初探Vista防火牆高級配置功能

剛看到Vista的防火牆，也許你會覺得它與WinXP SP2的防火牆沒有什麼區別。不過一旦通過MMC控制台進入防火牆的高級設置功能，你就會 發現它可以讓用戶自行設置輸入和輸出的網絡規則，滿足用戶的各種需求。 早在Windows XP時代，微軟就在系統中加入了內置的防火牆，這就是我們最初見到的Internet Connection Firewall (ICF)，它可以提供基本 的包過濾功能。到了XP SP2時，這個內置的防火牆被正式更名為Windows Firewall，並且有了明顯的改進，比如提供了啟動和關機時的保護能 力，但是依舊是單向的防護，即只能對進入電腦的數據進行攔截審查。因此很多電腦用戶仍然選擇了第三方的個人防火牆產品，比如Kerio或 ZoneAlarm。 在Windows Vista中，Windows Firewall有了長足進步，它不但可以像XP SP2那樣通過控制面板訪問防火牆用戶界面，還為技術人員提供了通過 MMC控制台配置防火牆高級功能的途經。在本文中，我會向大家介紹如何對Vista中的防火牆進行高級配置。一個功能兩種界面 為什麼微軟會對防火牆的基本配置和高級配置采用兩種完全不同的界面呢？我想這可能是微軟為不懂技術的用戶著想，擔心復雜的配置會讓他 們誤操作，從而導致網絡連接問題或者網絡安全風險的發生。不管什麼原因，從基本的防火牆配置界面看，Vista中的防火牆設置與SP2中的非 常相似。（二者還是存在些許不同，比如在SP2版本的“Exceptions”選項卡中的“Edit”按鈕在Vista中改為“Properties”按鈕。）基本配置 在XP中，用戶可以在“General”選項卡中直接開啟或關閉防火牆，並可以同時攔截所有程序，而不需要考慮例外情況。如圖1所示。 圖1：在基本配置界面的“General”選項卡中開啟或關閉防火牆 “Block All Programs”選項是一個很便利的選項，尤其當用戶處於一個公開的Wi-Fi網絡時。它可以讓系統臨時禁止“例外”中規定的任何程 序訪問網絡，而當用戶處於一個相對安全的網絡環境時，再關閉這個選項，恢復先前設置。 和XP一樣，在Vista 防火牆的基本設置中，例外也是在“Exceptions”選項卡中進行設置。用戶可以通過選中相應的程序或服務解除防火牆對 他們的阻止如圖2所示。 圖2：通過復選框可以取消防火牆對某些程序和服務的阻止狀態
·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器：Tftpd32

如果用戶希望取消阻止的某個程序，而該程序不在阻止列表中，用戶可以通過點擊“Add Program”按鈕來添加。在添加程序對話框，用戶可以 從程序列表或者通過文件浏覽器選擇該程序。通過“Change Scope”選項，用戶可以僅在某個范圍允許程序訪問網絡。其范圍包括： ·任何計算機，包括互聯網上的計算機。 ·僅我的局域網絡 (子網) 。 ·自定義IP地址或者子網范圍。另外，用戶還可以選擇在防火牆攔截軟件後是否要發出報警。“Advanced”選項卡可以讓用戶選擇需要受到防火牆保護的網絡連接，如圖3所示。

圖3：在“Advanced”選項卡中，用戶可以選擇允許防火牆提供保 護的網絡 在這個選項卡中，用戶還可以配置日志內容（丟包或者成功連接的記錄），設置日志的最大容量。設置系統該如何回應ICMP請求。在默認情況 下，只有響應的ICMP請求包會被接收，其余的ICMP請求均被禁止。如圖4所示。 圖4：用戶可以設定何種ICMP請求會被允許或拒絕 通過恢復到默認設置的按鈕，用戶可以取消所有修改，將防火牆的設置恢復到系統安裝的默認狀態。 現在到了最令人興奮的部分了：Vista防火牆的高級設置。要想查看這些高級設置內容，用戶需要建立一個自定義的MMC。以下是建立方法： 1.點擊 Start | Programs | Accessories 然後選擇 Run. 2.在運行欄中鍵入 mmc.exe 。用戶也許需要輸入管理權證書或點擊進行運行程序認證。 3.進入MMC後，點擊File | Add/Remove Snap-in. 4.在Available Snap-ins列表中向下滾動並選擇Windows Firewall With Advanced Security。雙擊或者選中它然後點擊Add 按鈕。 5.在Select Computer對話框，選擇默認(Local Computer)然後點擊Finish。 6.在Add/Remove Snap-ins對話框中點擊OK。 現在用戶可以像圖5那樣擴展左側的樹狀列表，就會在右側看到Vista 防火牆的高級設置頁面了。 圖5：在Advanced Security MMC中對Vista防火牆進行流入和流出 數據規則的設定

多防火牆配置 在Vista中，用戶可以為防火牆定制多種配置，比如適合企業域的網絡配置（用戶的筆記本可以在公司域中登錄或登出），或者適合家庭的網絡 配置（比如家庭點到點的網絡），又或者是適合公眾網絡環境的配置（比如在機場酒店連接到公開的WI-FI網絡）。每種配置都是相互獨立的。 因此，當用戶處於企業網絡中時，甚至可以關閉Vista的防火牆，因為企業網絡中基本上都帶有更高級的防火牆，而在連接到家庭網絡或者公眾 無線網絡時，則可以及時打開防火牆。 要改變各種配置，用戶可以通過Windows Firewall Properties進行設置。在其中的Domain, Private, 以及 Public Profile選項卡中，用戶可 以開啟或關閉防火牆，還可以對發送以及接收到的連接請求進行屏蔽或通過。在這三種配置中，默認均為發送連接可以通過，接收到的連接請 求則被拒絕（允許例外）。用戶也可以將所有連接均設為屏蔽，包括例外列表中的程序。Private Profile選項卡如圖6所示。（每種配置選項 卡中的內容都一樣）

圖6：用戶可以針對不同的配置環境設置不同的規則 通過Customize按鈕，用戶可以對每個配置進行更個性化的調整。比如用戶可以設置當接收到的連接請求被拒絕時，系統發出警報信息，還可以 設置是否接收多播或廣播時產生的unicast響應。另外，用戶還可以在配置項目中設置日志選項（可以對丟包或成功連接等情況進行記錄）。 IPSec設置 通過IPSec Settings選項卡，用戶可以對IPSec項目進行設置，包括Key Exchange，Data Protection，Authentication Method。在默認情況下 ，所有設置均為默認值，即采用Group Policy Object等級。用戶可以點擊Custom按鈕自行配置各個參數： Key Exchange: 用戶可以選擇安全和加密方法，並可以對方法按照優先級進行排序，如圖7所示。用戶還可以選擇Key Exchange Algorithm ，默認情況下為Diffie-Hellman Group 2。如果用戶的網絡環境中全部為Vista系統，為了實現更高的安全性，用戶可以選擇Elliptic Curve Diffie-Hellman P-384。此外用戶還可以按時間或進程選擇密鑰生存周期。 圖7：用戶可以自定義密鑰交換規則 Data Protection:用戶可以對所有采用IPSec的連接進行數據加密（非默認值）。用戶還可以選項實現數據安全和加密的算法。如圖8所示 。 圖8：用戶可以設置用於數據安全和加密的算法

Authentication Methods: 可供用戶選項的認證方式有多種，如圖9所示： 采用Kerberos方式驗證用戶和計算機，采用Kerberos驗證計算 機，采用Kerberos驗證用戶，通過指定的CA對計算機進行驗證，或者在自定義中選則通過NTLMv2或preshared key進行驗證。在自定義中，用戶 可以設定第一和第二驗證方式，(除非用戶將首選方法選擇為preshared key驗證，否則不會出現候選方式)。

·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器：Tftpd32 圖9：用戶可以選擇多種認證方式或者自定義認證參數 一旦用戶設置好每種配置以及IPSec屬性，就可以進行下一步有關計算機連接安全方面的設置了，這個設置用來決定何時以及如何在兩台電腦間 （或一組電腦間）建立安全連接。要進行相關設置，用戶需要右鍵點擊控制台面板左側的Computer Connections Security並選擇New Rule。這 一步會開啟New Connection Security Rule Wizard，即新連接安全規則向導，如圖10所示，用戶可以在如下類別中選擇規則類型： ·Isolation: 基於域成員或系統健康狀態等標准的受限制連接。 ·Authentication exemption: 可以指定某些電腦與本機連接不需要認證。 ·Server to server: 指定某些電腦之間的連接不需要認證。 ·Tunnel: 該規則用於在網關系統間進行連接認證。 ·Custom: 如果以上規則沒有適合的，用戶可以自定義規則。 圖10：創建連接安全規則，確定何時以及如何建立安全連接 下一步是提供規則所需的條件。比如當用戶建立了一個自定義規則，就需要指定終點，終點包含了一台或者一組電腦。用戶可以通過IP地址或 者地址范圍對一台以及多台電腦進行設定，用戶還可以將一個預先確定的地址作為終點之一，比如默認網關，，DNS服務器，DHCP服務器或者本地 子網。 對於一些規則類別，用戶需要確立規則條件。比如： ·用戶可以要求對全部發送和接收的連接進行驗證，這意味著在任何情況下都要使用認證，但這並不是必須的。 ·用戶可以要求對發送的連接進行認證或者對接收的連接請求進行認證。沒有通過認證的接收到的請求將被屏蔽，而發送的連接請求也會被 驗證。 ·用戶可以要求同時對接收和發送的連接進行認證。沒有認證的連接均被拒絕。 ·用戶也可以選擇對於任何連接均不需要認證。 接下來，用戶需要選擇認證方式，這一點和上面介紹的IPSec屬性配置項目非常類似（取決於用戶創建的規則類別）。 最後，用戶需要選擇當前的規則適用於哪種防火牆配置，並為這個規則命名，並填寫介紹（可選）。用戶建立的規則將出現在頁面中央部分， 如圖11所示： 圖11：當用戶選擇