作者：軟件頻道 來源:ZDNet China

Windows Vista防火墻全攻略(上);; Windows Vista防火墻全攻略(中)

Windows Vista的開發花費了很長的時間，而在其他操作系統中凡是看得到的功能，幾乎都改頭換面出現在了Vista之中。 在Vista中的Windows防火墻就是這個變化部分的其中之一。

其他Windows防火墻配置設定

注意，你現在已經看過了Windows防火墻屬性頁面，讓我們來看一些其他用戶接口的成分。 看一眼圖I。我將從主配置窗口左手邊的選項來開始。

◆Inbound Rules:進入規則 允許你設定規則，以控制Windows防火墻到底如何處理進入方向的通信。◆Outbound Rules:外出規則 允許你設定規則，以控制Windows防火墻到底如何處理外出方向的通信。◆Connection Security Rules:連接安全性規則 使用IPsec來對同樣使用Windows防火墻的兩臺電腦之間的通信進行加密，或者對使用一個兼容IPsec策略的兩臺電腦通信進行加密。 我在本文中不會對這些種類的規則說的太多。◆Monitoring:監控 監控選項給了你一種方法，讓你可以查看你的防火墻正在做什么。 本文中我也不會對監控方面講述太多。

Inbound Rules（進入規則）

Windows防火墻一般總是有能力對進入的通信進行阻擋。 不過，在高級配置視圖之中，Windows防火墻對那些了解如何配置服務的人們來說，顯然更具有彈性。 圖R讓你可以看一下防火墻管理接口的進入規則部分。

圖R Windows防火墻進入規則列表

注意，在窗口的中間列出的每一個規則旁邊，都有一個灰色或者綠色的選中標記。 一個綠色的選中標記，表明該規則是被啟用的，而一個灰色的選中標記則表明該規則被定義了，但是沒有被啟用。 要啟用或者禁止一個現存的規則，右鍵點擊該規則，然后選擇“Enable Rule（啟用規則）”或者“Disable Rule（禁用規則）”。

在Windows防火墻中，有一定數量的重要進入規則可以使用。 要注意，如圖J所示，每一個單獨的規則僅管理一個特定的服務方面。 舉例來說，有很多的規則名字都以“Core Networking（核心網絡）”作為開頭。 每一個規則都管理著一個非常特定的程序或者協議；舉例來說，一個規則可能僅允許通過TCP25端口進入的SMTP連接。所有的核心網絡管理規則都是啟用的，因為沒有了他們，你的電腦可能都不能正常工作。 如果你打算特別加強你的Vista工作站，你也可以禁用某些規則。 規則中的許多是特定版本的傳輸協議。 這就是說，某些規則是為了Ipv4，某些規則則是特別為了Ipv6的，而不是一個規則同時為兩者服務的。 如果你在你的網絡中沒有使用Ipv6，你可以禁用所有面向Ipv6的規則。

Outbound Rules:外出規則

外出規則選項看起來和圖J所示的進入規則屏幕差不多，工作方式也是一樣的。 我們很快會看一下如何建立新規則。

建立新規則

Windows防火墻給予你相應的能力來根據許多規范建立的進入和外出的規則，包括通過特定程序的管理，或者基于TCP/UDP端口的管理。 要添加一個新規則，要么選擇進入規則，或者外出規則（根據你自己的需要），然后在MMC中選擇新規則選項（New Rule option）。 這會開始一個精靈，然后帶你進入規則建立進程。

如圖S所示，精靈的第一個屏幕，要求你決定打算建立何種規則。 就本例而言，我將建立一個自定義規則，以示范最普遍的可能性。

圖S 選擇你打算建立的規則種類

在精靈的第二個頁面，選擇新規則需要限制的程序和服務。 你可以選擇新規則對所有運行的程序和服務有效（這意味著該規則對所有的連接都有效，而不是僅僅針對特定程序或者服務的連接），或者，僅對某個特定的程序或者服務生效。

圖T顯示了如何對特定的程序限定相應的規則。 如果你打算對某個特定的服務限定規則，點擊“Customize（自定義）”按鈕。 在圖U中所示的屏幕，顯示了你可以對所有的程序和服務都應用該規則，或者僅對服務應用，或者對從列表中選擇的某個服務應用，或者是對你在窗口底部的對話框中所輸入簡短名稱的某個服務生效。

圖T 該規則將對哪個程序或者服務進行限定？圖U 該規則應當覆蓋哪個服務？

就我的示例而言，我將該規則應用于所有的程序和服務。

精靈的第三個頁面，如圖V所示，要求你提供應當被用于本規則的具體協議和端口。

圖V 該規則將處理哪個協議和端口？

這個屏幕在以下區域中要求提供相應信息

Windows Vista防火墻全攻略(上);; Windows Vista防火墻全攻略(中)

協議種類

可用的協議類型如下所示：

◆HOPOPT (IPv6 Hop-by-Hop Option)◆ICMPv4◆ICMPv6◆IGMP　◆TCP◆UDP◆IPv6◆IPv6-Route◆IPv6-Frag◆IPv6-NoNxt◆IPv6-Opts◆GRE◆VRRP◆PGM◆L2TP

本地端口

本地端口選項僅當你在為協議種類選擇了TCP或者UDP之后才可以使用。 一個本地端口是在運行Windows防火墻的電腦上所使用的端口。

本地端口可用的選項有：◆All ports（所有端口）◆Specific ports（特定端口）◆Dynamic RPC（動態RPC）◆RPC Endpoint Mapper（RPC端點映射）◆Edge Traversal（邊緣穿越）

　　遠程端口

遠程端口選項僅當你在為協議種類選擇了TCP或者UDP之后才可以使用。 一個遠程端口，指的是試圖和你本地電腦進行通信的遠方電腦上所用的端口。

對遠程端口，你可以使用“All Ports（所有端口）”，也可以使用“Specific Ports（特定端口）”。互聯網控制信息協議（ICMP）設定

如果你在協議類型中選擇了ICMP選項之一，那么該選項旁邊的Customize（自定義）按鈕就會變得可用。 點擊此按鈕，會打開如圖W所示的ICMP自定義設置窗口。在該屏幕上，你可以選擇將該規則適用于所有的ICMP類型，或者僅僅適用于特定的ICMP類型。

圖W 自定義ICMP設定窗口

精靈的下一個頁面，如圖X所示，將詢問你新規則的本地和遠程IP地址（范圍）。 而范圍可以被適用于進出的所有通訊規則，這樣滿足了預先定義范圍的通訊都將被適用該規則，就像其他規則所做的那樣。

圖X 該規則對應的IP地址是什么？

一旦你已經在一個將要生效的規則下定義了具體參數，就需要決定當有事件滿足條件時應當做些什么。 如圖Y所示，你有3個選項：

◆Allow The Connection（允許連接）,無論該連接是否啟用了IPsec。◆Allow The Connection Only If It Is Secured By IPsec（僅允許被IPsec保護的連接）. 你也可以在這里為了額外的安全而選擇子選項。 如果你選擇了它，你必須同時指定用戶或者電腦如何確定可信任的連接。◆Block The Connection（阻止該連接）。

圖Y 當滿足條件時，應當采取什么行動？

對于最后的精靈頁面，我這里就不放出屏幕圖形了。 最后倒數一二個頁面，Profile，會要求你選擇具體哪個Profile——domain（域），Private（私人），或者Public（公共）——將被應用新規則？ 精靈的最后一個屏幕要求你為新規則命令，另外，也可以輸入一個說明性的詳細描述。

當你完成了建立新規則后，它將會顯示在主要防火墻配置窗口的規則列表中

缺點

毫無疑問，說到客戶級別的保護方面，Windows防火墻，從能力方面而言，足以和那些大人物們同行。 但是，還有兩點值得提起，因為它們讓Vista的新防火墻還不夠完美。

◆外出監控默認狀態下是不啟用的： 這意味著用戶可能會被誤導，認為他們現在的電腦和使用Windows XP的時期相比，“得到了更好的保護”。

◆一個相當復雜的高級管理接口： 一般的家庭用戶將沒有能力來管理這個服務。 的確，一個家庭用戶在使用基本接口時將很少有困難，但是基本接口并沒有提供一個啟用外出監控的方法，也沒有提供任何在高級配置中所提供的細微管理功能。 除非微軟可以特別簡化高級防火墻接口，否則家庭用戶將享受不到防火墻中所提供的全新技術功能。

　　一次主要升級

在Windows Vista之中所提供的防火墻，和微軟先前聲稱要努力建立的牢固防火墻而言，還存在相當的距離。 但就它的雙向保護能力，超級細微的管理選項，以及很寬的配置參數而言，它同樣也不能被算做一無是處。