剛看到Vista的防火墻，也許你會(huì)覺(jué)得它與WinXP SP2的防火墻沒(méi)有什么區(qū)別。不過(guò)一旦通過(guò)MMC控制臺(tái)進(jìn)入防火墻的高級(jí)設(shè)置功能，你就會(huì) 發(fā)現(xiàn)它可以讓用戶自行設(shè)置輸入和輸出的網(wǎng)絡(luò)規(guī)則，滿足用戶的各種需求。 　 早在Windows XP時(shí)代，微軟就在系統(tǒng)中加入了內(nèi)置的防火墻，這就是我們最初見(jiàn)到的Internet Connection Firewall (ICF)，它可以提供基本 的包過(guò)濾功能。到了XP SP2時(shí)，這個(gè)內(nèi)置的防火墻被正式更名為Windows Firewall，并且有了明顯的改進(jìn)，比如提供了啟動(dòng)和關(guān)機(jī)時(shí)的保護(hù)能 力，但是依舊是單向的防護(hù)，即只能對(duì)進(jìn)入電腦的數(shù)據(jù)進(jìn)行攔截審查。因此很多電腦用戶仍然選擇了第三方的個(gè)人防火墻產(chǎn)品，比如Kerio或 ZoneAlarm。 在Windows Vista中，Windows Firewall有了長(zhǎng)足進(jìn)步，它不但可以像XP SP2那樣通過(guò)控制面板訪問(wèn)防火墻用戶界面，還為技術(shù)人員提供了通過(guò) MMC控制臺(tái)配置防火墻高級(jí)功能的途經(jīng)。在本文中，我會(huì)向大家介紹如何對(duì)Vista中的防火墻進(jìn)行高級(jí)配置。一個(gè)功能兩種界面 為什么微軟會(huì)對(duì)防火墻的基本配置和高級(jí)配置采用兩種完全不同的界面呢？我想這可能是微軟為不懂技術(shù)的用戶著想，擔(dān)心復(fù)雜的配置會(huì)讓他 們誤操作，從而導(dǎo)致網(wǎng)絡(luò)連接問(wèn)題或者網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生。不管什么原因，從基本的防火墻配置界面看，Vista中的防火墻設(shè)置與SP2中的非 常相似。（二者還是存在些許不同，比如在SP2版本的“Exceptions”選項(xiàng)卡中的“Edit”按鈕在Vista中改為“Properties”按鈕。）基本配置 　 在XP中，用戶可以在“General”選項(xiàng)卡中直接開(kāi)啟或關(guān)閉防火墻，并可以同時(shí)攔截所有程序，而不需要考慮例外情況。如圖1所示。

“Block All Programs”選項(xiàng)是一個(gè)很便利的選項(xiàng)，尤其當(dāng)用戶處于一個(gè)公開(kāi)的Wi-Fi網(wǎng)絡(luò)時(shí)。它可以讓系統(tǒng)臨時(shí)禁止“例外”中規(guī)定的任何程 序訪問(wèn)網(wǎng)絡(luò)，而當(dāng)用戶處于一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境時(shí)，再關(guān)閉這個(gè)選項(xiàng)，恢復(fù)先前設(shè)置。　 和XP一樣，在Vista 防火墻的基本設(shè)置中，例外也是在“Exceptions”選項(xiàng)卡中進(jìn)行設(shè)置。用戶可以通過(guò)選中相應(yīng)的程序或服務(wù)解除防火墻對(duì) 他們的阻止如圖2所示。

如果用戶希望取消阻止的某個(gè)程序，而該程序不在阻止列表中，用戶可以通過(guò)點(diǎn)擊“Add Program”按鈕來(lái)添加。在添加程序?qū)υ捒颍脩艨梢?從程序列表或者通過(guò)文件瀏覽器選擇該程序。通過(guò)“Change Scope”選項(xiàng)，用戶可以僅在某個(gè)范圍允許程序訪問(wèn)網(wǎng)絡(luò)。其范圍包括： 任何計(jì)算機(jī)，包括互聯(lián)網(wǎng)上的計(jì)算機(jī)。·僅我的局域網(wǎng)絡(luò) (子網(wǎng)) 。·自定義IP地址或者子網(wǎng)范圍。另外，用戶還可以選擇在防火墻攔截軟件后是否要發(fā)出報(bào)警。“Advanced”選項(xiàng)卡可以讓用戶選擇需要受到防火墻保護(hù)的網(wǎng)絡(luò)連接，如圖3所示。

在這個(gè)選項(xiàng)卡中，用戶還可以配置日志內(nèi)容（丟包或者成功連接的記錄），設(shè)置日志的最大容量。設(shè)置系統(tǒng)該如何回應(yīng)ICMP請(qǐng)求。在默認(rèn)情況 下，只有響應(yīng)的ICMP請(qǐng)求包會(huì)被接收，其余的ICMP請(qǐng)求均被禁止。如圖4所示。

通過(guò)恢復(fù)到默認(rèn)設(shè)置的按鈕，用戶可以取消所有修改，將防火墻的設(shè)置恢復(fù)到系統(tǒng)安裝的默認(rèn)狀態(tài)。 現(xiàn)在到了最令人興奮的部分了：Vista防火墻的高級(jí)設(shè)置。要想查看這些高級(jí)設(shè)置內(nèi)容，用戶需要建立一個(gè)自定義的MMC。以下是建立方法： 1.點(diǎn)擊 Start 　 Programs 　 AccessorIEs 然后選擇 Run. 2.在運(yùn)行欄中鍵入 mmc.exe 。用戶也許需要輸入管理權(quán)證書(shū)或點(diǎn)擊進(jìn)行運(yùn)行程序認(rèn)證。 3.進(jìn)入MMC后，點(diǎn)擊File 　 Add/Remove Snap-in. 4.在Available Snap-ins列表中向下動(dòng)并選擇Windows Firewall With Advanced Security。雙擊或者選中它然后點(diǎn)擊Add 按鈕。 5.在Select Computer對(duì)話框，選擇默認(rèn)(Local Computer)然后點(diǎn)擊Finish。 6.在Add/Remove Snap-ins對(duì)話框中點(diǎn)擊OK。

現(xiàn)在用戶可以像圖5那樣擴(kuò)展左側(cè)的樹(shù)狀列表，就會(huì)在右側(cè)看到Vista 防火墻的高級(jí)設(shè)置頁(yè)面了。

多防火墻配置在Vista中，用戶可以為防火墻定制多種配置，比如適合企業(yè)域的網(wǎng)絡(luò)配置（用戶的筆記本可以在公司域中登錄或登出），或者適合家庭的網(wǎng)絡(luò) 配置（比如家庭點(diǎn)到點(diǎn)的網(wǎng)絡(luò)），又或者是適合公眾網(wǎng)絡(luò)環(huán)境的配置（比如在機(jī)場(chǎng)酒店連接到公開(kāi)的WI-FI網(wǎng)絡(luò)）。每種配置都是相互獨(dú)立的。 因此，當(dāng)用戶處于企業(yè)網(wǎng)絡(luò)中時(shí)，甚至可以關(guān)閉Vista的防火墻，因?yàn)槠髽I(yè)網(wǎng)絡(luò)中基本上都帶有更高級(jí)的防火墻，而在連接到家庭網(wǎng)絡(luò)或者公眾 無(wú)線網(wǎng)絡(luò)時(shí)，則可以及時(shí)打開(kāi)防火墻。 要改變各種配置，用戶可以通過(guò)Windows Firewall Properties進(jìn)行設(shè)置。在其中的Domain, Private, 以及 Public Profile選項(xiàng)卡中，用戶可 以開(kāi)啟或關(guān)閉防火墻，還可以對(duì)發(fā)送以及接收到的連接請(qǐng)求進(jìn)行屏蔽或通過(guò)。在這三種配置中，默認(rèn)均為發(fā)送連接可以通過(guò)，接收到的連接請(qǐng) 求則被拒絕（允許例外）。用戶也可以將所有連接均設(shè)為屏蔽，包括例外列表中的程序。Private Profile選項(xiàng)卡如圖6所示。（每種配置選項(xiàng) 卡中的內(nèi)容都一樣）

通過(guò)Customize按鈕，用戶可以對(duì)每個(gè)配置進(jìn)行更個(gè)性化的調(diào)整。比如用戶可以設(shè)置當(dāng)接收到的連接請(qǐng)求被拒絕時(shí)，系統(tǒng)發(fā)出警報(bào)信息，還可以 設(shè)置是否接收多播或廣播時(shí)產(chǎn)生的unicast響應(yīng)。另外，用戶還可以在配置項(xiàng)目中設(shè)置日志選項(xiàng)（可以對(duì)丟包或成功連接等情況進(jìn)行記錄）。

IPSec設(shè)置 通過(guò)IPSec Settings選項(xiàng)卡，用戶可以對(duì)IPSec項(xiàng)目進(jìn)行設(shè)置，包括Key Exchange，Data Protection，Authentication Method。在默認(rèn)情況下 ，所有設(shè)置均為默認(rèn)值，即采用Group Policy Object等級(jí)。用戶可以點(diǎn)擊Custom按鈕自行配置各個(gè)參數(shù)：Key Exchange: 用戶可以選擇安全和加密方法，并可以對(duì)方法按照優(yōu)先級(jí)進(jìn)行排序，如圖7所示。用戶還可以選擇Key Exchange Algorithm ，默認(rèn)情況下為DiffIE-Hellman Group 2。如果用戶的網(wǎng)絡(luò)環(huán)境中全部為Vista系統(tǒng)，為了實(shí)現(xiàn)更高的安全性，用戶可以選擇Elliptic Curve Diffie-Hellman P-384。此外用戶還可以按時(shí)間或進(jìn)程選擇密鑰生存周期。

Data Protection:用戶可以對(duì)所有采用IPSec的連接進(jìn)行數(shù)據(jù)加密（非默認(rèn)值）。用戶還可以選項(xiàng)實(shí)現(xiàn)數(shù)據(jù)安全和加密的算法。如圖8所示 。

Authentication Methods: 可供用戶選項(xiàng)的認(rèn)證方式有多種，如圖9所示： 采用Kerberos方式驗(yàn)證用戶和計(jì)算機(jī)，采用Kerberos驗(yàn)證計(jì)算 機(jī)，采用Kerberos驗(yàn)證用戶，通過(guò)指定的CA對(duì)計(jì)算機(jī)進(jìn)行驗(yàn)證，或者在自定義中選則通過(guò)NTLMv2或preshared key進(jìn)行驗(yàn)證。在自定義中，用戶 可以設(shè)定第一和第二驗(yàn)證方式，(除非用戶將首選方法選擇為preshared key驗(yàn)證，否則不會(huì)出現(xiàn)候選方式)。

一旦用戶設(shè)置好每種配置以及IPSec屬性，就可以進(jìn)行下一步有關(guān)計(jì)算機(jī)連接安全方面的設(shè)置了，這個(gè)設(shè)置用來(lái)決定何時(shí)以及如何在兩臺(tái)電腦間 （或一組電腦間）建立安全連接。要進(jìn)行相關(guān)設(shè)置，用戶需要右鍵點(diǎn)擊控制臺(tái)面板左側(cè)的Computer Connections Security并選擇New Rule。這 一步會(huì)開(kāi)啟New Connection Security Rule Wizard，即新連接安全規(guī)則向?qū)В鐖D10所示，用戶可以在如下類別中選擇規(guī)則類型： ·Isolation: 基于域成員或系統(tǒng)健康狀態(tài)等標(biāo)準(zhǔn)的受限制連接。 ·Authentication exemption: 可以指定某些電腦與本機(jī)連接不需要認(rèn)證。 ·Server to server: 指定某些電腦之間的連接不需要認(rèn)證。 ·Tunnel: 該規(guī)則用于在網(wǎng)關(guān)系統(tǒng)間進(jìn)行連接認(rèn)證。 　 ·Custom: 如果以上規(guī)則沒(méi)有適合的，用戶可以自定義規(guī)則。

下一步是提供規(guī)則所需的條件。比如當(dāng)用戶建立了一個(gè)自定義規(guī)則，就需要指定終點(diǎn)，終點(diǎn)包含了一臺(tái)或者一組電腦。用戶可以通過(guò)IP地址或 者地址范圍對(duì)一臺(tái)以及多臺(tái)電腦進(jìn)行設(shè)定，用戶還可以將一個(gè)預(yù)先確定的地址作為終點(diǎn)之一，比如默認(rèn)網(wǎng)關(guān)，DNS服務(wù)器，DHCP服務(wù)器或者本地 子網(wǎng)。對(duì)于一些規(guī)則類別，用戶需要確立規(guī)則條件。比如：·用戶可以要求對(duì)全部發(fā)送和接收的連接進(jìn)行驗(yàn)證，這意味著在任何情況下都要使用認(rèn)證，但這并不是必須的。用戶可以要求對(duì)發(fā)送的連接進(jìn)行認(rèn)證或者對(duì)接收的連接請(qǐng)求進(jìn)行認(rèn)證。沒(méi)有通過(guò)認(rèn)證的接收到的請(qǐng)求將被屏蔽，而發(fā)送的連接請(qǐng)求也會(huì)被 驗(yàn)證。·用戶可以要求同時(shí)對(duì)接收和發(fā)送的連接進(jìn)行認(rèn)證。沒(méi)有認(rèn)證的連接均被拒絕。·用戶也可以選擇對(duì)于任何連接均不需要認(rèn)證。

接下來(lái)，用戶需要選擇認(rèn)證方式，這一點(diǎn)和上面介紹的IPSec屬性配置項(xiàng)目非常類似（取決于用戶創(chuàng)建的規(guī)則類別）。最后，用戶需要選擇當(dāng)前的規(guī)則適用于哪種防火墻配置，并為這個(gè)規(guī)則命名，并填寫介紹（可選）。用戶建立的規(guī)則將出現(xiàn)在頁(yè)面中央部分， 如圖11所示：

用戶可以通過(guò)配置或狀態(tài)（啟用/禁用）過(guò)濾規(guī)則。因此，用戶可以只顯示當(dāng)前配置下的安全規(guī)則，或者只顯示被禁用的規(guī)則。用戶還可以通過(guò) VIEw菜單選擇中間區(qū)域所顯示的內(nèi)容列，如圖12所示。

用戶可以隨時(shí)通過(guò)右鍵點(diǎn)擊中間的規(guī)則，然后選擇Disable Rule或Delete禁用或刪除該規(guī)則。當(dāng)需要應(yīng)用該規(guī)則時(shí)，可以通過(guò)同樣的方法啟用 規(guī)則。另外，通過(guò)右鍵點(diǎn)擊規(guī)則，選擇PropertIEs，用戶還可以對(duì)規(guī)則進(jìn)行各種修改。用戶所能進(jìn)行的操作均列在控制臺(tái)界面的右側(cè)，通過(guò)右鍵點(diǎn)擊規(guī)則也可以實(shí)現(xiàn)相應(yīng)功能。

為了創(chuàng)建對(duì)應(yīng)某個(gè)程序或某個(gè)端口的安全規(guī)則，用戶需要建立接收和發(fā)送規(guī)則。Vista本身內(nèi)置了一系列規(guī)則，如圖13所示。通過(guò)點(diǎn)擊左側(cè)的 Inbound Rules或Outbound Rules，用戶可以看到這些內(nèi)置的規(guī)則。

要禁用或刪除這些預(yù)制的規(guī)則，或者創(chuàng)建規(guī)則，用戶可以右鍵點(diǎn)擊相應(yīng)規(guī)則，或者點(diǎn)擊右側(cè)所出現(xiàn)的相應(yīng)功能。通過(guò)選擇規(guī)則的Properties， 用戶可以修改規(guī)則。每個(gè)規(guī)則的Properties頁(yè)面如圖14所示：

要建立新的接收和發(fā)送規(guī)則，用戶可以從下拉菜單或右鍵點(diǎn)擊控制臺(tái)面板，選擇New Rule。之后會(huì)開(kāi)啟一個(gè)新規(guī)則向?qū)В鐖D15所示。

在向?qū)?duì)話框的第一屏，用戶可以選擇電腦上的某個(gè)應(yīng)用程序可以通過(guò)防火墻并建立端口，或者選擇一個(gè)Windows服務(wù)（默認(rèn)），另外，用戶還 可以自定義規(guī)則。這里我們以為某個(gè)程序建立連接規(guī)則為例進(jìn)行講解。我們選擇Program并點(diǎn)擊Next。在下一屏，用戶需要選擇將規(guī)則應(yīng)用于所有程序或者僅針對(duì)某個(gè)程序。如果選擇某個(gè)程序，用戶需要打開(kāi)瀏覽器，定位該程序。接下來(lái)，用戶需要選擇當(dāng)該程序試圖建立連接時(shí)（本例中，由于我們所建立的是接收規(guī)則，因此這里是指程序接收到連接請(qǐng)求），防火墻的動(dòng) 作。用戶可以選擇以下防火墻動(dòng)作：

·允許該程序的所有連接，包括安全的和不安全的。 ·僅允許安全的連接。如果用戶選擇了此項(xiàng)，那么還可以選擇對(duì)該連接的數(shù)據(jù)進(jìn)行加密，從而保護(hù)數(shù)據(jù)安全。如果用戶不選擇此功能，該連 接將需要認(rèn)證并對(duì)數(shù)據(jù)進(jìn)行完整性檢測(cè)，但是不對(duì)數(shù)據(jù)進(jìn)行加密。用戶還可以選擇該連接優(yōu)先于Block規(guī)則，這樣便于管理員通過(guò)遠(yuǎn)程管理工具 對(duì)電腦進(jìn)行管理。　 ·攔截所有連接。如果用戶希望攔截所有進(jìn)入的連接，比如P2P軟件的連接請(qǐng)求，可以選擇此項(xiàng)。 在下一屏，用戶可以選擇將該規(guī)則應(yīng)用于全部防火墻配置或者某個(gè)防火墻配置中。同時(shí)，還要為該規(guī)則命名。　 對(duì)于針對(duì)某個(gè)端口的規(guī)則設(shè)定，與上面說(shuō)到的基本類似，唯一不同的是，用戶需要輸入TCP或UDP端口號(hào)，而不是程序位置。用戶可以針對(duì)某個(gè) 軟件或者某個(gè)端的某種協(xié)議進(jìn)行規(guī)則制定，另外還可以將規(guī)則應(yīng)用于某個(gè)或某些終點(diǎn)（計(jì)算機(jī)或計(jì)算機(jī)組）。監(jiān)視高級(jí)防火墻配置的一個(gè)最有用的功能，也是我們建立防火墻Advanced Security MMC控制臺(tái)最主要的原因，就是監(jiān)視功能。在監(jiān)視功能中，用戶 可以查看各種規(guī)則和他們的屬性狀態(tài)，如圖16所示。

通過(guò)控制臺(tái)右側(cè)的可用功能列表，用戶可以將防火墻規(guī)則導(dǎo)出為txt文本文件，或者以逗號(hào)分隔的數(shù)據(jù)庫(kù)文件（.csv）。總結(jié)雖然Vista的防火墻表面上和Windows XP SP2的防火墻沒(méi)有什么區(qū)別，但是一旦用戶通過(guò)控制臺(tái)進(jìn)入到防火墻的高級(jí)配置中，就會(huì)發(fā)現(xiàn)Vista防 火墻的功能和配置參數(shù)遠(yuǎn)多于XP SP2。Vista防火墻不但可以對(duì)發(fā)送和接收的數(shù)據(jù)進(jìn)行攔截和審查，還可以讓用戶自定義規(guī)則，完全可以滿足用 戶的各種需求。