的电脑
- 防止恶意程序连接到互联网
- 监控并控制进出你电脑的网络流量
- 提供一个可见的网络安全防线
硬件防火墙vs软件防火墙
硬件防火墙:通常内置在路由器中或作为独立设备存在,负责保护整个网络中的所有设备。它是网络流量进入家庭或办公室网络前的第一道防线。
软件防火墙:安装在单个设备上的程序,如Windows防火墙。它可以根据每台电脑的具体需求提供个性化保护,能够控制单个应用程序的网络访问权限。
Windows防火墙属于软件防火墙,它的优势在于能够针对你电脑上的特定应用程序设置详细规则,而硬件防火墙通常只能基于网络端口和地址进行过滤。两者搭配使用,可以提供更全面的保护。
Windows防火墙的发展历史
- Windows XP (2001年):引入了第一个内置防火墙,但默认是关闭的,只提供简单的入站过滤
- Windows XP SP2 (2004年):防火墙得到重大升级,默认开启,提供更好的保护
- Windows Vista (2006年):引入Windows防火墙与高级安全,增加了出站过滤功能
- Windows 7/8/10/11:不断改进界面和功能,增强了易用性和防护能力,与Windows安全中心更好地集成
2. Windows防火墙的工作原理
数据包过滤技术
Windows防火墙使用数据包过滤技术来检查网络流量。当数据通过网络传输时,会被分割成小块,称为"数据包"。防火墙会检查每个数据包的信息,包括:
- 源IP地址(数据来自哪里)
- 目标IP地址(数据要去哪里)
- 使用的端口号(类似于通信的门牌号)
- 使用的协议类型(如TCP、UDP等)
根据这些信息,防火墙决定是允许还是阻止该数据包通过。
状态检测功能
Windows防火墙不仅仅看单个数据包,还会跟踪连接的状态。这就是所谓的"状态检测"功能:
- 它记住已建立的合法连接
- 允许与这些连接相关的数据包通过
- 阻止不属于任何已知合法连接的数据包
举个例子:当你访问网站时,你的电脑主动发起连接请求,防火墙记住这个请求,然后允许网站的响应数据返回到你的电脑。但如果有人试图未经请求地发送数据到你的电脑,防火墙会阻止它。
入站和出站连接控制
入站连接:指从外部网络(如互联网)向你的电脑发送的数据。默认情况下,Windows防火墙阻止大多数入站连接,除非它们是对你电脑发出请求的响应,或者你明确允许它们。
出站连接:指从你的电脑发送到外部网络的数据。默认情况下,Windows防火墙允许大多数出站连接,因为它们通常是你主动发起的。
通过分别控制入站和出站连接,防火墙既能防止未授权访问你的电脑,也能防止已感染的电脑向外部发送敏感数据。
3. Windows防火墙的类型
Windows防火墙有三种网络位置配置文件,针对不同的网络环境提供不同级别的安全保护:
域网络防火墙配置
当你的电脑连接到公司的域网络时,此配置文件自动激活。域网络通常被视为最可信的环境,因为它们由IT部门管理和保护。在这种环境下,防火墙规则相对宽松,允许更多的网络功能,便于企业内部协作和资源共享。
专用网络防火墙配置
当你将网络标记为"专用"时(如家庭网络或受信任的工作网络),此配置文件生效。专用网络被视为相对安全的环境,防火墙设置适中,允许一定程度的网络发现和文件共享功能,同时仍提供良好的保护。
公用网络防火墙配置
当你连接到公共WiFi(如咖啡厅、机场、酒店)时,应使用此配置文件。公用网络被视为不受信任的环境,防火墙设置最严格,禁用大多数网络发现功能,限制文件共享,提供最高级别的保护,防止来自陌生网络的潜在攻击。
选择正确的网络类型非常重要,因为它决定了防火墙如何保护你的电脑。在公共场所使用电脑时,务必将网络设置为"公用",以获得最高级别的保护。
二、Windows防火墙的基本使用
1. 如何访问Windows防火墙
Windows提供多种方式访问防火墙设置,适合不同的使用习惯:
通过控制面板访问
- 点击开始菜单,输入"控制面板"并打开
- 查看方式选择"类别"
- 点击"系统和安全"
- 点击"Windows防火墙"
这是传统的访问方式,提供完整的基本设置界面。
通过Windows安全中心访问
- 点击开始菜单,输入"安全"
- 打开"Windows安全中心"
- 点击左侧的"防火墙和网络保护"
在Windows 10和11中,这是推荐的访问方式,界面更现代,与其他安全功能集成在一起。
通过命令行访问
对于高级用户,可以通过命令提示符或PowerShell访问防火墙:
- 输入wf.msc打开高级防火墙控制台
- 输入firewall.cpl打开基本防火墙设置
命令行方式适合IT管理员或希望通过脚本管理防火墙的用户。
2. 防火墙状态查看与管理
开启/关闭防火墙
在防火墙控制面板中:
- 点击左侧的"打开或关闭Windows防火墙"
- 对于每种网络位置(域网络、专用网络、公用网络),你可以单独选择开启或关闭防火墙
- 点击"确定"保存设置
重要提示:除非有特殊原因(如临时故障排除),否则不建议关闭防火墙,这会使你的电脑面临安全风险。
查看防火墙状态
在防火墙主界面上,你可以看到:
- 每种网络位置的防火墙状态(开启/关闭)
- 当前连接的网络类型
- 入站连接设置
- 活动的网络连接列表
绿色勾号表示防火墙正常工作,红色叉号表示防火墙已关闭或存在问题。
在不同网络位置间切换
- 点击任务栏中的网络图标
- 点击当前连接的网络名称
- 选择"属性"
- 在网络属性窗口中,选择网络类型(公用/专用)
正确设置网络类型非常重要,尤其是在公共场所,应将网络标记为"公用"以获得最高级别的安全保护。
3. 默认设置解析
默认阻止规则
默认情况下,Windows防火墙配置为:
- 阻止大多数入站连接,特别是未经请求的连接
- 阻止已知危险的应用程序或服务
- 对公用网络配置文件实施最严格的限制
默认阻止规则是防火墙安全性的基础,保护你免受大多数网络攻击。
默认允许规则
尽管防火墙默认阻止很多连接,但也预设了一些例外,以便系统正常工作:
- 允许已建立连接的响应数据
- 允许核心Windows服务通信
- 允许某些必要的网络协议(如DHCP,用于自动获取IP地址)
- 允许大多数出站连接(你的电脑主动发起的连接)
系统服务与防火墙的关系
Windows系统服务需要通过网络通信才能正常工作。防火墙已预配置了这些服务所需的规则:
- 文件和打印机共享
- Windows更新服务
- 远程桌面(如果启用)
- 核心网络服务
当你启用新的Windows功能或服务时,系统通常会自动创建必要的防火墙规则。
三、防火墙规则管理
1. 入站规则与出站规则
两种规则的区别与作用
入站规则控制外部计算机能否连接到你的电脑。这些规则决定哪些外部请求可以通过,哪些应被阻止。例如,如果你运行网站服务器,你需要入站规则允许HTTP请求(端口80)通过。
出站规则控制你的电脑能否连接到外部网络或服务器。这些规则限制你电脑上的程序访问互联网的能力。例如,你可以创建出站规则阻止特定应用连接互联网。
两种规则共同作用,提供全面的网络流量控制。
查看现有规则
- 打开高级安全Windows防火墙(搜索并运行"wf.msc")
- 左侧面板中选择"入站规则"或"出站规则"
- 中间面板列出所有现有规则
- 规则旁边的绿色勾表示规则已启用,灰色表示已禁用
你可以按名称、组、配置文件或状态对规则进行排序和筛选,方便查找特定规则。
了解规则优先级
防火墙规则按特定顺序处理:
- 首先应用最具体的规则
- 阻止规则优先于允许规则
- 如果没有匹配的规则,则使用默认行为(入站连接默认阻止,出站连接默认允许)
了解这些优先级有助于你正确配置防火墙,避免规则冲突导致的安全漏洞或连接问题。
2. 创建新的防火墙规则
基于程序的规则
这种规则控制特定应用程序的网络访问权限:
- 在高级防火墙控制台中,右键点击"入站规则"或"出站规则"
- 选择"新建规则"
- 选择"程序"规则类型
- 浏览并选择程序可执行文件(.exe)
- 选择允许或阻止连接
- 选择适用的网络配置文件(域/专用/公用)
- 命名并保存规则
这类规则适用于控制特定软件的网络访问,例如允许游戏联机或阻止不可信应用访问网络。
基于端口的规则
这种规则控制通过特定网络端口的流量:
- 在高级防火墙控制台中,右键点击"入站规则"或"出站规则"
- 选择"新建规则"
- 选择"端口"规则类型
- 选择协议(TCP或UDP)并指定端口号
- 选择允许或阻止连接
- 选择适用的网络配置文件
- 命名并保存规则
常见端口示例:
- 网页浏览:80 (HTTP)、443 (HTTPS)
- 电子邮件:25 (SMTP)、110 (POP3)、143 (IMAP)
- 远程桌面:3389
基于协议的规则
这种规则基于网络协议类型控制流量:
- 在高级防火墙控制台中,创建新规则
- 选择"自定义"规则类型
- 选择协议类型(如ICMP、TCP、UDP等)
- 设置其他条件(如IP地址范围)
- 选择允许或阻止操作
- 完成规则创建
这类规则适用于高级网络配置,如允许ping请求(ICMP)或特定类型的网络流量。
3. 修改与删除规则
禁用/启用现有规则
- 在防火墙控制台中找到需要修改的规则
- 右键点击规则,选择"禁用规则"或"启用规则"
- 或者,在右侧操作面板中点击"禁用规则"或"启用规则"
临时禁用规则比删除规则更好,因为你可以在需要时轻松重新启用它。
修改规则属性
- 在防火墙控制台中找到需要修改的规则
- 右键点击规则,选择"属性"
- 在属性窗口中,可以修改:
- 程序路径
- 端口号
- 允许/阻止操作
- 适用的网络配置文件
- 规则名称和描述
修改现有规则时要小心,确保了解每个更改的影响。
删除不需要的规则
- 在防火墙控制台中找到需要删除的规则
- 右键点击规则,选择"删除"
- 确认删除操作
提示:删除前先禁用规则一段时间,确认没有问题再删除。删除系统默认规则可能会影响Windows功能,应谨慎操作。
四、高级防火墙功能
1. Windows防火墙与高级安全
高级防火墙控制台介绍
Windows防火墙与高级安全控制台提供比基本界面更强大的功能:
- 通过运行wf.msc或搜索"高级安全防火墙"访问
- 左侧面板提供各种配置选项:
- 入站规则
- 出站规则
- 连接安全规则
- 监视
- 属性
控制台提供详细的规则创建和管理工具,适合有经验的用户。
MMC管理工具使用
高级防火墙控制台实际上是Microsoft管理控制台(MMC)的一个管理单元:
- 可以自定义视图和列显示
- 可以创建任务文件夹组织规则
- 支持导出为HTML或文本报告
- 可与其他MMC管理单元结合使用
对于IT管理员,MMC提供了集中管理多个系统组件的能力。
更精细的规则管理
高级控制台允许创建比基本界面更精细的规则:
- 可以设置基于应用程序包的规则(适用于Windows商店应用)
- 可以限制特定本地或远程IP地址
- 可以基于网络接口类型创建规则
- 可以结合多个条件创建复杂规则
- 可以设置规则优先级和作用范围
这些高级功能让你能够根据具体需求精确控制网络流量。
2. 安全连接监控
活动连接监控
Windows防火墙可以监控当前活动的网络连接:
- 打开命令提示符,输入netstat -b查看所有连接及关联程序
- 在任务管理器的"性能"标签下,点击"打开资源监视器"
- 在资源监视器中,切换到"网络"标签查看详细连接信息
监控活动连接有助于发现可疑网络活动或问题应用程序。
连接安全规则
连接安全规则控制计算机之间的通信安全:
- 在高级防火墙控制台左侧面板选择"连接安全规则"
- 这些规则决定何时以及如何加密网络通信
- 主要用于企业环境中的计算机间安全通信
这类规则对普通家庭用户来说不常用,主要应用于企业网络安全。
IPsec设置
Internet协议安全性(IPsec)提供网络通信加密:
- 在高级防火墙控制台中,右键点击"连接安全规则",创建新规则
- 选择身份验证方法和加密要求
- 指定适用的计算机和网络
IPsec通常用于:
- 创建虚拟专用网络(VPN)
- 保护企业内部网络通信
- 确保敏感数据传输的安全
普通用户很少需要手动配置IPsec,但了解其存在和作用很有帮助。
3. 防火墙配置文件导入导出
创建防火墙配置备份
备份防火墙设置非常重要,特别是在进行重大更改前:
- 打开高级防火墙控制台
- 右键点击左侧顶部的"Windows Defender 防火墙与高级安全"
- 选择"导出策略"
- 选择保存位置和文件名
- 点击"保存"
配置文件保存为.wfw格式,包含所有防火墙规则和设置。
在不同计算机间迁移配置
当你需要在多台电脑上应用相同的防火墙设置时:
- 从源计算机导出策略文件(.wfw)
- 将文件复制到目标计算机
- 在目标计算机的高级防火墙控制台中
- 右键点击顶部节点,选择"导入策略"
- 浏览并选择.wfw文件
- 确认覆盖现有设置
这个功能对IT管理员特别有用,可确保多台计算机有一致的安全设置。
还原防火墙设置
如果防火墙配置出现问题,可以还原到之前的备份:
- 打开高级防火墙控制台
- 右键点击顶部节点,选择"导入策略"
- 选择之前创建的备份文件
- 确认导入
也可以将防火墙重置为默认设置:
- 在防火墙基本界面中,点击左侧的"还原默认设置"
- 确认操作
重置会删除所有自定义规则,慎用此选项。
五、特定场景的防火墙配置
1. 家庭网络配置
文件和打印机共享设置
要在家庭网络中共享文件和打印机:
- 打开网络和共享中心(通过控制面板)
- 点击"更改高级共享设置"
- 展开"专用"网络配置文件
- 开启"启用文件和打印机共享"
- 保存更改
Windows防火墙会自动创建必要的入站规则,允许其他家庭设备访问共享资源。
家庭组网络配置
虽然Windows 10后期版本和Windows 11已移除家庭组功能,但了解原理仍有帮助:
- 家庭组允许家庭成员轻松共享文档、图片、音乐和打印机
- 防火墙需要允许家庭组服务的相关端口(TCP 3587和UDP 3540)
- 防火墙必须允许家庭组发现服务
取而代之的是,现代Windows版本提供了"附近共享"和"Microsoft账户"共享功能,防火墙会自动为这些功能创建必要规则。
远程访问设置
如果你需要从外部访问家庭电脑:
- 开启远程桌面(在系统属性中)
- 在防火墙中,确保"远程桌面"规则已启用
- 考虑限制只允许特定IP地址远程连接
- 使用强密码保护所有账户
安全提示:使用VPN连接到家庭网络,然后再使用远程桌面,这样更安全。直接从互联网开放远程桌面会带来安全风险。
2. 办公环境防火墙配置
企业网络的防火墙设置
企业环境下的防火墙配置通常更复杂:
- 通常配置为允许必要的业务应用程序
- 限制个人应用(如游戏、流媒体)的网络访问
- 允许IT管理工具远程访问
- 与其他安全系统协同工作
企业通常有专门的IT安全政策,员工应遵循公司指导使用防火墙。
域环境下的防火墙管理
在企业域环境中:
- 防火墙设置通常由IT部门集中管理
- 域控制器通过组策略分发标准防火墙规则
- 本地防火墙设置可能被域策略覆盖
- "域网络"配置文件自动激活
普通员工通常无需手动配置防火墙,但了解公司的网络安全政策很重要。
组策略与防火墙
IT管理员使用组策略对象(GPO)集中管理防火墙:
- 可以统一配置数百台计算机的防火墙
- 可以根据部门或职能应用不同策略
- 可以防止用户更改关键安全设置
- 可以记录和审核防火墙活动
如果你是网络管理员,学习使用组策略管理防火墙可以显著提高效率。
3. 公共场所安全设置
公共WiFi网络防护
在咖啡厅、机场等公共场所使用WiFi时:
- 确保网络设置为"公用"类型
- 验证Windows防火墙已开启
- 禁用文件和打印机共享
- 关闭网络发现功能
公共网络是最危险的环境,防火墙应配置为最严格的保护级别。
提高公共场所网络安全
除了防火墙,还可采取其他措施增强安全性:
- 使用VPN加密网络流量
- 避免访问敏感网站(如银行、电子邮件)
- 禁用蓝牙和其他不必要的无线功能
- 使用移动热点而非公共WiFi(如果可能)
防火墙只是公共网络安全的一部分,应与其他安全措施结合使用。
移动设备防火墙设置
当你将笔记本电脑带到不同地点时:
- Windows会根据网络类型自动应用相应的防火墙配置文件
- 确保正确识别网络类型(公用/专用)
- 对不同网络创建位置感知规则
- 考虑使用第三方VPN服务增强安全性
移动工作者应特别注意防火墙设置,因为他们经常连接到不同的网络。
六、故障排除与优化
1. 常见防火墙问题
应用程序被阻止连接问题
如果某个应用无法连接网络:
- 检查Windows安全中心通知中心,查看是否有应用被阻止
- 临时禁用防火墙,测试应用是否正常连接
- 如果是,为该应用创建允许规则:
- 打开防火墙高级设置
- 创建新的入站和出站规则
- 选择程序路径
- 允许连接
对于游戏和通信软件,可能需要开放特定端口,查阅应用文档了解所需端口。
网络连接问题诊断
当遇到网络连接问题时:
- 运行Windows网络疑难解答(在设置中)
- 使用ping命令测试网络连接
- 检查防火墙日志查找被阻止的连接
- 使用netsh advfirewall reset命令重置防火墙(需管理员权限)
有时候连接问题与防火墙无关,可能是网络硬件、驱动程序或ISP的问题。
防火墙日志分析
防火墙日志可提供宝贵的诊断信息:
- 在防火墙高级设置中,右键点击顶部节点选择"属性"
- 切换到"日志"标签
- 启用日志记录(默认位置:%systemroot%\system32\LogFiles\Firewall\pfirewall.log)
- 设置要记录的事件类型(已阻止连接、成功连接等)
日志文件包含时间戳、源/目标IP、端口和协议信息,有助于识别连接问题或安全威胁。
2. 优化防火墙性能
减少不必要的规则
过多的防火墙规则会影响性能:
- 定期审查现有规则,删除过时或冗余的规则
- 合并功能相似的规则
- 禁用而非删除暂时不需要的规则
- 使用程序规则而非多个端口规则(当适用时)
保持规则精简可提高防火墙效率和系统性能。
优化规则顺序
防火墙按特定顺序处理规则:
- 将最常用的规则移到列表顶部
- 将阻止规则放在允许规则之前
- 使用规则组和文件夹组织规则
- 确保规则尽可能具体,避免过于宽泛的规则
优化规则顺序不仅提高防火墙效率,还能减少系统资源消耗。
定期审查防火墙设置
良好的维护习惯对防火墙性能至关重要:
- 每月或每季度检查一次规则列表
- 卸载软件后删除相关的防火墙规则
- 检查是否有未使用的规则
- 确认规则是否应用于正确的网络配置文件
定期维护可保持防火墙高效运行,并减少潜在的安全漏洞。
3. 安全增强建议
与第三方安全软件协同
Windows防火墙可以与其他安全产品协同工作:
- 确保防病毒软件与Windows防火墙不冲突
- 如使用第三方防火墙,考虑禁用Windows防火墙避免冲突
- 使用多层安全策略(防火墙+防病毒+反恶意软件)
- 了解每个安全工具的强项和弱点
最佳做法是使用Windows防火墙处理基本保护,使用专业安全套件提供额外保护层。
防火墙最佳实践
以下是一些经验证的防火墙使用建议:
- 保持防火墙始终开启
- 使用"最小权限"原则创建规则(只允许必要的连接)
- 定期备份防火墙配置
- 测试防火墙有效性(使用在线端口扫描工具)
- 为敏感应用创建出站规则(防止恶意软件连接互联网)
- 在不同网络环境使用不同配置文件
遵循这些最佳实践可以显著提高系统安全性。
保持Windows更新
Windows更新对防火墙安全至关重要:
- 启用自动更新确保获得最新安全补丁
- 特别关注防火墙和网络组件的更新
- 在大型更新后检查防火墙设置是否被更改
- 关注Microsoft安全公告了解新威胁
最新的Windows更新修复已知漏洞,增强防火墙防护能力。
七、未来发展与补充知识
1. Windows防火墙的发展趋势
云集成防火墙
Windows防火墙正在向云集成方向发展:
- Microsoft Defender 与云安全服务集成
- 基于云的威胁情报提供实时保护
- 跨设备同步安全策略
- 集中管理多台设备的防火墙
云集成让防火墙更智能,能够识别新出现的威胁模式。
基于AI的威胁检测
人工智能正在改变防火墙技术:
- 机器学习算法识别异常网络行为
- 自适应安全策略根据威胁环境调整
- 预测性防护阻止潜在攻击
- 行为分析取代简单的规则匹配
这些先进技术正在使Windows安全功能更加智能和主动。
未来功能展望
Windows防火墙未来可能包括:
- 更完善的应用程序控制
- 增强的物联网设备保护
- 更直观的用户界面
- 更深入的网络流量分析
- 与身份保护和访问控制的更紧密集成
随着威胁形势的发展,防火墙技术也在不断进化。
2. 与其他安全工具的配合
防病毒软件与防火墙
防火墙和防病毒软件相辅相成:
- 防火墙:控制网络流量,阻止未授权连接
- 防病毒:检测和删除恶意程序
两者协同工作提供全面保护:
- 防火墙阻止攻击者进入系统
- 防病毒软件处理已进入系统的威胁
- 两者共享威胁情报提高检测率
- 共同保护系统不同方面
确保两种安全工具配置正确,不会相互干扰。
入侵检测系统
入侵检测系统(IDS)是防火墙的强大补充:
- 防火墙控制通信,IDS监控可疑活动
- IDS可以检测防火墙可能遗漏的复杂攻击
- IDS提供深度包检测和行为分析
- 对家庭用户,Windows安全中心已包含基本IDS功能
企业环境常使用专业IDS解决方案,而家庭用户可依靠Windows内置安全功能。
完整的个人安全策略
全面的安全策略包括多个方面:
- 主动措施:
- 保持软件更新
- 使用强密码和多因素认证
- 定期备份数据
- 安全意识培训
- 防御措施:
- 防火墙(网络层保护)
- 防病毒软件(终端保护)
- 加密(数据保护)
- 安全浏览习惯(社会工程防护)
防火墙是安全策略的重要组成部分,但不是唯一的保护手段。
3. 学习资源与进阶知识
官方文档与教程
Microsoft提供丰富的Windows防火墙学习资源:
- Microsoft支持网站的防火墙文档
- Windows安全中心内置帮助
- Microsoft Learn在线培训课程
- Microsoft TechNet文章和指南
官方资源提供最准确的技术信息和最佳实践建议。
防火墙社区资源
在线社区和论坛提供宝贵的实用经验:
- Microsoft社区论坛
- Reddit上的Windows和网络安全子版块
- IT专业人士博客和技术网站
- YouTube上的教程视频
社区资源常提供实际问题的解决方案和创新用法。
网络安全认证
对于想深入学习网络安全的人,可以考虑专业认证:
- CompTIA Security+(入门级安全认证)
- Cisco CCNA Security(网络安全认证)
- Microsoft安全认证
- EC-Council认证专家课程
这些认证提供系统化的网络安全知识,包括防火墙在内的多种安全技术。
总结
Windows防火墙是一个强大且灵活的安全工具,为你的计算机提供基本的网络保护。从本指南中,我们了解了:
- 基础知识:防火墙的定义、类型和工作原理
- 基本使用:如何访问、配置和管理Windows防火墙
- 规则管理:创建、修改和优化防火墙规则
- 高级功能:使用高级控制台、监控连接和管理配置
- 特定场景:家庭、办公和公共场所的防火墙配置
- 故障排除:解决常见问题和优化性能
- 未来趋势:防火墙技术的发展方向和补充安全措施
记住,防火墙只是整体安全策略的一部分。结合其他安全工具和良好的使用习惯,可以为你的数字生活提供全面保护。
无论你是计算机新手还是有经验的用户,希望这份指南能帮助你更好地理解和使用Windows防火墙,保护你的数字安全。