Windows Vista系統防火牆初探

網絡安全已經被越來越多的人重視起來，而在保證自己的計算機安全方面，最主要的一個手段就是安裝殺毒軟件、網絡防火牆以及反間諜軟件等各種程序。微軟自然不會忽略這一點，在Windows XP的早期版本中就推出過免費的Internet連接防火牆，但是該軟件的功能非常有限，只有簡單的入站訪問限制（也就是說，，只能對主動從網絡向本機發起的網絡連接進行限制）。雖然在Windows XP SP2中該防火牆改名為Windows防火牆，但是功能上並沒有太大改進。

那麼在微軟下一代操作系統Windows Vista中，系統自帶的防火牆有沒有什麼創新？粗看之下，你可能會覺得失望，因為Vista中的防火牆在界面上和Windows XP SP2沒有任何區別，不過別著急，Vista中的防火牆功能可謂大大地提高了，不過大部分功能需要靠安全策略（組策略的一部分）來設置，一起來感受一下吧。

本文以測試版的Windows Vista 2005年12月CTP版本為例，版本號為5270。當然，正式版中該功能在細節上可能會有所不同，希望大家能夠留意。

在功能上，Vista中的防火牆（下文統一簡稱為防火牆）主要增加了對內部程序訪問網絡（也就是出站連接）的限制，以及和其他計算機之間的連接限制。為了向你演示該防火牆的使用，我們會按照實際使用情況模擬兩種不同的場景。

啟用防火牆

首先運行secpol.msc，打開“Local Security Settings（本地安全設置）”窗口，接著在左側的樹形圖中定位到“Security Settings（安全設置）”|“Windows Firewall with Advanced Security（具有高級安全功能的Windows防火牆）”|“ Windows Firewall with Advanced Security on Local Computer（本地計算機上具有高級安全功能的Windows防火牆）”節點，你將能看到類似圖1的界面，下文所介紹的所有功能都將在這裡設置。

圖1

在“Overview（概述）”選項下我們可以看到，防火牆具有兩個配置文件（Profile），分別用於域環境和單機/工作組環境，其實這個功能在Windows XP SP2中的Windows防火牆上就已經提供了，不過這裡得到了更明顯的改進。下文將以單機環境下的操作為例。

因為默認情況下防火牆還沒有啟用，因此我們首先需要將其打開。點擊“Windows Firewall Properties（Windows防火牆屬性）”鏈接，你將能看到圖2所示的對話框，該對話框有兩個選項卡，分別對應域環境和單機/工作組環境的配置文件，因此我們打開代表單機環境的“Standard Profile”選項卡，點擊“On（啟用）”選項。

圖2

同時請注意該選項下方的“Inbound connections（入站連接）”和“Outbound connections（出站連接）”這兩個選項，這裡的設置需要注意。默認情況下，我們在這裡設置的“允許”或“禁止”將會影響到所有程序，假設我們在這裡禁止了所有入站連接，但又需要開放對某個端口的出站連接（例如本機打開了FTP服務），那麼才需要在隨後的例外設置中進行設置。因此，如果你是一般用戶，建議打開防火牆之後，將入站連接設置為“Block（阻止）”，將出站連接設置為“Allow（允許）”，這樣設置後，自己平時的浏覽網頁、下載等活動（屬於出站連接）將不會受到任何影響，但是外界的主動連接（入站連接，例如本機運行的網絡服務）都將被禁止。隨後則可以通過設置例外規則來完善防火牆的設置。

場景一：入站連接的限制

第一個環境，我們打算模擬對入站連接進行設置。假設我們在前面已經設置了禁止所有入站連接，但是自己的電腦上開放了FTP服務（假設使用默認的21端口），那麼如何能夠在盡量保證安全的前提下允許別人來訪問呢？

在圖1所示的界面上進入“Inbound Exceptions（入站例外）”節點，並在該節點上點擊鼠標右鍵，選擇“New Exception（新建例外規則）”選項，你將能看到一個圖3所示的向導，所有的設置都將在這裡進行。

·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器：Tftpd32 圖3

讓我們首先考慮一下FTP服務器的一些網絡特征吧：FTP服務通常使用TCP協議的固定端口，例如本文以及默認情況都將使用21端口；同時FTP服務需要有一個監聽的程序，也就是FTP服務器端；同時我們還需要允許這樣的連接。

圖4

確定下來之後就好做多了。首先在圖3所示的界面上選擇例外類型為“Port（端口）”，點擊Next，在隨後的頁面上指定連接所用的協議為“TCP”，同時所用的端口為“21”（圖4）。隨後就需要設置采取的操作了，因為我們希望他人可以通過FTP客戶端軟件訪問我們的21端口，因此可以選擇“Allow all connections（允許所有連接）”。接著則需要選擇該例外規則適用的配置文件。如果你建立了多個配置文件，那麼這裡就會將其全部列出。遺憾的是，我們只能選擇將該規則應用於全部的配置文件，或者只能應用於某個特定的配置文件，而無法選擇性應用於特定的幾個配置文件中。最後為該規則指定好名稱和描述之後就算完成了。
場景二：出站連接的限制

這可能是Windows防火牆最不足的地方，以前該防火牆一直無法對系統中已經安裝的程序主動對外界的連接進行限制，在Vista中，該功能和市面上其他第三方的防火牆產品相比毫不遜色。

·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器：Tftpd32 圖5

在這裡，我們要通過設置讓IE不能訪問特定的網站，看看是如何操作的。

首先在“Outbound Exceptions（出站例外）”節點上點擊鼠標右鍵，選擇“New Exception（新建例外規則）”選項，接下來在例外類型中選擇“Custom（自定義）”，並為該例外規則命名。這裡的設置有些奇怪，如果我們選擇了Custom，那麼就要首先將規則創建好，然後打開規則的屬性頁面，進行設置。因此我們需要關閉創建規則的對話框，並在窗口右側的列表中找到這個新建的規則，點擊鼠標右鍵，選擇“Properties（屬性）”，接著可以看到類似圖5的對話框。

我們可以這樣操作：首先在圖5所示的對話框上點擊“Specific Program（特定應用程序）”選項，並點擊“Browse（浏覽）”按鈕定位IE主程序的位置；接著在“Action（操作）”選項下選擇“Block（阻止）”。接著打開“Scope（范圍）”選項卡，點擊“Remote Address（遠程地址）”選項下的“Custom（自定義）”，接著點擊右側的“Add（添加）”按鈕，在隨後出現的對話框中指定不許訪問的站點的地址（可以是IP地址或者IP地址段，見圖6），設置好之後點擊OK按鈕即可。

圖6

經過簡單的試用，Vista中的防火牆功能確實得到了提高，本文所舉的例子只是其中很小的一部分，相信經過恰當的配置，現有這些選項還可以產生很多不錯的設置方案。但是所有這些功能都有一個不足，那就是沒有完整的集成在防火牆的圖形界面中，雖然在本地安全策略控制台下的設置也有很簡明的圖形界面為輔助，不過如果能將這些選項集成到防火牆自己的界面中，應該可以收到更好的效果。