Windows Vista防火墙安全攻略(下)

　　Windows Vista的开发花费了很长的时间，而在其他操作系统中凡是看得到的功能，几乎都改头换面出现在了Vista之中。 在Vista中的Windows防火墙就是这个变化部分的其中之一。

　　其他Windows防火墙配置设定

　　注意，你现在已经看过了Windows防火墙属性页面，让我们来看一些其他用户接口的成分。 看一眼图I。我将从主配置窗口左手边的选项来开始。

　　◆Inbound Rules:进入规则 允许你设定规则，以控制Windows防火墙到底如何处理进入方向的通信。
　　◆Outbound Rules:外出规则 允许你设定规则，以控制Windows防火墙到底如何处理外出方向的通信。
　　◆Connection Security Rules:连接安全性规则 使用IPsec来对同样使用Windows防火墙的两台电脑之间的通信进行加密，或者对使用一个兼容IPsec策略的两台电脑通信进行加密。 我在本文中不会对这些种类的规则说的太多。
　　◆Monitoring:监控 监控选项给了你一种方法，让你可以查看你的防火墙正在做什么。 本文中我也不会对监控方面讲述太多。

　　Inbound Rules（进入规则）

　　Windows防火墙一般总是有能力对进入的通信进行阻挡。 不过，在高级配置视图之中，Windows防火墙对那些了解如何配置服务的人们来说，显然更具有弹性。 图R让你可以看一下防火墙管理接口的进入规则部分。
 

图R Windows防火墙进入规则列表

　　注意，在窗口的中间列出的每一个规则旁边，都有一个灰色或者绿色的选中标记。 一个绿色的选中标记，表明该规则是被启用的，而一个灰色的选中标记则表明该规则被定义了，但是没有被启用。 要启用或者禁止一个现存的规则，右键点击该规则，然后选择“Enable Rule（启用规则）”或者“Disable Rule（禁用规则）”。

　　在Windows防火墙中，有一定数量的重要进入规则可以使用。 要注意，如图J所示，每一个单独的规则仅管理一个特定的服务方面。 举例来说，有很多的规则名字都以“Core Networking（核心网络）”作为开头。 每一个规则都管理着一个非常特定的程序或者协议；举例来说，一个规则可能仅允许通过TCP25端口进入的SMTP连接。所有的核心网络管理规则都是启用的，因为没有了他们，你的电脑可能都不能正常工作。 如果你打算特别加强你的Vista工作站，你也可以禁用某些规则。 规则中的许多是特定版本的传输协议。 这就是说，某些规则是为了Ipv4，某些规则则是特别为了Ipv6的，而不是一个规则同时为两者服务的。 如果你在你的网络中没有使用Ipv6，你可以禁用所有面向Ipv6的规则。

　　Outbound Rules:外出规则

　　外出规则选项看起来和图J所示的进入规则屏幕差不多，工作方式也是一样的。 我们很快会看一下如何建立新规则。

　　建立新规则

　　Windows防火墙给予你相应的能力来根据许多规范建立的进入和外出的规则，包括通过特定程序的管理，或者基于TCP/UDP端口的管理。 要添加一个新规则，要么选择进入规则，或者外出规则（根据你自己的需要），然后在MMC中选择新规则选项（New Rule option）。 这会开始一个精灵，然后带你进入规则建立进程。

　　如图S所示，精灵的第一个屏幕，要求你决定打算建立何种规则。 就本例而言，我将建立一个自定义规则，以示范最普遍的可能性。
 

图S 选择你打算建立的规则种类

　　在精灵的第二个页面，选择新规则需要限制的程序和服务。 你可以选择新规则对所有运行的程序和服务有效（这意味着该规则对所有的连接都有效，而不是仅仅针对特定程序或者服务的连接），或者，仅对某个特定的程序或者服务生效。

　　图T显示了如何对特定的程序限定相应的规则。 如果你打算对某个特定的服务限定规则，点击“Customize（自定义）”按钮。 在图U中所示的屏幕，显示了你可以对所有的程序和服务都应用该规则，或者仅对服务应用，或者对从列表中选择的某个服务应用，或者是对你在窗口底部的对话框中所输入简短名称的某个服务生效。
 

图T 该规则将对哪个程序或者服务进行限定？
 

图U 该规则应当覆盖哪个服务？

　　就我的示例而言，我将该规则应用于所有的程序和服务。

　　精灵的第三个页面，如图V所示，要求你提供应当被用于本规则的具体协议和端口。
 

图V 该规则将处理哪个协议和端口？

　　这个屏幕在以下区域中要求提供相应信息
　协议种类

　　可用的协议类型如下所示：

　　◆HOPOPT (IPv6 Hop-by-Hop Option)
　　◆ICMPv4
　　◆ICMPv6
　　◆IGMP
　　　◆TCP
　　◆UDP
　　◆IPv6
　　◆IPv6-Route
　　◆IPv6-Frag
　　◆IPv6-NoNxt
　　◆IPv6-Opts
　　◆GRE
　　◆VRRP
　　◆PGM
　　◆L2TP

　　本地端口

　　本地端口选项仅当你在为协议种类选择了TCP或者UDP之后才可以使用。 一个本地端口是在运行Windows防火墙的电脑上所使用的端口。

　　本地端口可用的选项有：
　　◆All ports（所有端口）
　　◆Specific ports（特定端口）
　　◆Dynamic RPC（动态RPC）
　　◆RPC Endpoint Mapper（RPC端点映射）
　　◆Edge Traversal（边缘穿越）

　　远程端口

　　远程端口选项仅当你在为协议种类选择了TCP或者UDP之后才可以使用。 一个远程端口，指的是试图和你本地电脑进行通信的远方电脑上所用的端口。

　　对远程端口，你可以使用“All Ports（所有端口）”，也可以使用“Specific Ports（特定端口）”。
互联网控制信息协议（ICMP）设定

　　如果你在协议类型中选择了ICMP选项之一，那么该选项旁边的Customize（自定义）按钮就会变得可用。 点击此按钮，会打开如图W所示的ICMP自定义设置窗口。在该屏幕上，你可以选择将该规则适用于所有的ICMP类型，或者仅仅适用于特定的ICMP类型。
 

图W 自定义ICMP设定窗口

　　精灵的下一个页面，如图X所示，将询问你新规则的本地和远程IP地址（范围）。 而范围可以被适用于进出的所有通讯规则，这样满足了预先定义范围的通讯都将被适用该规则，就像其他规则所做的那样。
 

图X 该规则对应的IP地址是什么？

　　一旦你已经在一个将要生效的规则下定义了具体参数，就需要决定当有事件满足条件时应当做些什么。 如图Y所示，你有3个选项：

　　◆Allow The Connection（允许连接）,无论该连接是否启用了IPsec。
　　◆Allow The Connection Only If It Is Secured By IPsec（仅允许被IPsec保护的连接）. 你也可以在这里为了额外的安全而选择子选项。 如果你选择了它，你必须同时指定用户或者电脑如何确定可信任的连接。
　　◆Block The Connection（阻止该连接）。
 

图Y 当满足条件时，应当采取什么行动？

　　对于最后的精灵页面，我这里就不放出屏幕图形了。 最后倒数一二个页面，Profile，会要求你选择具体哪个Profile——domain（域），Private（私人），或者Public（公共）——将被应用新规则？ 精灵的最后一个屏幕要求你为新规则命令，另外，也可以输入一个说明性的详细描述。

　　当你完成了建立新规则后，它将会显示在主要防火墙配置窗口的规则列表中

　　缺点

　　毫无疑问，说到客户级别的保护方面，Windows防火墙，从能力方面而言，足以和那些大人物们同行。 但是，还有两点值得提起，因为它们让Vista的新防火墙还不够完美。

　　◆外出监控默认状态下是不启用的： 这意味着用户可能会被误导，认为他们现在的电脑和使用Windows XP的时期相比，“得到了更好的保护”。

　　◆一个相当复杂的高级管理接口： 一般的家庭用户将没有能力来管理这个服务。 的确，一个家庭用户在使用基本接口时将很少有困难，但是基本接口并没有提供一个启用外出监控的方法，也没有提供任何在高级配置中所提供的细微管理功能。 除非微软可以特别简化高级防火墙接口，否则家庭用户将享受不到防火墙中所提供的全新技术功能。

　　一次主要升级

　　在Windows Vista之中所提供的防火墙，和微软先前声称要努力建立的牢固防火墙而言，还存在相当的距离。 但就它的双向保护能力，超级细微的管理选项，以及很宽的配置参数而言，它同样也不能被算做一无是处。