用好防火牆讓你的Vista網絡更安全

　　1、利用防火牆，讓遠程維護更安全

　　在共享ADSL進行撥號上網的時候，許多網絡管理員總喜歡通過遠程桌面功能來遠程管理和維護局域網中的其他計算機，以便提高網絡的管理和維護效率。但是我們知道，隨意使用遠程桌面功能，容易給非法攻擊者攻擊本地計算機提供入侵“通道，如果我們能夠想辦法讓Vista系統保護好這條“通道的進出安全，那麼網絡管理員利用這條“通道進行遠程維護操作的安全性就會被大大提高了。要讓防火牆保護遠程維護操作的安全性，我們可以按照如下步驟來進行：

　　首先在Vista計算機系統桌面中，用鼠標逐一單擊“開始、“設置、“網絡連接菜單選項，在其後出現的網絡連接界面中找到目標ADSL連接圖標，並用鼠標右擊該圖標，再選擇右鍵菜單中的“屬性命令，打開用戶帳戶控制界面，單擊“繼續按鈕，進入到目標連接屬性窗口；



　　在該屬性窗口中單擊“共享選項卡，打開如圖1所示的選項設置頁面，將該頁面中的“允許其他網絡用戶通過此計算機的Internet連接來連接項目選中，並單擊一下“設置按鈕，進入到高級設置界面；

　　將高級設置界面中的“遠程桌面選項選中，再單擊“確定按鈕，退出目標網絡連接高級設置界面，如此一來網絡管理員日後利用遠程桌面功能對局域網中的其他工作站進行管理維護時，安全性就會得到明顯保證了。

　　2、利用防火牆，預防非法Ping攻擊

　　我們知道，每次向目標主機發送Ping命令測試數據包時，目標主機都需要耗費一定的系統資源進行應答回復，如果某個時候同時向目標主機發送成千上萬條測試數據包時，那麼目標主機就需要耗費相當多的系統資源對這些測試請求進行回復，達到一定程度後，目標主機的有限系統資源可能就會被消耗殆盡。網絡中的許多病毒或黑客常常會通過上述方法來對目標主機實施Ping命令攻擊，從而導致目標主機發生癱瘓故障；為了預防非法Ping命令攻擊本地Vista工作站系統，我們可以巧妙地設置該系統自帶的防火牆，以便阻止本地工作站對來自網絡中的Ping命令請求進行應答，這麼一來就能避免Ping命令攻擊了：

　　首先以特權賬號進入到本地Vista工作站系統，並依次單擊“開始/“設置/“控制面板菜單選項，打開本地系統的控制面板窗口，單擊該窗口中的“系統和維護選項，並在其後的系統維護界面中單擊“管理工具選項，打開管理工具列表窗口；



　　在管理工具列表窗口用鼠標雙擊“高級安全Windows防火牆選項，當系統彈出用戶帳戶控制窗口提示時，單擊“繼續按鈕，進入到本地工作站系統的高級防火牆安全設置界面；

　　選中該設置界面左側列表區域處的“入站規則項目，並用鼠標右鍵單擊之，從彈出的快捷菜單中執行“新規則命令，屏幕上將彈出一個新規則創建向導窗口，將該窗口中的“自定義選項選中，再單擊其中的“下一步按鈕，在其後界面中選中“所有程序選項；

　　當向導窗口彈出提示，詢問欲將新規則應用到哪些網絡協議以及通信端口中時，我們必須選中“ICMPv4選項，之後繼續單擊“下一步按鈕，接下來新規則創建向導會要求我們選擇合適的連接條件，此時我們應該將“阻止連接選中（如圖2所示），同時設置好應用該新規則的具體場合，最後再為該新規則命名一個恰當的名稱，並且將本地工作站系統重新啟動一下，這樣的話本地工作站就會拒絕回答來自網絡中的各個Ping命令請求了，如此一來Vista工作站系統就不會遭受到非法Ping命令攻擊了。

3、利用防火牆，保護網絡打印安全

　　我們知道，Vista自帶的系統防火牆在缺省狀態下往往會被自動啟用，而且它不會對網絡打印進行任何限制。不過，在多人共用同一台打印機的情況下，為了防止非法用戶趁下班或其他節假日時間偷偷使用網絡打印機，從而導致辦公成本節節攀高，我們完全可以通過設置Vista自帶的系統防火牆，來達到禁止通過網絡非法使用使用打印機的目的：

　　首先以特權賬號進入到與共享打印機直接保持連接的Vista工作站系統，用鼠標雙擊系統桌面中的“網絡圖標，在其後界面中單擊“網絡和共享中心選項，打開本地計算機的網絡和共享中心管理界面；

　　單擊該界面左側列表區域的“Windows防火牆項目，打開Windows防火牆管理界面，在該界面的“Windows防火牆已啟用設置項處單擊“更改設置項目，當系統出現用戶賬戶控制窗口提示時，單擊“繼續按鈕，打開Windows防火牆的參數設置界面；



　　單擊防火牆參數設置界面中的“例外選項卡，進入到如圖3所示的選項設置頁面，取消其中的“文件和打印機共享項目選中狀態，再單擊“確定按鈕結束防火牆參數設置操作，這樣的話局域網中的任何用戶在嘗試通過網絡訪問共享打印機時，都會被Vista防火牆統統拒絕。

　　4、利用防火牆，記錄非法攻擊痕跡

　　為了避免網絡病毒或木馬的攻擊，許多朋友都會想辦法在本地計算機系統中安裝殺毒軟件或防火牆，不過在很多時候，我們手頭並沒有殺毒軟件或防火牆可用，在這種情形下我們只有想辦法用好系統自帶的網絡防火牆了。其實，巧妙地啟用防火牆的記錄功能，我們可以讓Vista防火牆更好地為我們“站崗放哨，任何企圖攻擊本地系統的痕跡都會被防火牆悄悄捕捉並記錄下來，到時我們只要打開它的日志記錄，就能將各種安全威脅全部尋找出來，並能采取有效措施進行防范了。在啟用防火牆的日志記錄功能時，我們可以按照如下操作來進行：

　　首先以特權賬號進入到本地Vista計算機系統，用鼠標逐一單擊系統桌面中的“開始、“運行命令，打開系統運行文本框，在其中執行“gpedit.msc字符串命令，打開本地計算機的組策略編輯界面；

　　從該界面的左側顯示區域，用鼠標展開“計算機配置分支項目，並在該分支下逐一單擊“管理模板、“Windows組件、“Windows Defender子項，在“Windows Defender子項下面雙擊“啟用記錄已知的正確檢測選項，在其後界面中將“已啟用項目選中，這樣的話Vista防火牆就能對已知的正確文件進行自動檢測，並將檢測結果記錄下來；

　　同樣地，我們再打開“Windows Defender子項下面的“啟用記錄未知檢測屬性設置窗口，在其後界面中將“已啟用項目也選中，如此一來Vista防火牆也會對未知的文件進行自動檢測，同時將檢測結果記錄下來。日後，我們可以查看相關日志記錄，就能查找到隱藏在本地計算機系統中的各個安全威脅。

　　2、利用防火牆，預防非法Ping攻擊

　　我們知道，每次向目標主機發送Ping命令測試數據包時，目標主機都需要耗費一定的系統資源進行應答回復，如果某個時候同時向目標主機發送成千上萬條測試數據包時，那麼目標主機就需要耗費相當多的系統資源對這些測試請求進行回復，達到一定程度後，目標主機的有限系統資源可能就會被消耗殆盡。網絡中的許多病毒或黑客常常會通過上述方法來對目標主機實施Ping命令攻擊，從而導致目標主機發生癱瘓故障；為了預防非法Ping命令攻擊本地Vista工作站系統，我們可以巧妙地設置該系統自帶的防火牆，以便阻止本地工作站對來自網絡中的Ping命令請求進行應答，這麼一來就能避免Ping命令攻擊了：

　　首先以特權賬號進入到本地Vista工作站系統，並依次單擊“開始/“設置/“控制面板菜單選項，打開本地系統的控制面板窗口，單擊該窗口中的“系統和維護選項，並在其後的系統維護界面中單擊“管理工具選項，打開管理工具列表窗口；



　　在管理工具列表窗口用鼠標雙擊“高級安全Windows防火牆選項，當系統彈出用戶帳戶控制窗口提示時，單擊“繼續按鈕，進入到本地工作站系統的高級防火牆安全設置界面；

　　選中該設置界面左側列表區域處的“入站規則項目，並用鼠標右鍵單擊之，從彈出的快捷菜單中執行“新規則命令，屏幕上將彈出一個新規則創建向導窗口，將該窗口中的“自定義選項選中，再單擊其中的“下一步按鈕，在其後界面中選中“所有程序選項；

　　當向導窗口彈出提示，詢問欲將新規則應用到哪些網絡協議以及通信端口中時，我們必須選中“ICMPv4選項，之後繼續單擊“下一步按鈕，接下來新規則創建向導會要求我們選擇合適的連接條件，