Vista防火墙的改进
在Windows XP Service Pack 2中,微软发布了在当时作为一项巨大改进的基于客户端的防火墙。SP2中的Windows防火墙在默认情况下是启用的,这也就意味着计算机能够在一启动的时候就更好地受到保护,免受攻击。然而,XP SP2中的防火墙缺失了一些Windows防火墙所应具有的关键特性。
虽然能够改进的地方还有很多,但对于Vista用户来说,这个防火墙有两项主要的改进让其成为一个较为可行的解决方案:
1、Windows防火墙现在包含了应用感知的输出过滤器,它能够为所有输入或输出用户计算机的流量提供指向性的控制。
2、微软还加入了一个高级的管理界面,让管理员能够非常细化地对工作区应用规则。此外,Windows防火墙还能够通过组策略进行管理,这也就意味着公司的IT人员能够更轻易的管理组织的计算机策略,禁止一些特定的活动,例如即时通讯或者是点对点的文件共享。
管理Windows防火墙
在Vista中,微软提供了两个不同的界面来配置Windows防火墙:
1、传统或基本的控制面板方法。对于Windows防火墙来说,这是一个相对简单的防火墙配置工具。它于Windows XP的防火墙管理工具看起来很相似。
2、Windows防火墙以及高级安全设置程序。如果想要更具技术倾向的设置,这个高级界面就能够提供非常细化的防火墙配置选项。
在这篇文章中,你将对这两个界面都有充分了解。
使用基本控制面板界面
第一种方法,你可以将其认作是“传统”或者是“基本”的管理方法,它对于曾经使用过Windows防火墙的每个人来说都是再熟悉不过的,因为它就是从Windows XP时就被引入的。在Vista中,这个管理界面能够在“开始>控制面板>安全>Windows 防火墙”中,点击“更改设置”按钮找到。但如果你使用的是控制面板的经典视图,那么你就可以先选择“开始>控制面板>Windows 防火墙”,一会儿后,再选择“更改设置”选项。图1给出的就是初始的Windows防火墙的信息窗口。
图1 Windows防火墙的信息窗口
这个窗口提供了关于Windows防火墙的一些常规的信息,例如防火墙是否启用,是否阻止传入的连接,如何处理防火墙相关的提示,以及你的网络所在的位置。Windows Vista防火墙会使用网络位置的参数来为你的计算机确定适合的防火墙设置。要更改防火墙设置,你可以选择“更改设置”。这个选项会打开防火墙设置窗口。当你打开这个窗口,首先看到的是“常规”选项卡,如图2所示。
图2 Windows防火墙设置窗口的常规选项卡
在这个选项卡中,有三个选项。主要是“启用”和“关闭”,也就是启用或者是禁用Windows防火墙。中间的钩选框,“阻止所有传入连接”,这在某些情况下是非常实用的,比如你将你的计算机带入一个公共Wi-Fi热点这样的地方时,你也许不希望任何连接接入你的计算机。当你选中这个钩选框时,即使是Windows防火墙设为“例外”的服务也会被阻止,这就为处在较低安全性的环境中的计算机提供了较高级别的保护。
如图3所示,“例外”选项卡让你能够将指定的程序或端口排除在Windows防火墙所阻止的名单之外。
图3 Windows防火墙设置窗口的“例外”选项卡
这个选项卡中有一个列表,里面列出了Windows防火墙列为例外的服务。这是Vista中的一处全新的操作,列出了防火墙允许连接的服务。如果你想要将某个程序或者端口设为允许通过防火墙,你可以在那个服务旁边的钩选框中打钩,再点击“确定”即可。
如果你想要添加的程序并不在此列表中,你可以点击窗口底部的“添加程序”按钮,接着,如图4所示的“添加程序”窗口就会弹出。
图4 将一个自定义的程序添加到例外列表中
你可以在此选择需要添加的程序,如果在列表中没有列出的话,你可以点击“浏览”按钮,并为Windows防火墙指出合适的可执行位置。
窗口底部的“更改范围”按钮,弹出的页面能够让你指定计算机能够使用的端口和程序。图5所示的窗口中给出了三个选项:
任何计算机(包括Internet上的计算机):允许任意地方产生的流量与此服务通行。
仅我的网络(子网):仅允许本地计算机产生的流量与此服务通行。
自定义列表:提供了IP地址以及可选择的子网范围。这样一来,仅有包含在指定范围的计算机才能够访问此服务。IP地址能够以IPv4或是IPv6的格式输入。
图5 “更改范围”窗口
现在我们再看图3。在“添加程序”按钮旁的按钮是“添加端口”。点击这个按钮就会出现如图6所示窗口,你可以在此添加TCP或者是UDP的例外端口号。在“添加端口”页面中,你可以看到输入描述端口/服务的名称,端口号以及TCP和UDP协议的选择。这个添加端口操作的缺点在于,你必须单独提交每个端口,如果你有很多端口需要开放的话,这样的操作就会让你颇为烦躁。
图6 添加TCP或者是UDP的端口例外
同样地,你也可以使用“更改范围”来限制使用这个例外的流量所产生的地方。相关的信息与图5所示的相同。
回到Windows防火墙的设置页面,请注意“属性”和“删除”按钮。如果你已经将自定义程序和端口添加到了服务的列表中,那么在需要的时候,使用“删除”按钮就能够轻易地将它们移除。“属性”按钮会为你选中的服务提供一份简要的描述。
最后,让我们来看看“例外”底部的钩选框。“Windows防火墙阻止新程序时通知我”能够在新程序或服务试图通过防火墙时发出提示。
Windows防火墙设置窗口中最后一个选项卡表面上是想要提供一些“高级的”配置选项,但实际上,在里面并没有太多的内容。其中可用的内容如图7所示。
图7 “高级”Windows防火墙设置选项卡
在这个选项卡中的选项非常地直白,因此在此就不加详述。
此时,你也许会问自己一些问题:
我应该在什么地方配置ICMP设置呢?
为什么我没有看到任何传出防火墙的相关配置规则呢?
这也就是为什么我们还要再阐述高级配置界面的原因。
Windows防火墙的高级安全
在Windows Vista中全新的是这个界面,这个叫做高级安全Windows防火墙并不是为一般的家庭用户二设计的,它多了很多较为复杂的设置,并为更通晓计算机的用户提供了细化Windows防火墙任务的配置。
要访问这个高级界面有两种方式:
通过控制面板:开始>控制面板>经典视图>管理工具>高级安全 Windows 防火墙。
或者是通过以下的步骤:
1、开始>所有程序>附件>运行。
2、在“运行”对话框中,输入MMC后按下回车键。
3、在“控制台”窗口中,导航到“文件>添加/删除管理单元”。
4、在如图8所示的“添加或删除管理单元”对话框中,在左边的“可用的管理单元”窗格找到高级安全Windows防火墙。
图8 添加/删除管理单元窗口
5、点击“添加”按钮。
6、 当被询问选择应通过此管理单元管理的计算机时,选择“本地计算机”后点击“完成”。
7、按下“确定”,你将能够回到控制台。
8、点击“高级安全Windows防火墙”旁的箭头,能够展开防火墙的配置选项,并显示当前的防火墙状态。如图9所示。
图9 控制台所显示的Windows防火墙状态
在这个主窗口中,包含了大量可用的配置选项,而本文将对其中一些主要的配置作出阐述。首先,我们来注意一下窗口中“概述”部分所提供的关于Windows防火墙的相关状态信息。
高级安全Windows防火墙属性窗口
我们首先要看的是通过“操作”窗格中“属性”链接所打开的防火墙属性窗口。图10所示的是“域配置文件”。同时要注意的是,“专用配置文件”和“公用配置文件”也与“域配置文件”选项卡中有着相同的选项。
图10 “属性”页面中首先打开的是“域配置文件”
在继续看其它选项之前,我们先一起看一下这些配置的不同之处:
域配置文件:在这个配置文件中所包含的选项将指定计算机连接到企业域时的行为。
专用配置文件:在这个配置文件中所包含的选项将指定计算机连接到专用网络位置时的行为。
公用配置文件:在这个配置文件中所包含的选项将指定计算机连接到公用网络位置的行为。
在这些配置文件选项卡中,你都可以执行如下的一些设置:
1、通过点击“防火墙状态旁”的按钮启用或禁用防火墙。
2、确定入站连接的工作方式。你的选择有:
(1)阻止(默认值):根据你所定义的规则阻止入站传输。
(2)阻止所有连接:阻止所有入站传输,无论防火墙规则是怎样。
(3)允许:允许所有越过防火墙的入站连接。
3、确定出站连接的工作方式;你可以选择的选项有允许或阻止,但你不能选择阻止所有连接。
4、通过点击“设置”旁的“自定义”按钮来自定义Windows防火墙的行为。
5、通过点击“日志”旁的“自定义”按钮来设置日志所占的空间大小。
图11所示的是点击“设置”中的“自定义”按钮后所弹出的窗口。在这个页面中,你可以选择防火墙通知是否显示,以及单播响应是否允许。
图11 选中配置的自定义设置
如果你想要修改日志选项,你可以点击窗口最下方的“自定义”按钮。接着你就会看到如图12所示的窗口。
图12 为选中的配置文件自定义日志设置
在这个窗口中,你可是使用“浏览”按钮来选择防火墙日志文件的路径和文件名。同时,在此还可以指定日志文件的大小限制,以及是否记录被丢弃的数据包和成功的连接。如果你记录了过多的信息,你的日志文件就可能会变得过于庞大。
返回到“属性”页面,唯一与其它选项卡不同的是“IPsec设置”选项卡,如图13所示。
图13 “IPsec设置”选项卡
在此窗口中并没有太多的设置,但你可以点击“自定义”得到具有关于IPsec配置更多选项的窗口,如图14所示。你还可以选择从IPsec免除ICMP。如果你这么做的话据能够简化你网络连接的问题解决。
图14 进一步自定义你防火墙的IPsec设置
图14中的选项是你IPsec设置中真正的内容。通过这个窗口,你可以配置你密钥交换的模式,数据保护的模式,身份验证的方法。每个选项都包含了一个“默认值”的选择,以及一个“高级”选项。当你选择了“高级”选项后,相关的“自定义”按钮就会启用。当你点击其中一个“自定义”按钮时,你就可以进行更为细化的IPsec配置。每个高级选项的窗口分别如图15、图16、图17所示。
图15 Windows防火墙中可用的高级IPsec密钥交换选项
图16 高级IPsec数据保护选项
图17 高级身份验证方法窗口以及其它与身份相关的选项
其它Windows防火墙配置设置
既然我们已经细探了Windows防火墙的属性页面,那么接下来就让用户界面中的一些其它的东西。我们再回到图9。我们再从主配置窗口的左边的选项开始说起:
入站规则:允许你设置Windows防火墙处理的入站连接规则。
出站规则:允许你设置Windows防火墙处理的出站连接规则。
连接安全规则:使用IPsec来确保两台运行了Windows防火墙或者是使用兼容IPsec策略的计算机之间的传输安全。本文中将不会对此类的规则有过多的涉及。
监视:监视选项让你能够知晓你的防火墙正在做什么。在本文中对监视的问题也不会过多地涉及。
入站规则
Windows防火墙一直都是用来阻止入站连接的。然而,在高级配置的视图下,Windows防火墙要让人们了解如何对这些服务进行配置,就变得更为复杂。图18所显示的是防火墙管理界面中的入站规则。
图18 Windows防火墙入站规则列表
你会看到,每项列在窗口中的规则旁都有一个灰色或者是绿色的打钩的记号。绿色的记号就表示该规则是启用的,而灰色则表示该规则已经定义但未启用。要启用或禁用当前规则,只需要在规则上右键点击,并选择“启用规则”或者是“禁用规则”。
这里有非常多Windows防火墙可用的入站规则。图18所示的只是对服务单一方面的管理。例如,有很多的规则是以“核心网络”开头的。每条规则管理的都是专门的程序或者协议;例如,一条规则可能会允许入站的SMTP连接超过TCP端口25个。所有的“核心网络”规则都是启用的,这是因为,如果没有它们,你的计算机的功能可能就无法有效地运行。如果你认真地对待你Vista的工作区,你其实可以禁用一些规则。有很多的规则是传输协议版本的说明书。有一些规则是分别为IPv4或IPv6而设的,但没有同时使用的。如果你的网络上没有使用IPv6,那么你就可以禁用那些为IPv6而设的规则。
出站规则
出站规则的选项看起来与图18所示的入站规则很相似,并且操作方式也是相同的。因此,我们一起来看一下创建新规则。
创建新规则
Windows防火墙能够让你根据很多标准来创建入站和出站规则,包括通过一个特定的程序管理访问或是根据TCP或UDP端口管理访问。要添加一项新规则,先根据自己的需要选择“入站规则”或是“出站规则”,接着在“操作”菜单中选择“新规则”。接着就会打开一个向导,指引你完成规则创建的过程。
向导的第一步的画面,如图19所示,它会询问你会想要创建哪种类型的规则。例如,我们在此创建一项自定义规则来进行后续的说明。
图19 选择你想要创建的规则类型
在向导的第二个页面,你可以选择受新规则约束的程序和服务。你可以选择将新规则对所有运行的程序和服务应用,也就是意味着这项规则是关注常规的连接二不是特定的程序或服务的,或者是仅对一个特定的程序或服务应用。
图20所示的是你如何将规则对特定程序应用的页面。如果你想要将这条规则应用到一项特定的服务,那么就按下“自定义”按钮。图21所示的是“自定义服务设置”页面,你可以在此选择将规则应用于所有程序和服务,仅应用于服务,以及通过在列表中选择服务或者是在窗口底部的窗格中输入短名称的服务。
图20 你可以选择受此规则约束的程序和服务
图21 应被涵盖在此规则下的服务
在我的示例中,我则将新规则应用到所有程序和服务中。
向导的第三个页面如图22所示,要求你输入此规则应用到的协议和端口。
图22 指定此规则应用到的协议和端口
在此,它所要求的信息如下文所述。
协议类型
被允许的协议类型如下:
HOPOPT(IPv6 Hop-by-Hop逐个跳段选项)
ICMPv4
ICMPv6
IGMP
TCP
UDP
IPv6
IPv6-Route
IPv6-Frag
IPv6-NoNxt
IPv6-Opts
GRE
VRRP
PGM
L2TP
本地端口
本地端口选项仅当你选择TCP或UDP作为协议类型时可用。本地端口就是一台计算机上运行Windows防火墙的端口。
本地端口可用的选项有:
所有端口
特定端口
动态RPC
RPC 终结点映射器
边缘遍历
远程端口
远程端口选项仅当你选择TCP或UDP作为协议类型可用。远程端口就是一台计算机上试图连接你的计算机的端口。
至于远程端口,你可以选择的有“所有端口”或者是“特定端口”。
互联网控制通知协议(ICMP)设置
如果你在“协议类型”下选择了ICMP的选项,“自定义”按钮就可用了。点击这个按钮就可以打开“自定义ICMP设置”窗口,如图23所示。在此,你可以选择应用所有ICMP类型,或者是特定的ICMP类型。
图23 “自定义 ICMP 设置”窗口
向导的下一页,如图24所示,它会询问你新规则本地和远程的IP地址。应用的范围可以是入站和出站的传输规则,这样就能够让应用的规则符合范围的标准以及其它规则的详情。
图24 规则匹配的IP地址
当你定义了规则下的参数之后,你需要指定在连接与规则中指定的条件相匹配时要执行的操作,如图25所示,你有三个选项:
允许连接。无论连接的IPsec是否启用。
只允许安全连接。你还可以为其选择子选项。如果你选择了这项,你还必须指定哪些用户或者是计算机能够进行可信任的连接。
阻止连接。
图25 当指定的条件匹配时应当执行的操作
向导的最后两个画面在此就不给出截图。接下来的一步是“配置文件”,它会让你选择相应的配置文件——域、专用和公用——这就会对新规则应用。而向导的最后一步则是要求你输入新规则的名称,还可以输入相关的描述。
当你完成了新规则的创建后,它就会出现在防火墙配置主窗口的列表中了。
不足之处
毫无疑问,从能力的透视上来说,Windows防火墙作为一个客户端的保护工具还是不错的。然而,Vista新的防火墙有两点不足仍需要提一下:
输出的监视在默认情况下是没有启用的:这意味着比起使用XP时,用户会处在一种错误的假设之下,认为他们的计算机受到更好的保护。
过度复杂的高级管理界面:一般的家庭用户完全不会想去管理这项服务。确实,家庭用户如果使用基本的界面的话,就能够减少很多麻烦,但基本界面却无法启用输出监视,也不能更为细化地管理高级界面中的特性。除非微软能够在相当的程度上简化它的高级防火墙界面,否则,家庭用户将无法充分享受到包含在防火墙中的新技术。
主要的升级
Windows Vista中的防火墙印证了微软早期所宣称的要开发一个强健的防火墙。通过它双向的保护功能,高度细化的管理选项以及范围很广的配置参数,它也并不是一个池中物了。
(原文作者:Scott Lowe MCSE 文章来源:www.techrepublic.com)
| Word教程网 | Excel教程网 | Dreamweaver教程网 | Fireworks教程网 | PPT教程网 | FLASH教程网 | PS教程网 |
| HTML教程网 | DIV CSS教程网 | FLASH AS教程网 | ACCESS教程网 | SQL SERVER教程网 | C语言教程网 | JAVASCRIPT教程网 |
| ASP教程网 | ASP.NET教程网 | CorelDraw教程网 |
QQ:2693987339(点击联系)购买教程光盘
:
