高手必由之路 全面認識Vista自帶防火牆

　網路安全已經被越來越多的人重視起來，而在保證自己的計算機安全方面，最主要的一個手段就是安裝殺毒軟體、網路防火牆以及反間諜軟體等各種程序。

　　早在Windows XP時代，微軟就在系統中加入了內置的防火牆，這就是我們最初見到的Internet Connection Firewall (ICF)，它可以提供基本 的包過濾功能。到了XP SP2時，這個內置的防火牆被正式更名為Windows Firewall，並且有了明顯的改進，比如提供了啟動和關機時的保護能 力，但是依舊是單向的防護，即只能對進入電腦的數據進行攔截審查。因此很多電腦用戶仍然選擇了第三方的個人防火牆產品，比如 卡巴斯基或ZoneAlarm。

　　針對不同需求採用兩種界面

　　在Windows vista中，Windows Firewall有了長足進步，它不但可以像XP SP2那樣通過控制面板訪問防火牆用戶界面，還為技術人員提供了通過 MMC控制台配置防火牆高級功能的途經。

　　Vista的防火牆具有兩種獨立的配置界面：基本的配置界面可以通過控制面板中的安全中心來開啟，高級配置界面則需要用戶建立定製的MMC。這種獨立的配置界面設計可以避免初級用戶由於配置不當導致系統安全性降低，同時也為高級用戶提供了更多的控制流入和流出數據的能力。

　　另外，用戶還可以通過netsh advfirewall中的命令在命令行模式配置Vista的防火牆，或者通過創建腳本的方式在多台電腦上進行防火牆自動配置。此外，用戶還可以通過組策略來控制Vista防火牆的配置。

　　通過控制面板的基本配置

　　跟XP一樣，用戶可以在「General」選項卡中直接開啟或關閉防火牆，並可以同時攔截所有程序，而不需要考慮例外情況。

　　「Block All Programs」選項是一個很便利的選項，尤其當用戶處於一個公開的Wi-Fi網路時。它可以讓系統臨時禁止「例外」中規定的任何程 序訪問網路，而當用戶處於一個相對安全的網路環境時，再關閉這個選項，恢復先前設置。

　　和XP一樣，在Vista 防火牆的基本設置中，例外也是在「Exceptions」選項卡中進行設置。用戶可以通過選中相應的程序或服務解除防火牆對 他們的阻止。

　　如果用戶希望取消阻止的某個程序，而該程序不在阻止列表中，用戶可以通過點擊「Add Program」按鈕來添加。在添加程序對話框，用戶可以 從程序列表或者通過文件瀏覽器選擇該程序。通過「Change Scope」選項，用戶可以僅在某個範圍允許程序訪問網路。其範圍包括：

　　任何計算機，包括網際網路上的計算機。

　　·僅我的區域網路 (子網) 。

　　·自定義IP地址或者子網範圍。

　　另外，用戶還可以選擇在防火牆攔截軟體后是否要發出報警。

　　「Advanced」選項卡可以讓用戶選擇需要受到防火牆保護的網路連接。

　　在這個選項卡中，用戶還可以配置日誌內容(丟包或者成功連接的記錄)，設置日誌的最大容量。設置系統該如何回應ICMP請求。在默認情況 下，只有響應的ICMP請求包會被接收，其餘的ICMP請求均被禁止。

　　通過恢復到默認設置的按鈕，用戶可以取消所有修改，將防火牆的設置恢復到系統安裝的默認狀態。

　　vista防火牆的高級設置

　　建立自定義的MMC

　　要想查看高級設置內容，用戶需要建立一個自定義的MMC。以下是建立方法：

　　1.點擊 Start Programs Accessories 然後選擇 Run.

　　2.在運行欄中鍵入mmc.exe。用戶也許需要輸入管理權證書或點擊進行運行程序認證。

　　3.進入MMC后，點擊File Add/Remove Snap-in.

　4.在Available Snap-ins列表中向下動並選擇Windows Firewall With Advanced Security。雙擊或者選中它然後點擊Add 按鈕。

　　5.在Select Computer對話框，選擇默認(Local Computer)然後點擊Finish。

　　6.在Add/Remove Snap-ins對話框中點擊OK。

　　現在用戶擴展左側的樹狀列表，就會在右側看到Vista 防火牆的高級設置頁面了。

　　Vista可定製多種配置

　　在Vista中，用戶可以為防火牆定製多種配置，比如適合企業域的網路配置(用戶的筆記本可以在公司域中登錄或登出)，或者適合家庭的網路 配置(比如家庭點到點的網路)，又或者是適合公眾網路環境的配置(比如在機場酒店連接到公開的WI-FI網路)。每種配置都是相互獨立的。

　　因此，當用戶處於企業網路中時，甚至可以關閉Vista的防火牆，因為企業網路中基本上都帶有更高級的防火牆，而在連接到家庭網路或者公眾 無線網路時，則可以及時打開防火牆。

　　要改變各種配置，用戶可以通過Windows Firewall Properties進行設置。在其中的Domain, Private, 以及 Public Profile選項卡中，用戶可 以開啟或關閉防火牆，還可以對發送以及接收到的連接請求進行屏蔽或通過。

　　在這三種配置中，默認均為發送連接可以通過，接收到的連接請 求則被拒絕(允許例外)。用戶也可以將所有連接均設為屏蔽，包括例外列表中的程序。(每種配置選項 卡中的內容都一樣)

　　通過Customize按鈕，用戶可以對每個配置進行更個性化的調整。比如用戶可以設置當接收到的連接請求被拒絕時，系統發出警報信息，還可以 設置是否接收多播或廣播時產生的unicast響應。另外，用戶還可以在配置項目中設置日誌選項(可以對丟包或成功連接等情況進行記錄)。

　　一旦用戶設置好每種配置以及IPSec屬性，就可以進行下一步有關計算機連接安全方面的設置了，這個設置用來決定何時以及如何在兩台電腦間(或一組電腦間)建立安全連接。

　　要進行相關設置，用戶需要右鍵點擊控制檯面板左側的Computer Connections Security並選擇New Rule。這一步會開啟New Connection Security Rule Wizard，即新連接安全規則嚮導，用戶可以在如下類別中選擇規則類型：

　　·Isol ATI on: 基於域成員或系統健康狀態等標準的受限制連接。

　　·Authentication exemption: 可以指定某些電腦與本機連接不需要認證。

　　·Server to server: 指定某些電腦之間的連接不需要認證。

　　·Tunnel: 該規則用於在網關係統間進行連接認證。

　　·Custom: 如果以上規則沒有適合的，用戶可以自定義規則。

　　下一步是提供規則所需的條件。比如當用戶建立了一個自定義規則，就需要指定終點，終點包含了一台或者一組電腦。用戶可以通過IP地址或 者地址範圍對一台以及多台電腦進行設定，用戶還可以將一個預先確定的地址作為終點之一，比如默認網關，DNS伺服器，DHCP伺服器或者本地 子網。

　　對於一些規則類別，用戶需要確立規則條件。比如：

　　·用戶可以要求對全部發送和接收的連接進行驗證，這意味著在任何情況下都要使用認證，但這並不是必須的。

　　用戶可以要求對發送的連接進行認證或者對接收的連接請求進行認證。沒有通過認證的接收到的請求將被屏蔽，而發送的連接請求也會被 驗證。

　　·用戶可以要求同時對接收和發送的連接進行認證。沒有認證的連接均被拒絕。

　　·用戶也可以選擇對於任何連接均不需要認證。

　接下來，用戶需要選擇認證方式，這一點和上面介紹的IPSec屬性配置項目非常類似(取決於用戶創建的規則類別)。

　　最後，用戶需要選擇當前的規則適用於哪種防火牆配置，並為這個規則命名，並填寫介紹(可選)。用戶建立的規則將出現在頁面中央部分。

　　用戶可以通過配置或狀態(啟用/禁用)過濾規則。因此，用戶可以只顯示當前配置下的安全規則，或者只顯示被禁用的規則。用戶還可以通過 View菜單選擇中間區域所顯示的內容列。

　　用戶可以隨時通過右鍵點擊中間的規則，然後選擇Disable Rule或Delete禁用或刪除該規則。當需要應用該規則時，可以通過同樣的方法啟用 規則。另外，通過右鍵點擊規則，選擇Properties，用戶還可以對規則進行各種修改。

　　用戶所能進行的操作均列在控制台界面的右側，通過右鍵點擊規則也可以實現相應功能。

　　為了創建對應某個程序或某個埠的安全規則，用戶需要建立接收和發送規則。vista本身內置了一系列規則，通過點擊 Inbound Rules或Outbound Rules，用戶可以看到這些內置的規則。

　　要禁用或刪除這些預製的規則，或者創建規則，用戶可以右鍵點擊相應規則，或者點擊右側所出現的相應功能。通過選擇規則的Properties， 用戶可以修改規則。

　　要建立新的接收和發送規則，用戶可以從下拉菜單或右鍵點擊控制檯面板，選擇New Rule。之後會開啟一個新規則嚮導。

　　在嚮導對話框的第一屏，用戶可以選擇電腦上的某個應用程序可以通過防火牆並建立埠，或者選擇一個windows服務(默認)，另外，用戶還 可以自定義規則。

　　這裡我們以為某個程序建立連接規則為例進行講解。我們選擇Program並點擊Next。

　　在下一屏，用戶需要選擇將規則應用於所有程序或者僅針對某個程序。如果選擇某個程序，用戶需要打開瀏覽器，定位該程序。

　　接下來，用戶需要選擇當該程序試圖建立連接時(本例中，由於我們所建立的是接收規則，因此這裡是指程序接收到連接請求)，防火牆的動 作。用戶可以選擇以下防火牆動作：

　　·允許該程序的所有連接，包括安全的和不安全的。

　　·僅允許安全的連接。如果用戶選擇了此項，那麼還可以選擇對該連接的數據進行加密，從而保護數據安全。如果用戶不選擇此功能，該連 接將需要認證並對數據進行完整性檢測，但是不對數據進行加密。用戶還可以選擇該連接優先於Block規則，這樣便於管理員通過遠程管理工具 對電腦進行管理。

　　·攔截所有連接。如果用戶希望攔截所有進入的連接，比如P2P軟體的連接請求，可以選擇此項。

　　在下一屏，用戶可以選擇將該規則應用於全部防火牆配置或者某個防火牆配置中。同時，還要為該規則命名。

　　對於針對某個埠的規則設定，與上面說到的基本類似，唯一不同的是，用戶需要輸入TCP或UDP埠號，而不是程序位置。用戶可以針對某個軟體或者某個端的某種協議進行規則制定，另外還可以將規則應用於某個或某些終點(計算機或計算機組)。
　　監視

　　高級防火牆配置的一個最有用的功能，也是我們建立防火牆Advanced Security MMC控制台最主要的原因，就是監視功能。在監視功能中，用戶可以查看各種規則和他們的屬性狀態。

　　通過控制台右側的可用功能列表，用戶可以將防火牆規則導出為txt文本文件，或者以逗號分隔的資料庫文件(.csv)。

　　總結

　　雖然Vista的防火牆表面上和Windows XP SP2的防火牆沒有什麼區別，但是一旦用戶通過控制台進入到防火牆的高級配置中，就會發現Vista防 火牆的功能和配置參數遠多於XP SP2。Vista防火牆不但可以對發送和接收的數據進行攔截和審查，還可以讓用戶自定義規則，完全可以滿足用戶的各種需求。

OK