Windows Vista防火墙全攻略(上)

　　Windows Vista的开发花费了很长的时间，而在其他操作系统中凡是看得到的功能，几乎都改头换面出现在了Vista之中。 在Vista之中的Windows防火墙就是这个变化部分的其中之一，提供了很多先前技术所不曾提供过的功能。 在本文中，我会花费一些时间来对Windows Vista防火墙的增强部分进行讨论——后文它将被叫做“Windows防火墙”——并会解释如何来管理这些功能。

　　Vista防火墙的增强

　　在Windows XP Service Pack 2之中，微软放出了改进巨大的——就当时而言——基于客户的防火墙解决方案。 在SP2之中的Windows XP防火墙默认是启用的，这意味着电脑立刻就获得了对付攻击的更好防护措施。 不过，在XP SP2之中的防火墙，还是缺少了一些Windows防火墙所能提供的关键功能。

　　尽管改进其实很多，但是其中对防火墙的改进主要是集中于两个方面，而这两个方面使之成为了Vista用户的良好解决方案：
　　◆Windows 防火墙现在提供了应用程序相关的外向过滤，对所有进出你的电脑，以及你用户电脑的通讯，提供了直接的控制手段。
　　◆微软提供了一个高级的管理接口，以便让系统管理员针对工作站实施非常细微的不同规则。 另外，Windows防火墙可以通过组策略进行管理，这意味着公司的IT人员可以更好的执行强制性公司计算策略，从而对特定的活动进行禁止，比如禁止即时通讯软件，以及P2P的文件共享等。

　　管理Windows防火墙

　　在Vista中，微软提供了两个完全不同的接口来对Windows防火墙进行配置：

　　◆传统或者基础的控制面板方式
　　这是一个相对简化的，Windows防火墙的配置工具。 它看起来非常类似Windows XP防火墙管理工具。

　　◆使用高级安全设置小程序的Windows防火墙
　　意图更多的偏向于技术方面，这个高级接口提供了非常细微的防火墙配置选项。

　　在本文中，对上述两个接口都会有所涉及。

　　使用基本的控制面板接口

　　第一种方式，也就是你可能认为是“传统”或者基本的管理方式，对那些曾经管理过XP下Windows防火墙的人来说将感觉很熟悉，因为它本来就是首先出现在Windows XP之中的。 在Vista中，这个管理接口可以通过“Start （启动）| Control Panel（控制面板） | Security（安全） | Windows Firewall（Window防火墙）”，按下“Change Settings（改变设定）”按钮，从而找到该接口，不过它并不总是这样的步骤。 如果你是在Vista安装中使用了控制面板的经典视图，那么就是“Start （启动）| Control Panel（控制面板） | Windows Firewall（Window防火墙）”，然后，再选择“Change Settings（修改设定）”选项。 图A就是初始化Windows防火墙信息窗口的视图

图A Windows防火墙信息窗口

　　这个窗口给你提供了一些关于Windows防火墙的普通信息，比如是否启用了防火墙，是否进入连接被阻挡了，和防火墙相关的警告是如何处理的，以及你的网络位置。 Windows Vista防火墙使用网络位置参数来确认电脑的正确防火墙设置。 我在后文将会对合理的位置设定进行更多的讲述。 要修改你的防火墙设定，就选择“Change Settings（修改设置）”选项。 这个选项会打开Windows防火墙的设定窗口。 当你打开这个窗口时，首先被选择的是General（综合）页面，如图B所示。

图B Windows防火墙设定窗口，被选中的是General页面

　　在这个屏幕上，共有3个选项。 主要选项，On（开）和Off（关）——是很简单的“启用”或者“禁用”Windows防火墙。 而屏幕中间的选择框，“Block All Incoming Connections（阻挡所有进入的连接）”，在你将电脑带到某些特定的地方时会很有用处，比如在某些公共场合的无线接入点，此时你肯定不希望有任何连接连入你的电脑。 当你选中这个复选框后，即使你已经在Windows防火墙中设定了相关例外的服务也会被阻止掉，从而为你在低安全的环境中提供了很高级别的安全防护。

　　而如图C所示的页面“Exceptions（例外）”，则提供了一个途径，让你指定某些特定的服务，或者指定某些TCP/UDP端口，从而避免它们被Windows防火墙所阻挡。

图C Windows防火墙设定窗口，被选中的是Exceptions（例外）页面

　　这个页面上的主窗口显示了一个服务的列表，你可以进行选择，从而让Windows防火墙对之另行处理。 在这个屏幕截图之中的电脑是一个全新的Vista安装，显示了作为Vista安装的一部分，有哪些服务会被作为例外处理。 要想允许某个特定的程序或者端口能够通过防火墙，需要选中该特定服务旁边的复选框，然后按下“OK（确定）”按钮。

　　如果你想要指定的程序没有出现在列表之中，则点击屏幕底部的“Add Program（添加程序）”按钮。 如图D所示，“Add A Program（添加一个程序）”屏幕，被弹了出来。

图D 为例外列表添加一个自定义的程序

　　选择所期望的程序，如果你的程序没有被列出来的话，按下“Browse（浏览）”按钮，然后在Windows防火墙中，找到对应的可执行程序。

　　在此页面底部的“Change Scope（修改范围）”按钮，则提供了你一个方法，让你限制电脑或者程序具体可以使用的端口。 这个屏幕（图E）有3个选项：
　　◆Any Computer（including those on the Internet):（任何电脑，包括互联网上的电脑） 允许从任何位置发起的通信到达此服务。
　　◆My Network (subnet) Only：仅允许我的网络（包括子网） 仅允许从本地电脑发起的通信到达此服务。
　　◆Custom List：自定义列表 可以指定某个IP地址，或者指定一个子网范围。 仅允许在特定范围内的电脑可以被允许访问此服务。 所指定的IP地址可以是Ipv4或者Ipv6的格式。

图E Change Scope（修改范围）窗口

　　现在回过头来看一下图C。在“Add Program（添加程序）”旁边的下一个按钮，写着“Add Port（添加端口）”。 点击这个按钮，将会出现类似图F所示的窗口，这个窗口允许你添加一个基于TCP或者UDP端口号的防火墙例外处理规则。 在“Add Port（添加端口）”页面上，为特定的端口或者服务指定一个描述性的名字，实际的端口号，以及具体指定该例外是用于TCP端口，或者是一个UDP端口。 而下边这里就是你必须单独提供的每个端口，如果你有很多端口需要打开的话，这个工作会非常的无聊乏味。

图F 添加一个TCP或者UDP端口的例外

　　再重申一下，你可以使用“Chagne Scope（修改范围）”按钮来限制使用这个例外的通信发出点。 具体的信息和图E所示是一样的。

　　回到Windows防火墙的属性页面，注意一下“Properties（属性）”以及“Delete（删除）”按钮。 如果你已经添加了自定义的程序，以及具体服务的相应端口，可以在必要时，使用“Delete（删除）”按钮来删除掉相应的入口。 而“Properties（属性）”按钮，则提供给你有关具体选中的服务的相应说明。

　　最后，要注意一下Exceptions（例外）页面底部的复选框。 “Notify Me When Windows Firewall Blocks A New Program（当Windows阻止某个程序时通知我）”的复选框，可以让你在一个新程序或者新服务试图通过防火墙时让你获得相应的通知。

　　在Windows防火墙设定屏幕上的最后一个页面，则很明显是提供了某些“高级”配置设定选项的。 实际上，其实选项并不多。 可用部分如图G所示。

图G 高级的Windows防火墙设定页面

　　在这个页面上的选项基本上都是一看就明白的，所以我这里就不一一赘述了。

　　到了这里，你可能会问你自己下面这几个问题：

　　◆我该在哪里对ICMP设定进行配置呢？
　　◆为什么我看不到任何有关通往防火墙外部的配置规则？

　　这就是图片中高级配置接口的所在。