作者： ZDNet China

Windows Vista防火墻全攻略(中) Windows Vista防火墻安全攻略(下)

Windows Vista的開(kāi)發(fā)花費(fèi)了很長(zhǎng)的時(shí)間，而在其他操作系統(tǒng)中凡是看得到的功能，幾乎都改頭換面出現(xiàn)在了Vista之中。 在Vista之中的Windows防火墻就是這個(gè)變化部分的其中之一，提供了很多先前技術(shù)所不曾提供過(guò)的功能。 在本文中，我會(huì)花費(fèi)一些時(shí)間來(lái)對(duì)Windows Vista防火墻的增強(qiáng)部分進(jìn)行討論——后文它將被叫做“Windows防火墻”——并會(huì)解釋如何來(lái)管理這些功能。

Vista防火墻的增強(qiáng)

在Windows XP Service Pack 2之中，微軟放出了改進(jìn)巨大的——就當(dāng)時(shí)而言——基于客戶的防火墻解決方案。 在SP2之中的Windows XP防火墻默認(rèn)是啟用的，這意味著電腦立刻就獲得了對(duì)付攻擊的更好防護(hù)措施。 不過(guò)，在XP SP2之中的防火墻，還是缺少了一些Windows防火墻所能提供的關(guān)鍵功能。

盡管改進(jìn)其實(shí)很多，但是其中對(duì)防火墻的改進(jìn)主要是集中于兩個(gè)方面，而這兩個(gè)方面使之成為了Vista用戶的良好解決方案：◆Windows 防火墻現(xiàn)在提供了應(yīng)用程序相關(guān)的外向過(guò)濾，對(duì)所有進(jìn)出你的電腦，以及你用戶電腦的通訊，提供了直接的控制手段。◆微軟提供了一個(gè)高級(jí)的管理接口，以便讓系統(tǒng)管理員針對(duì)工作站實(shí)施非常細(xì)微的不同規(guī)則。 另外，Windows防火墻可以通過(guò)組策略進(jìn)行管理，這意味著公司的IT人員可以更好的執(zhí)行強(qiáng)制性公司計(jì)算策略，從而對(duì)特定的活動(dòng)進(jìn)行禁止，比如禁止即時(shí)通訊軟件，以及P2P的文件共享等。

管理Windows防火墻

在Vista中，微軟提供了兩個(gè)完全不同的接口來(lái)對(duì)Windows防火墻進(jìn)行配置：

◆傳統(tǒng)或者基礎(chǔ)的控制面板方式這是一個(gè)相對(duì)簡(jiǎn)化的，Windows防火墻的配置工具。 它看起來(lái)非常類似Windows XP防火墻管理工具。

◆使用高級(jí)安全設(shè)置小程序的Windows防火墻意圖更多的偏向于技術(shù)方面，這個(gè)高級(jí)接口提供了非常細(xì)微的防火墻配置選項(xiàng)。

在本文中，對(duì)上述兩個(gè)接口都會(huì)有所涉及。

使用基本的控制面板接口

第一種方式，也就是你可能認(rèn)為是“傳統(tǒng)”或者基本的管理方式，對(duì)那些曾經(jīng)管理過(guò)XP下Windows防火墻的人來(lái)說(shuō)將感覺(jué)很熟悉，因?yàn)樗緛?lái)就是首先出現(xiàn)在Windows XP之中的。 在Vista中，這個(gè)管理接口可以通過(guò)“Start （啟動(dòng)）| Control Panel（控制面板） | Security（安全） | Windows Firewall（Window防火墻）”，按下“Change Settings（改變?cè)O(shè)定）”按鈕，從而找到該接口，不過(guò)它并不總是這樣的步驟。 如果你是在Vista安裝中使用了控制面板的經(jīng)典視圖，那么就是“Start （啟動(dòng)）| Control Panel（控制面板） | Windows Firewall（Window防火墻）”，然后，再選擇“Change Settings（修改設(shè)定）”選項(xiàng)。 圖A就是初始化Windows防火墻信息窗口的視圖

圖A Windows防火墻信息窗口

這個(gè)窗口給你提供了一些關(guān)于Windows防火墻的普通信息，比如是否啟用了防火墻，是否進(jìn)入連接被阻擋了，和防火墻相關(guān)的警告是如何處理的，以及你的網(wǎng)絡(luò)位置。 Windows Vista防火墻使用網(wǎng)絡(luò)位置參數(shù)來(lái)確認(rèn)電腦的正確防火墻設(shè)置。 我在后文將會(huì)對(duì)合理的位置設(shè)定進(jìn)行更多的講述。 要修改你的防火墻設(shè)定，就選擇“Change Settings（修改設(shè)置）”選項(xiàng)。 這個(gè)選項(xiàng)會(huì)打開(kāi)Windows防火墻的設(shè)定窗口。 當(dāng)你打開(kāi)這個(gè)窗口時(shí)，首先被選擇的是General（綜合）頁(yè)面，如圖B所示。

圖B Windows防火墻設(shè)定窗口，被選中的是General頁(yè)面

在這個(gè)屏幕上，共有3個(gè)選項(xiàng)。 主要選項(xiàng)，On（開(kāi)）和Off（關(guān)）——是很簡(jiǎn)單的“啟用”或者“禁用”Windows防火墻。 而屏幕中間的選擇框，“Block All Incoming Connections（阻擋所有進(jìn)入的連接）”，在你將電腦帶到某些特定的地方時(shí)會(huì)很有用處，比如在某些公共場(chǎng)合的無(wú)線接入點(diǎn)，此時(shí)你肯定不希望有任何連接連入你的電腦。 當(dāng)你選中這個(gè)復(fù)選框后，即使你已經(jīng)在Windows防火墻中設(shè)定了相關(guān)例外的服務(wù)也會(huì)被阻止掉，從而為你在低安全的環(huán)境中提供了很高級(jí)別的安全防護(hù)。

而如圖C所示的頁(yè)面“Exceptions（例外）”，則提供了一個(gè)途徑，讓你指定某些特定的服務(wù)，或者指定某些TCP/UDP端口，從而避免它們被Windows防火墻所阻擋。

圖C Windows防火墻設(shè)定窗口，被選中的是Exceptions（例外）頁(yè)面

這個(gè)頁(yè)面上的主窗口顯示了一個(gè)服務(wù)的列表，你可以進(jìn)行選擇，從而讓W(xué)indows防火墻對(duì)之另行處理。 在這個(gè)屏幕截圖之中的電腦是一個(gè)全新的Vista安裝，顯示了作為Vista安裝的一部分，有哪些服務(wù)會(huì)被作為例外處理。 要想允許某個(gè)特定的程序或者端口能夠通過(guò)防火墻，需要選中該特定服務(wù)旁邊的復(fù)選框，然后按下“OK（確定）”按鈕。

如果你想要指定的程序沒(méi)有出現(xiàn)在列表之中，則點(diǎn)擊屏幕底部的“Add Program（添加程序）”按鈕。 如圖D所示，“Add A Program（添加一個(gè)程序）”屏幕，被彈了出來(lái)。

圖D 為例外列表添加一個(gè)自定義的程序

選擇所期望的程序，如果你的程序沒(méi)有被列出來(lái)的話，按下“Browse（瀏覽）”按鈕，然后在Windows防火墻中，找到對(duì)應(yīng)的可執(zhí)行程序。

在此頁(yè)面底部的“Change Scope（修改范圍）”按鈕，則提供了你一個(gè)方法，讓你限制電腦或者程序具體可以使用的端口。 這個(gè)屏幕（圖E）有3個(gè)選項(xiàng)：◆Any Computer（including those on the Internet):（任何電腦，包括互聯(lián)網(wǎng)上的電腦） 允許從任何位置發(fā)起的通信到達(dá)此服務(wù)。◆My Network (subnet) Only：僅允許我的網(wǎng)絡(luò)（包括子網(wǎng)） 僅允許從本地電腦發(fā)起的通信到達(dá)此服務(wù)。◆Custom List：自定義列表 可以指定某個(gè)IP地址，或者指定一個(gè)子網(wǎng)范圍。 僅允許在特定范圍內(nèi)的電腦可以被允許訪問(wèn)此服務(wù)。 所指定的IP地址可以是Ipv4或者Ipv6的格式。

圖E Change Scope（修改范圍）窗口

現(xiàn)在回過(guò)頭來(lái)看一下圖C。在“Add Program（添加程序）”旁邊的下一個(gè)按鈕，寫(xiě)著“Add Port（添加端口）”。 點(diǎn)擊這個(gè)按鈕，將會(huì)出現(xiàn)類似圖F所示的窗口，這個(gè)窗口允許你添加一個(gè)基于TCP或者UDP端口號(hào)的防火墻例外處理規(guī)則。 在“Add Port（添加端口）”頁(yè)面上，為特定的端口或者服務(wù)指定一個(gè)描述性的名字，實(shí)際的端口號(hào)，以及具體指定該例外是用于TCP端口，或者是一個(gè)UDP端口。 而下邊這里就是你必須單獨(dú)提供的每個(gè)端口，如果你有很多端口需要打開(kāi)的話，這個(gè)工作會(huì)非常的無(wú)聊乏味。

圖F 添加一個(gè)TCP或者UDP端口的例外

再重申一下，你可以使用“Chagne Scope（修改范圍）”按鈕來(lái)限制使用這個(gè)例外的通信發(fā)出點(diǎn)。 具體的信息和圖E所示是一樣的。

回到Windows防火墻的屬性頁(yè)面，注意一下“PropertIEs（屬性）”以及“Delete（刪除）”按鈕。 如果你已經(jīng)添加了自定義的程序，以及具體服務(wù)的相應(yīng)端口，可以在必要時(shí)，使用“Delete（刪除）”按鈕來(lái)刪除掉相應(yīng)的入口。 而“Properties（屬性）”按鈕，則提供給你有關(guān)具體選中的服務(wù)的相應(yīng)說(shuō)明。

最后，要注意一下Exceptions（例外）頁(yè)面底部的復(fù)選框。 “Notify Me When Windows Firewall Blocks A New Program（當(dāng)Windows阻止某個(gè)程序時(shí)通知我）”的復(fù)選框，可以讓你在一個(gè)新程序或者新服務(wù)試圖通過(guò)防火墻時(shí)讓你獲得相應(yīng)的通知。

在Windows防火墻設(shè)定屏幕上的最后一個(gè)頁(yè)面，則很明顯是提供了某些“高級(jí)”配置設(shè)定選項(xiàng)的。 實(shí)際上，其實(shí)選項(xiàng)并不多。 可用部分如圖G所示。

圖G 高級(jí)的Windows防火墻設(shè)定頁(yè)面

在這個(gè)頁(yè)面上的選項(xiàng)基本上都是一看就明白的，所以我這里就不一一贅述了。

到了這里，你可能會(huì)問(wèn)你自己下面這幾個(gè)問(wèn)題：

◆我該在哪里對(duì)ICMP設(shè)定進(jìn)行配置呢？◆為什么我看不到任何有關(guān)通往防火墻外部的配置規(guī)則？

這就是圖片中高級(jí)配置接口的所在。

Windows Vista防火墻全攻略(中) Windows Vista防火墻安全攻略(下)