作者： ZDNet China

Windows Vista防火墻全攻略(中) Windows Vista防火墻安全攻略(下)

Windows Vista的開發花費了很長的時間，而在其他操作系統中凡是看得到的功能，幾乎都改頭換面出現在了Vista之中。 在Vista之中的Windows防火墻就是這個變化部分的其中之一，提供了很多先前技術所不曾提供過的功能。 在本文中，我會花費一些時間來對Windows Vista防火墻的增強部分進行討論——后文它將被叫做“Windows防火墻”——并會解釋如何來管理這些功能。

Vista防火墻的增強

在Windows XP Service Pack 2之中，微軟放出了改進巨大的——就當時而言——基于客戶的防火墻解決方案。 在SP2之中的Windows XP防火墻默認是啟用的，這意味著電腦立刻就獲得了對付攻擊的更好防護措施。 不過，在XP SP2之中的防火墻，還是缺少了一些Windows防火墻所能提供的關鍵功能。

盡管改進其實很多，但是其中對防火墻的改進主要是集中于兩個方面，而這兩個方面使之成為了Vista用戶的良好解決方案：◆Windows 防火墻現在提供了應用程序相關的外向過濾，對所有進出你的電腦，以及你用戶電腦的通訊，提供了直接的控制手段。◆微軟提供了一個高級的管理接口，以便讓系統管理員針對工作站實施非常細微的不同規則。 另外，Windows防火墻可以通過組策略進行管理，這意味著公司的IT人員可以更好的執行強制性公司計算策略，從而對特定的活動進行禁止，比如禁止即時通訊軟件，以及P2P的文件共享等。

管理Windows防火墻

在Vista中，微軟提供了兩個完全不同的接口來對Windows防火墻進行配置：

◆傳統或者基礎的控制面板方式這是一個相對簡化的，Windows防火墻的配置工具。 它看起來非常類似Windows XP防火墻管理工具。

◆使用高級安全設置小程序的Windows防火墻意圖更多的偏向于技術方面，這個高級接口提供了非常細微的防火墻配置選項。

在本文中，對上述兩個接口都會有所涉及。

使用基本的控制面板接口

第一種方式，也就是你可能認為是“傳統”或者基本的管理方式，對那些曾經管理過XP下Windows防火墻的人來說將感覺很熟悉，因為它本來就是首先出現在Windows XP之中的。 在Vista中，這個管理接口可以通過“Start （啟動）| Control Panel（控制面板） | Security（安全） | Windows Firewall（Window防火墻）”，按下“Change Settings（改變設定）”按鈕，從而找到該接口，不過它并不總是這樣的步驟。 如果你是在Vista安裝中使用了控制面板的經典視圖，那么就是“Start （啟動）| Control Panel（控制面板） | Windows Firewall（Window防火墻）”，然后，再選擇“Change Settings（修改設定）”選項。 圖A就是初始化Windows防火墻信息窗口的視圖

圖A Windows防火墻信息窗口

這個窗口給你提供了一些關于Windows防火墻的普通信息，比如是否啟用了防火墻，是否進入連接被阻擋了，和防火墻相關的警告是如何處理的，以及你的網絡位置。 Windows Vista防火墻使用網絡位置參數來確認電腦的正確防火墻設置。 我在后文將會對合理的位置設定進行更多的講述。 要修改你的防火墻設定，就選擇“Change Settings（修改設置）”選項。 這個選項會打開Windows防火墻的設定窗口。 當你打開這個窗口時，首先被選擇的是General（綜合）頁面，如圖B所示。

圖B Windows防火墻設定窗口，被選中的是General頁面

在這個屏幕上，共有3個選項。 主要選項，On（開）和Off（關）——是很簡單的“啟用”或者“禁用”Windows防火墻。 而屏幕中間的選擇框，“Block All Incoming Connections（阻擋所有進入的連接）”，在你將電腦帶到某些特定的地方時會很有用處，比如在某些公共場合的無線接入點，此時你肯定不希望有任何連接連入你的電腦。 當你選中這個復選框后，即使你已經在Windows防火墻中設定了相關例外的服務也會被阻止掉，從而為你在低安全的環境中提供了很高級別的安全防護。

而如圖C所示的頁面“Exceptions（例外）”，則提供了一個途徑，讓你指定某些特定的服務，或者指定某些TCP/UDP端口，從而避免它們被Windows防火墻所阻擋。

圖C Windows防火墻設定窗口，被選中的是Exceptions（例外）頁面

這個頁面上的主窗口顯示了一個服務的列表，你可以進行選擇，從而讓Windows防火墻對之另行處理。 在這個屏幕截圖之中的電腦是一個全新的Vista安裝，顯示了作為Vista安裝的一部分，有哪些服務會被作為例外處理。 要想允許某個特定的程序或者端口能夠通過防火墻，需要選中該特定服務旁邊的復選框，然后按下“OK（確定）”按鈕。

如果你想要指定的程序沒有出現在列表之中，則點擊屏幕底部的“Add Program（添加程序）”按鈕。 如圖D所示，“Add A Program（添加一個程序）”屏幕，被彈了出來。

圖D 為例外列表添加一個自定義的程序

選擇所期望的程序，如果你的程序沒有被列出來的話，按下“Browse（瀏覽）”按鈕，然后在Windows防火墻中，找到對應的可執行程序。

在此頁面底部的“Change Scope（修改范圍）”按鈕，則提供了你一個方法，讓你限制電腦或者程序具體可以使用的端口。 這個屏幕（圖E）有3個選項：◆Any Computer（including those on the Internet):（任何電腦，包括互聯網上的電腦） 允許從任何位置發起的通信到達此服務。◆My Network (subnet) Only：僅允許我的網絡（包括子網） 僅允許從本地電腦發起的通信到達此服務。◆Custom List：自定義列表 可以指定某個IP地址，或者指定一個子網范圍。 僅允許在特定范圍內的電腦可以被允許訪問此服務。 所指定的IP地址可以是Ipv4或者Ipv6的格式。

圖E Change Scope（修改范圍）窗口

現在回過頭來看一下圖C。在“Add Program（添加程序）”旁邊的下一個按鈕，寫著“Add Port（添加端口）”。 點擊這個按鈕，將會出現類似圖F所示的窗口，這個窗口允許你添加一個基于TCP或者UDP端口號的防火墻例外處理規則。 在“Add Port（添加端口）”頁面上，為特定的端口或者服務指定一個描述性的名字，實際的端口號，以及具體指定該例外是用于TCP端口，或者是一個UDP端口。 而下邊這里就是你必須單獨提供的每個端口，如果你有很多端口需要打開的話，這個工作會非常的無聊乏味。

圖F 添加一個TCP或者UDP端口的例外

再重申一下，你可以使用“Chagne Scope（修改范圍）”按鈕來限制使用這個例外的通信發出點。 具體的信息和圖E所示是一樣的。

回到Windows防火墻的屬性頁面，注意一下“PropertIEs（屬性）”以及“Delete（刪除）”按鈕。 如果你已經添加了自定義的程序，以及具體服務的相應端口，可以在必要時，使用“Delete（刪除）”按鈕來刪除掉相應的入口。 而“Properties（屬性）”按鈕，則提供給你有關具體選中的服務的相應說明。

最后，要注意一下Exceptions（例外）頁面底部的復選框。 “Notify Me When Windows Firewall Blocks A New Program（當Windows阻止某個程序時通知我）”的復選框，可以讓你在一個新程序或者新服務試圖通過防火墻時讓你獲得相應的通知。

在Windows防火墻設定屏幕上的最后一個頁面，則很明顯是提供了某些“高級”配置設定選項的。 實際上，其實選項并不多。 可用部分如圖G所示。

圖G 高級的Windows防火墻設定頁面

在這個頁面上的選項基本上都是一看就明白的，所以我這里就不一一贅述了。

到了這里，你可能會問你自己下面這幾個問題：

◆我該在哪里對ICMP設定進行配置呢？◆為什么我看不到任何有關通往防火墻外部的配置規則？

這就是圖片中高級配置接口的所在。

Windows Vista防火墻全攻略(中) Windows Vista防火墻安全攻略(下)