自推出Windows XP系統(tǒng)內(nèi)置的第一個(gè)防火墻(Internet Connection防火墻)以來，微軟公司一直在穩(wěn)步改善其后推出的系統(tǒng)的防火墻功能。而在最新客戶端操作系統(tǒng)Windows 7中的Windows防火墻，進(jìn)行了革命化的改進(jìn)，提供了更加用戶友好的功能，并且為移動用戶的防火墻方面有明顯的改善。在本文中，我們將介紹Windows7中的Windows Firewall，以及如何與多個(gè)防火墻政策配置的問題。 Windows防火墻的發(fā)展史 Windows XP中的防火墻軟件僅提供簡單和基本的功能，且只能保護(hù)入站流量，阻止任何非本機(jī)啟動的入站連接，默認(rèn)情況下，該防火墻是關(guān)閉的。SP2系統(tǒng)默認(rèn)情況下則為開啟，使系統(tǒng)管理員可以通過組策略來啟用防火墻軟件。Vista的防火墻是建立在新的Windows過濾平臺(WFP)上的，該防火墻添加了通過高級安全MMC管理單元過濾出站流量的功能。在Windows 7中，微軟公司已經(jīng)進(jìn)一步調(diào)整了防火墻的功能，讓防火墻更加便于用戶使用，特別是移動計(jì)算機(jī)中，并且能夠支持多種防火墻政策。 Windows 7防火墻 在Vista中，Windows7防火墻的基本設(shè)置是通過控制面板程序設(shè)置的，與Vista不同的是，你也可以通過控制面板訪問高級設(shè)置(包括配置出站連接過濾)，而不需要創(chuàng)建空的MMC并添加一個(gè)管理單元。只需要點(diǎn)擊左側(cè)面板中的高級設(shè)置連接即可，如圖1所示。 圖1：在Windows 7中，你可以通過控制面板程序進(jìn)入高級防火墻設(shè)置 更多網(wǎng)絡(luò)選項(xiàng) Vista防火墻允許用戶選擇公共網(wǎng)絡(luò)或者私人網(wǎng)絡(luò)，而在Windows 7中，你有三個(gè)選擇：公共網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)或者工作網(wǎng)絡(luò)，后兩者都被視為私人網(wǎng)絡(luò)。 如果你選擇“家庭網(wǎng)絡(luò)選項(xiàng)，你可以建立一個(gè)Homegroup。在這種情況下，網(wǎng)絡(luò)發(fā)現(xiàn)(network discovery)是自動開啟的，這樣你就能夠看到網(wǎng)絡(luò)中的其他計(jì)算機(jī)和設(shè)備，他們也能夠看到你的計(jì)算機(jī)。屬于Homegroup的計(jì)算機(jī)可以共享圖片、音樂、視頻和文檔庫，也可以共享硬件設(shè)備，如打印機(jī)等。如果你的文件夾中有不想共享的文件，也可以排除它們。 如果你選擇“工作網(wǎng)絡(luò)，網(wǎng)絡(luò)發(fā)現(xiàn)默認(rèn)情況下是開啟的，但是你將無法創(chuàng)建或者加入Homegroup，如果你將計(jì)算機(jī)加入到Windows域(通過Control Panel | System | Advanced System Settings | Computer Name tab)并通過域控制器的驗(yàn)證，防火墻將會自動將網(wǎng)絡(luò)視為域網(wǎng)絡(luò)。 當(dāng)你在機(jī)場、酒店或者咖啡館等位置連接到公共無線網(wǎng)絡(luò)或者使用移動寬帶網(wǎng)絡(luò)時(shí)，應(yīng)該選擇“公共網(wǎng)絡(luò)，網(wǎng)絡(luò)發(fā)現(xiàn)將會默認(rèn)為關(guān)閉，這樣網(wǎng)絡(luò)中的其他計(jì)算機(jī)就不能看到你的計(jì)算機(jī)，你也不能川劇或者歸屬于Homegroup。 對于所有網(wǎng)絡(luò)類型，默認(rèn)情況下，windows 7防火墻都會阻止對不在可允許程序名單上的程序的連接，Windows7允許你為每種網(wǎng)絡(luò)類型分別配置設(shè)置，如圖2所示。

圖2：Windows7允許你為每種網(wǎng)絡(luò)類型分別配置設(shè)置 多個(gè)有效模式 在Vista中，即使你已經(jīng)為公共網(wǎng)絡(luò)和私人網(wǎng)絡(luò)配置了情景模式，在特定時(shí)間內(nèi)只有一種是有效的。如果你的計(jì)算機(jī)同時(shí)連接到兩個(gè)不同的網(wǎng)絡(luò)，那事情就不妙了，這時(shí)將會采用最嚴(yán)格的模式來使用所有連接，這意味著在本地網(wǎng)絡(luò)你可能無法進(jìn)行所有需要的操作，因?yàn)榇藭r(shí)使用的是公共網(wǎng)絡(luò)模式的規(guī)則。在Windows7(和Server 2008 R2中)，可以同時(shí)為每個(gè)網(wǎng)絡(luò)適配器使用不同的模式，對私人網(wǎng)絡(luò)的連接使用私人網(wǎng)絡(luò)規(guī)則，而來自公共網(wǎng)絡(luò)的流量則使用公共網(wǎng)絡(luò)規(guī)則。

重要的小功能 在很多情況下，細(xì)小的變化可能帶來更高的可用性，微軟公司一直積極聽取來自用戶的意見，他們在Windows 7防火墻中加入了一些重要的小功能。例如，在Vista中，當(dāng)你創(chuàng)建防火墻規(guī)則時(shí)，你需要分別列出端口號和IP地址，而現(xiàn)在你只需要指定范圍，這樣就為這項(xiàng)常見的管理任務(wù)節(jié)省了很多時(shí)間。 你也可以創(chuàng)建連接安全規(guī)則來指定哪些端口或者協(xié)議受到防火墻控制臺中Ipsec要求的支配，而不需要使用netsh命令。對于那些更愿意使用GUI的人而言，這是個(gè)很方便的改進(jìn)。 連接安全規(guī)則還支持動態(tài)加密，這意味著，如果服務(wù)器獲取一條來自客戶端計(jì)算機(jī)的未加密(但通過驗(yàn)證)的信息，可以通過要求加密來獲得更安全的通信。 使用高級設(shè)置配置文件 使用高級設(shè)置控制臺，你可以為每種網(wǎng)絡(luò)類型的配置文件進(jìn)行設(shè)置，如圖3所示。 圖3：你可以使用高級設(shè)置控制臺為每種網(wǎng)絡(luò)類型設(shè)置配置文件 對于每個(gè)配置文件，你可以進(jìn)行以下配置： ·Windows防火墻的開關(guān)狀態(tài) ·入站連接(阻止、阻止所有連接，或者允許) ·出站連接(允許或者阻止) ·顯示通知(當(dāng)程序被阻止時(shí)是否進(jìn)行通知顯示) ·對于組播或者廣播流量是否允許單播響應(yīng) ·除使用組策略防火墻規(guī)則外，還使用由本地管理員創(chuàng)建的本地防火墻規(guī)則 ·除使用組策略連接安全規(guī)則外，還使用由本地管理員創(chuàng)建的本地連接安全規(guī)則 日志 Vista防火墻可以配置為記錄事件日志到一個(gè)文件中(默認(rèn)情況下為WindowsSystem32LogFilesFirewallpfirewall.log)。在windows 7中，事件日志也可以記錄在Event VIEwer的Applications 和Services部分，這樣更加容易訪問。要查看此日志，可以打開Event Viewer，在左窗格中，點(diǎn)擊Applications and Services Log | Microsoft | Windows | Windows Firewall中的高級安全選項(xiàng)，如圖4所示。 圖4：Windows 7中的事件查看器中的防火墻事件日志 在事件查看日志中，你可以創(chuàng)建一個(gè)自定義視圖，過濾日志，搜索日志或者啟用詳細(xì)日志記錄。 Netsh 命令 Windows 7包含向后兼容的netsh防火墻，但是如果你運(yùn)行改命令，你會收到消息顯示，“重要，‘netsh防火墻’已經(jīng)過時(shí)，請使用netsh advfirewall防火墻，如果想了解更多關(guān)于該新命令的信息，請點(diǎn)擊http://support.microsoft.com/kb/947709。 總結(jié) Windows 7防火墻是對Vista防火墻進(jìn)行廣泛改善后的產(chǎn)物，并且將其隱藏的先進(jìn)功能公開化了。很多用戶(包括一些IT專業(yè)人士)以前可能并不知道Vista防火墻可以過濾出站流量、檢測和執(zhí)行高級配置任務(wù)，因?yàn)檫@些功能都沒有在控制面板中的防火墻程序中明顯地顯示出來，在Windows 7中，微軟創(chuàng)建了一個(gè)內(nèi)置的防火墻，比Vista更加完善，并且成為了第三方托管防火墻的有效的替代產(chǎn)品。