作者：軟件頻道 來源:ZDNet China

Windows Vista防火墻全攻略(上);; Windows Vista防火墻全攻略(中)

Windows Vista的開發(fā)花費(fèi)了很長的時(shí)間，而在其他操作系統(tǒng)中凡是看得到的功能，幾乎都改頭換面出現(xiàn)在了Vista之中。 在Vista中的Windows防火墻就是這個(gè)變化部分的其中之一。

其他Windows防火墻配置設(shè)定

注意，你現(xiàn)在已經(jīng)看過了Windows防火墻屬性頁面，讓我們來看一些其他用戶接口的成分。 看一眼圖I。我將從主配置窗口左手邊的選項(xiàng)來開始。

◆Inbound Rules:進(jìn)入規(guī)則 允許你設(shè)定規(guī)則，以控制Windows防火墻到底如何處理進(jìn)入方向的通信。◆Outbound Rules:外出規(guī)則 允許你設(shè)定規(guī)則，以控制Windows防火墻到底如何處理外出方向的通信。◆Connection Security Rules:連接安全性規(guī)則 使用IPsec來對同樣使用Windows防火墻的兩臺(tái)電腦之間的通信進(jìn)行加密，或者對使用一個(gè)兼容IPsec策略的兩臺(tái)電腦通信進(jìn)行加密。 我在本文中不會(huì)對這些種類的規(guī)則說的太多。◆Monitoring:監(jiān)控 監(jiān)控選項(xiàng)給了你一種方法，讓你可以查看你的防火墻正在做什么。 本文中我也不會(huì)對監(jiān)控方面講述太多。

Inbound Rules（進(jìn)入規(guī)則）

Windows防火墻一般總是有能力對進(jìn)入的通信進(jìn)行阻擋。 不過，在高級配置視圖之中，Windows防火墻對那些了解如何配置服務(wù)的人們來說，顯然更具有彈性。 圖R讓你可以看一下防火墻管理接口的進(jìn)入規(guī)則部分。

圖R Windows防火墻進(jìn)入規(guī)則列表

注意，在窗口的中間列出的每一個(gè)規(guī)則旁邊，都有一個(gè)灰色或者綠色的選中標(biāo)記。 一個(gè)綠色的選中標(biāo)記，表明該規(guī)則是被啟用的，而一個(gè)灰色的選中標(biāo)記則表明該規(guī)則被定義了，但是沒有被啟用。 要啟用或者禁止一個(gè)現(xiàn)存的規(guī)則，右鍵點(diǎn)擊該規(guī)則，然后選擇“Enable Rule（啟用規(guī)則）”或者“Disable Rule（禁用規(guī)則）”。

在Windows防火墻中，有一定數(shù)量的重要進(jìn)入規(guī)則可以使用。 要注意，如圖J所示，每一個(gè)單獨(dú)的規(guī)則僅管理一個(gè)特定的服務(wù)方面。 舉例來說，有很多的規(guī)則名字都以“Core Networking（核心網(wǎng)絡(luò)）”作為開頭。 每一個(gè)規(guī)則都管理著一個(gè)非常特定的程序或者協(xié)議；舉例來說，一個(gè)規(guī)則可能僅允許通過TCP25端口進(jìn)入的SMTP連接。所有的核心網(wǎng)絡(luò)管理規(guī)則都是啟用的，因?yàn)闆]有了他們，你的電腦可能都不能正常工作。 如果你打算特別加強(qiáng)你的Vista工作站，你也可以禁用某些規(guī)則。 規(guī)則中的許多是特定版本的傳輸協(xié)議。 這就是說，某些規(guī)則是為了Ipv4，某些規(guī)則則是特別為了Ipv6的，而不是一個(gè)規(guī)則同時(shí)為兩者服務(wù)的。 如果你在你的網(wǎng)絡(luò)中沒有使用Ipv6，你可以禁用所有面向Ipv6的規(guī)則。

Outbound Rules:外出規(guī)則

外出規(guī)則選項(xiàng)看起來和圖J所示的進(jìn)入規(guī)則屏幕差不多，工作方式也是一樣的。 我們很快會(huì)看一下如何建立新規(guī)則。

建立新規(guī)則

Windows防火墻給予你相應(yīng)的能力來根據(jù)許多規(guī)范建立的進(jìn)入和外出的規(guī)則，包括通過特定程序的管理，或者基于TCP/UDP端口的管理。 要添加一個(gè)新規(guī)則，要么選擇進(jìn)入規(guī)則，或者外出規(guī)則（根據(jù)你自己的需要），然后在MMC中選擇新規(guī)則選項(xiàng)（New Rule option）。 這會(huì)開始一個(gè)精靈，然后帶你進(jìn)入規(guī)則建立進(jìn)程。

如圖S所示，精靈的第一個(gè)屏幕，要求你決定打算建立何種規(guī)則。 就本例而言，我將建立一個(gè)自定義規(guī)則，以示范最普遍的可能性。

圖S 選擇你打算建立的規(guī)則種類

在精靈的第二個(gè)頁面，選擇新規(guī)則需要限制的程序和服務(wù)。 你可以選擇新規(guī)則對所有運(yùn)行的程序和服務(wù)有效（這意味著該規(guī)則對所有的連接都有效，而不是僅僅針對特定程序或者服務(wù)的連接），或者，僅對某個(gè)特定的程序或者服務(wù)生效。

圖T顯示了如何對特定的程序限定相應(yīng)的規(guī)則。 如果你打算對某個(gè)特定的服務(wù)限定規(guī)則，點(diǎn)擊“Customize（自定義）”按鈕。 在圖U中所示的屏幕，顯示了你可以對所有的程序和服務(wù)都應(yīng)用該規(guī)則，或者僅對服務(wù)應(yīng)用，或者對從列表中選擇的某個(gè)服務(wù)應(yīng)用，或者是對你在窗口底部的對話框中所輸入簡短名稱的某個(gè)服務(wù)生效。

圖T 該規(guī)則將對哪個(gè)程序或者服務(wù)進(jìn)行限定？圖U 該規(guī)則應(yīng)當(dāng)覆蓋哪個(gè)服務(wù)？

就我的示例而言，我將該規(guī)則應(yīng)用于所有的程序和服務(wù)。

精靈的第三個(gè)頁面，如圖V所示，要求你提供應(yīng)當(dāng)被用于本規(guī)則的具體協(xié)議和端口。

圖V 該規(guī)則將處理哪個(gè)協(xié)議和端口？

這個(gè)屏幕在以下區(qū)域中要求提供相應(yīng)信息

Windows Vista防火墻全攻略(上);; Windows Vista防火墻全攻略(中)

協(xié)議種類

可用的協(xié)議類型如下所示：

◆HOPOPT (IPv6 Hop-by-Hop Option)◆ICMPv4◆ICMPv6◆IGMP　◆TCP◆UDP◆IPv6◆IPv6-Route◆IPv6-Frag◆IPv6-NoNxt◆IPv6-Opts◆GRE◆VRRP◆PGM◆L2TP

本地端口

本地端口選項(xiàng)僅當(dāng)你在為協(xié)議種類選擇了TCP或者UDP之后才可以使用。 一個(gè)本地端口是在運(yùn)行Windows防火墻的電腦上所使用的端口。

本地端口可用的選項(xiàng)有：◆All ports（所有端口）◆Specific ports（特定端口）◆Dynamic RPC（動(dòng)態(tài)RPC）◆RPC Endpoint Mapper（RPC端點(diǎn)映射）◆Edge Traversal（邊緣穿越）

　　遠(yuǎn)程端口

遠(yuǎn)程端口選項(xiàng)僅當(dāng)你在為協(xié)議種類選擇了TCP或者UDP之后才可以使用。 一個(gè)遠(yuǎn)程端口，指的是試圖和你本地電腦進(jìn)行通信的遠(yuǎn)方電腦上所用的端口。

對遠(yuǎn)程端口，你可以使用“All Ports（所有端口）”，也可以使用“Specific Ports（特定端口）”。互聯(lián)網(wǎng)控制信息協(xié)議（ICMP）設(shè)定

如果你在協(xié)議類型中選擇了ICMP選項(xiàng)之一，那么該選項(xiàng)旁邊的Customize（自定義）按鈕就會(huì)變得可用。 點(diǎn)擊此按鈕，會(huì)打開如圖W所示的ICMP自定義設(shè)置窗口。在該屏幕上，你可以選擇將該規(guī)則適用于所有的ICMP類型，或者僅僅適用于特定的ICMP類型。

圖W 自定義ICMP設(shè)定窗口

精靈的下一個(gè)頁面，如圖X所示，將詢問你新規(guī)則的本地和遠(yuǎn)程IP地址（范圍）。 而范圍可以被適用于進(jìn)出的所有通訊規(guī)則，這樣滿足了預(yù)先定義范圍的通訊都將被適用該規(guī)則，就像其他規(guī)則所做的那樣。

圖X 該規(guī)則對應(yīng)的IP地址是什么？

一旦你已經(jīng)在一個(gè)將要生效的規(guī)則下定義了具體參數(shù)，就需要決定當(dāng)有事件滿足條件時(shí)應(yīng)當(dāng)做些什么。 如圖Y所示，你有3個(gè)選項(xiàng)：

◆Allow The Connection（允許連接）,無論該連接是否啟用了IPsec。◆Allow The Connection Only If It Is Secured By IPsec（僅允許被IPsec保護(hù)的連接）. 你也可以在這里為了額外的安全而選擇子選項(xiàng)。 如果你選擇了它，你必須同時(shí)指定用戶或者電腦如何確定可信任的連接。◆Block The Connection（阻止該連接）。

圖Y 當(dāng)滿足條件時(shí)，應(yīng)當(dāng)采取什么行動(dòng)？

對于最后的精靈頁面，我這里就不放出屏幕圖形了。 最后倒數(shù)一二個(gè)頁面，Profile，會(huì)要求你選擇具體哪個(gè)Profile——domain（域），Private（私人），或者Public（公共）——將被應(yīng)用新規(guī)則？ 精靈的最后一個(gè)屏幕要求你為新規(guī)則命令，另外，也可以輸入一個(gè)說明性的詳細(xì)描述。

當(dāng)你完成了建立新規(guī)則后，它將會(huì)顯示在主要防火墻配置窗口的規(guī)則列表中

缺點(diǎn)

毫無疑問，說到客戶級別的保護(hù)方面，Windows防火墻，從能力方面而言，足以和那些大人物們同行。 但是，還有兩點(diǎn)值得提起，因?yàn)樗鼈冏孷ista的新防火墻還不夠完美。

◆外出監(jiān)控默認(rèn)狀態(tài)下是不啟用的： 這意味著用戶可能會(huì)被誤導(dǎo)，認(rèn)為他們現(xiàn)在的電腦和使用Windows XP的時(shí)期相比，“得到了更好的保護(hù)”。

◆一個(gè)相當(dāng)復(fù)雜的高級管理接口： 一般的家庭用戶將沒有能力來管理這個(gè)服務(wù)。 的確，一個(gè)家庭用戶在使用基本接口時(shí)將很少有困難，但是基本接口并沒有提供一個(gè)啟用外出監(jiān)控的方法，也沒有提供任何在高級配置中所提供的細(xì)微管理功能。 除非微軟可以特別簡化高級防火墻接口，否則家庭用戶將享受不到防火墻中所提供的全新技術(shù)功能。

　　一次主要升級

在Windows Vista之中所提供的防火墻，和微軟先前聲稱要努力建立的牢固防火墻而言，還存在相當(dāng)?shù)木嚯x。 但就它的雙向保護(hù)能力，超級細(xì)微的管理選項(xiàng)，以及很寬的配置參數(shù)而言，它同樣也不能被算做一無是處。