早在Windows 2000系統(tǒng)的擴(kuò)展工具包中就出現(xiàn)了ICF(Internet Connection Firewall)工具，通過(guò)它可以配置網(wǎng)絡(luò)數(shù)據(jù)包的傳入規(guī)則，但是在Windows 2000中這個(gè)ICF工具沒(méi)有內(nèi)置到系統(tǒng)中。因此說(shuō)起Windows系統(tǒng)自帶的防火墻要追溯到XP系統(tǒng)，在XP和XP SP1系統(tǒng)中內(nèi)置了一個(gè)名為Internet Connection Firewall的組件，它提供了基本的包過(guò)濾功能，這就是系統(tǒng)防火墻的前身。

到了XP SP2發(fā)布后這個(gè)ICF就名正言順地成為了Windows Firewall，在使用上也有了明顯的改進(jìn)，設(shè)置上更加圖形化，對(duì)進(jìn)入系統(tǒng)的數(shù)據(jù)提供了攔截審查的功能。而接下來(lái)的Windows Server2003系統(tǒng)中同樣提供了內(nèi)置防火墻功能，在使用和效果上和XP SP2一樣。不過(guò)這種防火墻只能夠?qū)M(jìn)入系統(tǒng)的數(shù)據(jù)進(jìn)行過(guò)濾，在防護(hù)效果上略顯不足。因此，實(shí)際使用中，大部分用戶依然需要安裝其他工具來(lái)加強(qiáng)安全防范效果。

然而，以上安全問(wèn)題都隨著Vista的誕生而解決。那么，Vista系統(tǒng)中的內(nèi)置防火墻在功能和安全效果上又有哪些改進(jìn)呢?首先Vista系統(tǒng)防火墻提供了兩種模式以及雙向過(guò)濾，并在應(yīng)用規(guī)則和應(yīng)用策略上有了比較明顯的改進(jìn)。可以絲毫不夸張地說(shuō)，在某種程度上用戶已經(jīng)可以不用安裝任何第三方防火墻工具而僅僅使用Vista系統(tǒng)內(nèi)置的防火墻來(lái)實(shí)現(xiàn)安全防范功能了。

一、雙模式：初、高級(jí)用戶通吃

在Vista防火墻中提供了兩種設(shè)置模式，依次為簡(jiǎn)單模式和高級(jí)模式。這適合兩種不同類(lèi)型的用戶。

1.簡(jiǎn)單模式

Vista防火墻在簡(jiǎn)單模式下和Windows XP SP2的防火墻沒(méi)有什么區(qū)別，這種模式適合初級(jí)用戶使用的，通過(guò)Vista防火墻的簡(jiǎn)單模式可以在操作者沒(méi)有任何安全技術(shù)知識(shí)的情況下實(shí)現(xiàn)對(duì)系統(tǒng)的有效保護(hù)。

防火墻簡(jiǎn)單模式的打開(kāi)是通過(guò)Vista系統(tǒng)中“控制面板”來(lái)實(shí)現(xiàn)的，進(jìn)入“控制面板”選擇“安全”選項(xiàng)。接下來(lái)在“安全”設(shè)置窗口中點(diǎn)“Windows防火墻”(見(jiàn)圖1)。這樣我們就啟動(dòng)了Vista系統(tǒng)防火墻的簡(jiǎn)

單模式。開(kāi)啟關(guān)閉以及添加簡(jiǎn)單過(guò)濾規(guī)則的方法和XP SP2中的防火墻一樣。

2.高級(jí)模式

在簡(jiǎn)單模式中我們還看不出Vista防火墻的強(qiáng)大，而在高級(jí)模式下，它能設(shè)置的過(guò)濾規(guī)則防范手段不輸于任何第三方防火墻軟件。

進(jìn)入Vista防火墻高級(jí)模式的方法很多，筆者介紹常用的一種。進(jìn)入Vista系統(tǒng)桌面，通過(guò)“開(kāi)始”菜單運(yùn)行g(shù)pedit.msc進(jìn)入到Vista系統(tǒng)的組策略設(shè)置窗口。我們依次打開(kāi)“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→高級(jí)安全Windows防火墻→高級(jí)安全Windows防火墻→本地組策略對(duì)象”。這里就是Vista防火墻的高級(jí)模式配置界面了(見(jiàn)圖2)。在高級(jí)模式中我們可以隨意定義防火墻的過(guò)濾規(guī)則。

小提示：在Vista中進(jìn)入系統(tǒng)關(guān)鍵組件需要通過(guò)UAC認(rèn)證，所以在訪問(wèn)防火墻高級(jí)模式時(shí)也需要系統(tǒng)管理員允許操作者通過(guò)UAC驗(yàn)證。所謂UAC驗(yàn)證就是在Vista系統(tǒng)中添加的針對(duì)安全的功能，當(dāng)進(jìn)行一些修改系統(tǒng)參數(shù)的操作時(shí),Vista會(huì)提示輸入具備管理員權(quán)限的賬號(hào)和密碼進(jìn)行UAC驗(yàn)證，通過(guò)認(rèn)證才能繼續(xù)進(jìn)行修改設(shè)置等操作。

雙向過(guò)濾：沒(méi)人敢說(shuō)不專(zhuān)業(yè)

技術(shù)點(diǎn)評(píng)：Vista防火墻引入的雙模式是針對(duì)不同用戶群的，其中簡(jiǎn)單模式是方便普通用戶使用和配置防火墻的，而高級(jí)模式則是給那些對(duì)安全要求比較高或者對(duì)網(wǎng)絡(luò)訪問(wèn)流量要求比較苛刻，需要自己定義詳細(xì)規(guī)則的用戶。在高級(jí)模式下用戶可以對(duì)防火墻的具體規(guī)則進(jìn)行詳細(xì)的設(shè)置。例如針對(duì)某個(gè)程序，某個(gè)端口以及某個(gè)IP地址段進(jìn)行規(guī)則設(shè)置。高級(jí)模式是Vista防火墻的精華所在，它已具備第三方專(zhuān)業(yè)防火墻軟件應(yīng)有的功能。 二、雙向過(guò)濾：沒(méi)人敢說(shuō)不專(zhuān)業(yè)

除了上面提到的雙模式特色外，在Vista系統(tǒng)防火墻中還首次引入了雙向過(guò)濾的功能。這也是專(zhuān)業(yè)級(jí)防火墻的基本特征。 這種雙向過(guò)濾功能只存在于高級(jí)模式中，要設(shè)置雙向過(guò)濾首先要進(jìn)入Vista防火墻的高級(jí)模式。在高級(jí)模式中我們會(huì)看到對(duì)應(yīng)的“出站規(guī)則”和“入站規(guī)則”選項(xiàng)，其中“入站”是針對(duì)外界到本機(jī)的數(shù)據(jù)包進(jìn)行的過(guò)濾規(guī)則，而“出站”則是針對(duì)本機(jī)到外界的數(shù)據(jù)包進(jìn)行過(guò)濾規(guī)則。“出站”方向的過(guò)濾在以往的Windows防火墻中是沒(méi)有的(見(jiàn)圖3)。我們還可以像設(shè)置“入站規(guī)則”一樣針對(duì)某個(gè)程序、某個(gè)端口以及某個(gè)IP地址段在“出站”規(guī)則方面進(jìn)行設(shè)置。

小提示：所謂入站和出站都是針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流向而言的，入站就是網(wǎng)絡(luò)數(shù)據(jù)包從外界傳輸?shù)奖緳C(jī)系統(tǒng)的方向，相應(yīng)的出站就是網(wǎng)絡(luò)數(shù)據(jù)包從系統(tǒng)向外部網(wǎng)絡(luò)傳輸?shù)姆较颉?

要知道在以往的系統(tǒng)防火墻中，不管是ICF還是XP SP2的防火墻甚至是Windows Server 2003的防火墻都是基于單方向過(guò)濾規(guī)則進(jìn)行設(shè)置的，所謂單方向就是指防火墻只能夠?qū)耐饨绲奖緳C(jī)的數(shù)據(jù)包進(jìn)行過(guò)濾，而無(wú)法對(duì)從本機(jī)發(fā)送到外界的數(shù)據(jù)包添加任何過(guò)濾規(guī)則。

這種單向過(guò)濾的特點(diǎn)使得一旦本機(jī)系統(tǒng)因?yàn)槟撤N原因感染病毒或木馬，那么系統(tǒng)防火墻將對(duì)這些發(fā)自于系統(tǒng)內(nèi)部的非法連接和非法傳播沒(méi)有任何辦法。特別是當(dāng)系統(tǒng)感染蠕蟲(chóng)病毒后,會(huì)發(fā)送很多個(gè)會(huì)話連接進(jìn)行傳播時(shí)，單向防火墻將對(duì)這種從內(nèi)到外的數(shù)據(jù)視而不見(jiàn)，最終造成防火墻在“內(nèi)鬼”面前形同虛設(shè)。所以說(shuō)這種單向過(guò)濾的特點(diǎn)造成了以前版本的防火墻無(wú)法得到用戶認(rèn)同，無(wú)法保證系統(tǒng)的真正安全，很多用戶都無(wú)奈地選擇安裝另外一款防火墻來(lái)抵御攻擊。

不過(guò)這種問(wèn)題在Vista防火墻高級(jí)模式中的雙向過(guò)濾功能下迎刃而解，我們可以禁止非法程序“出站”訪問(wèn)，這樣即使本機(jī)即使感染了病毒也能夠?qū)⒉《緦?duì)本機(jī)和網(wǎng)絡(luò)的危害降到最低。

技術(shù)點(diǎn)評(píng)：Vista防火墻的雙向過(guò)濾功能實(shí)際上相當(dāng)于將其傳統(tǒng)防火墻的功能提高了一倍，在安全防范和抵御病毒入侵方面表現(xiàn)得更加出眾，正是因?yàn)檫@種雙向過(guò)濾使得Vista防火墻成為了真正的專(zhuān)業(yè)防火墻。

三、多場(chǎng)合功能：將專(zhuān)業(yè)功能智能化

除了雙模式和雙向過(guò)濾功能外，Vista防火墻還提出了“防火墻應(yīng)用的多場(chǎng)合”概念。這個(gè)功能大大提高了Vista防火墻的智能化，可以在不同場(chǎng)合幫助用戶應(yīng)用不同級(jí)別的過(guò)濾規(guī)則。所有規(guī)則切換都是自動(dòng)完成的。這種“防火墻應(yīng)用的多場(chǎng)合”概念同樣需要我們到“高級(jí)模式”中進(jìn)行設(shè)置才能體現(xiàn)。

1.安全協(xié)議連接與非安全協(xié)議連接規(guī)則的自動(dòng)切換

在高級(jí)模式設(shè)置規(guī)則中我們會(huì)看到在“連接符合指定條件時(shí)應(yīng)該進(jìn)行什么操作”設(shè)置時(shí)可以選擇該規(guī)則應(yīng)用的場(chǎng)合。例如當(dāng)網(wǎng)絡(luò)使用IPSEC等安全的協(xié)議連接時(shí)，可以設(shè)置為對(duì)這些程序如何操作或者不管什么情況都阻止該程序的數(shù)據(jù)通過(guò)防火墻，也可以設(shè)置“容許連接”讓這些程序可以順利通過(guò)防火墻的過(guò)濾。這樣我們就可以實(shí)現(xiàn)基于安全協(xié)議與非安全協(xié)議連接網(wǎng)絡(luò)時(shí)應(yīng)用不同過(guò)濾規(guī)則的功能了。

小提示：所謂IPSEC安全協(xié)議連接是指通過(guò)專(zhuān)門(mén)的IPSEC協(xié)議或者基于IPSEC的VPN加密傳輸機(jī)制來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的加密傳輸，通過(guò)IPSEC安全協(xié)議加密過(guò)的網(wǎng)絡(luò)連接更加安全，可以讓我們更放心大膽地使用網(wǎng)絡(luò)。

2.不同網(wǎng)絡(luò)狀態(tài)規(guī)則的自動(dòng)切換

在高級(jí)模式設(shè)置規(guī)則中我們會(huì)看到在“何時(shí)應(yīng)用該規(guī)則”時(shí)有多個(gè)網(wǎng)絡(luò)環(huán)境提供給我們選擇，依次是域網(wǎng)絡(luò)、專(zhuān)用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)。這三種網(wǎng)絡(luò)環(huán)境的共享標(biāo)準(zhǔn)是不同的，需要我們單獨(dú)設(shè)置。而在防火墻中也可以讓我們實(shí)現(xiàn)在不同網(wǎng)絡(luò)環(huán)境下的規(guī)則自動(dòng)切換功能，總之通過(guò)此功能可以將一道防火墻當(dāng)三道來(lái)用，每種網(wǎng)絡(luò)環(huán)境有各自的安全規(guī)則。

傳統(tǒng)的防火墻無(wú)法對(duì)不同的網(wǎng)絡(luò)環(huán)境與連接類(lèi)型采用進(jìn)行規(guī)則的單獨(dú)設(shè)置，這就造成了用戶使用的筆記本電腦在家中訪問(wèn)公網(wǎng)和單位訪問(wèn)私網(wǎng)采用的過(guò)濾規(guī)則相同的問(wèn)題，在單位設(shè)置好過(guò)濾規(guī)則后回到家中卻忘記了修改設(shè)置，從而造成在公網(wǎng)訪問(wèn)下容易被病毒等惡意程序入侵的問(wèn)題。

Vista防火墻這種對(duì)不同網(wǎng)絡(luò)環(huán)境和連接類(lèi)型可以自動(dòng)采用不同規(guī)則的功能更加人性化，可以使用戶的筆記本電腦從單位回到家中訪問(wèn)公網(wǎng)時(shí)實(shí)現(xiàn)規(guī)則的自動(dòng)切換，將原本應(yīng)用于單位私網(wǎng)訪問(wèn)的安全規(guī)則更換為應(yīng)用于家中公網(wǎng)訪問(wèn)的安全規(guī)則。

技術(shù)點(diǎn)評(píng)：不同場(chǎng)合自動(dòng)切換不同規(guī)則是Vista防火墻的一大特點(diǎn)，所有更換過(guò)濾規(guī)則的操作都是在用戶沒(méi)有干預(yù)的情況下自動(dòng)完成的，從而提高了系統(tǒng)的安全性，免去了用戶頻繁修改防火墻設(shè)置的繁瑣工作。

四、專(zhuān)家總結(jié)

從本文中我們可以看出Vista防火墻在功能和設(shè)置上和以往Windows系統(tǒng)的防火墻有很大差別的。兩種模式的引入方便了用戶設(shè)置;雙向過(guò)濾功能的引入讓系統(tǒng)防火墻以一敵二;多場(chǎng)合自動(dòng)切換過(guò)濾規(guī)則的功能又讓我們的防火墻可以以一當(dāng)三，從某種意義上我們不得不佩服微軟的技術(shù)，通過(guò)幾項(xiàng)改進(jìn)讓原本無(wú)法擔(dān)當(dāng)重任的系統(tǒng)防火墻瞬間成為了安全防護(hù)的衛(wèi)士，如今的Vista防火墻名正言順的變成了“銅墻鐵壁”。

預(yù)測(cè)：“Vista服務(wù)器版”將采用新型防火墻

不管怎么說(shuō)Vista防火墻的大幅度改進(jìn)是有目共睹的，從Vista防火墻的特點(diǎn)我們可以看出微軟防火墻未來(lái)的發(fā)展趨勢(shì)。首先是將用戶分開(kāi)，未來(lái)微軟防火墻會(huì)更加體現(xiàn)多模式的特點(diǎn)，將用戶分成多個(gè)級(jí)別，從普通到專(zhuān)業(yè)，針對(duì)不同級(jí)別的用戶提供不同功能的防護(hù)。另外還將繼續(xù)發(fā)揮人性化設(shè)置，引入更多方便用戶的特色，提供更多的自動(dòng)設(shè)置功能。另外，我們認(rèn)為未來(lái)將要發(fā)布的與Vista對(duì)應(yīng)的服務(wù)器版操作系統(tǒng)也將采用在功能上和Vista系統(tǒng)十分類(lèi)似的防火墻;就好比XP SP2和Windows Server 2003使用同一功能的防火墻一樣。