Windows Vista系統中防火墻詳細設置

Vista的開發花費了很長的時間，而在其他操作系統中凡是看得到的功能，幾乎都改頭換面出現在了Vista之中。在Vista之中的Windows防火墻就是這個變化部分的其中之一，提供了很多先前技術所不曾提供過的功能。在本文中，我會花費一些時間來對Windows Vista防火墻的增強部分進行討論——后文它將被叫做“Windows防火墻”——并會解釋如何來管理這些功能。

Vista防火墻的增強

在Windows XP Service Pack 2之中，微軟放出了改進巨大的——就當時而言——基于客戶的防火墻解決方案。在SP2之中的Windows XP防火墻默認是啟用的，這意味著電腦立刻就獲得了對付攻擊的更好防護措施。不過，在XP SP2之中的防火墻，還是缺少了一些Windows防火墻所能提供的關鍵功能。

盡管改進其實很多，但是其中對防火墻的改進主要是集中于兩個方面，而這兩個方面使之成為了Vista用戶的良好解決方案：

◆Windows 防火墻現在提供了應用程序相關的外向過濾，對所有進出你的電腦，以及你用戶電腦的通訊，提供了直接的控制手段。

◆微軟提供了一個高級的管理接口，以便讓系統管理員針對工作站實施非常細微的不同規則。另外，Windows防火墻可以通過組策略進行管理，這意味著公司的IT人員可以更好的執行強制性公司計算策略，從而對特定的活動進行禁止，比如禁止即時 通訊軟件，以及P2P的文件共享等。

管理Windows防火墻

在Vista中，微軟提供了兩個完全不同的接口來對Windows防火墻進行配置：

◆傳統或者基礎的控制面板方式

這是一個相對簡化的，Windows防火墻的配置工具。它看起來非常類似Windows XP防火墻管理工具。

◆使用高級安全設置小程序的Windows防火墻

意圖更多的偏向于技術方面，這個高級接口提供了非常細微的防火墻配置選項。

在本文中，對上述兩個接口都會有所涉及。

使用基本的控制面板接口

第一種方式，也就是你可能認為是“傳統”或者基本的管理方式，對那些曾經管理過XP下Windows防火墻的人來說將感覺很熟悉，因為它本來就是首先出 現在Windows XP之中的。在Vista中，這個管理接口可以通過“Start (啟動)| Control Panel(控制面板) | Security(安全) | Windows Firewall(Window防火墻)”，按下“Change Settings(改變設定)”按鈕，從而找到該接口，不過它并不總是這樣的步驟。如果你是在Vista安裝中使用了控制面板的經典視圖，那么就是“Start (啟動)| Control Panel(控制面板) | Windows Firewall(Window防火墻)”，然后，再選擇“Change Settings(修改設定)”選項。圖1就是初始化Windows防火墻信息窗口的視圖

圖1 Windows防火墻信息窗口

這個窗口給你提供了一些關于Windows防火墻的普通信息，比如是否啟用了防火墻，是否進入連接被阻擋了，和防火墻相關的警告是如何處理的，以及你的 網絡位置。Windows Vista防火墻使用網絡位置參數來確認電腦的正確防火墻設置。我在后文將會對合理的位置設定進行更多的講述。要修改你的防火墻設定，就選擇“Change Settings(修改設置)”選項。這個選項會打開Windows防火墻的設定窗口。當你打開這個窗口時，首先被選擇的是General(綜合)頁面，如圖2所示。

圖2 Windows防火墻設定窗口，被選中的是General頁面

在這個屏幕上，共有3個選項。主要選項，On(開)和Off(關)——是很簡單的“啟用”或者“禁用”Windows防火墻。而屏幕中間的選擇框，“Block All Incoming Connections(阻擋所有進入的連接)”，在你將電腦帶到某些特定的地方時會很有用處，比如在某些公共場合的無線接入點，此時你肯定不希望有任何 連接連入你的電腦。當你選中這個復選框后，即使你已經在Windows防火墻中設定了相關例外的服務也會被阻止掉，從而為你在低安全的環境中提供了很高級別的安全防護。

而如圖3所示的頁面“Exceptions(例外)”，則提供了一個途徑，讓你指定某些特定的服務，或者指定某些TCP/UDP端口，從而避免它們被Windows防火墻所阻擋。

圖3 Windows防火墻設定窗口，被選中的是Exceptions(例外)頁面

這個頁面上的主窗口顯示了一個服務的列表，你可以進行選擇，從而讓Windows防火墻對之另行處理。在這個屏幕截圖之中的電腦是一個全新的Vista安裝，顯示了作為Vista安裝的一部分，有哪些服務會被作為例外處理。要想允許某個特定的程序或者端口能夠通過防火墻，需要選中該特定服務旁邊的復選框，然后按下“OK(確定)”按鈕。如果你想要指定的程序沒有出現在列表之中，則點擊屏幕底部的“Add Program(添加程序)”按鈕。如圖4所示，“Add A Program(添加一個程序)”屏幕，被彈了出來。

圖4 為例外列表添加一個自定義的程序

選擇所期望的程序，如果你的程序沒有被列出來的話，按下“Browse(瀏覽)”按鈕，然后在Windows防火墻中，找到對應的可執行程序。

在此頁面底部的“Change Scope(修改范圍)”按鈕，則提供了你一個方法，讓你限制電腦或者程序具體可以使用的端口。這個屏幕(圖5)有3個選項：

◆Any Computer(including those on the Internet):(任何電腦，包括互聯網上的電腦) 允許從任何位置發起的通信到達此服務。

◆My Network (subnet) Only：僅允許我的網絡(包括子網) 僅允許從本地電腦發起的通信到達此服務。

◆Custom List：自定義列表 可以指定某個IP地址，或者指定一個子網范圍。僅允許在特定范圍內的電腦可以被允許訪問此服務。所指定的IP地址可以是Ipv4或者Ipv6的格式。

圖5 Change Scope(修改范圍)窗口

現在回過頭來看一下圖3。在“Add Program(添加程序)”旁邊的下一個按鈕，寫著“Add Port(添加端口)”。點擊這個按鈕，將會出現類似圖6所示的窗口，這個窗口允許你添加一個基于TCP或者UDP端口號的防火墻例外處理規則。在“Add Port(添加端口)”頁面上，為特定的端口或者服務指定一個描述性的名字，實際的端口號，以及具體指定該例外是用于TCP端口，或者是一個UDP端口。而下邊這里就是你必須單獨提供的每個端口，如果你有很多端口需要打開的話，這個工作會非常的無聊乏味。

圖6 添加一個TCP或者UDP端口的例外

再重申一下，你可以使用“Chagne Scope(修改范圍)”按鈕來限制使用這個例外的通信發出點。具體的信息和圖5所示是一樣的。

回到Windows防火墻的屬 性頁面，注意一下“PropertIEs(屬性)”以及“Delete(刪除)”按鈕。如果你已經添加了自定義的程序，以及具體服務的相應端口，可以在必要時，使用“Delete(刪除)”按鈕來刪除掉相應的入口。而“Properties(屬性)”按鈕，則提供給你有關具體選中的服務的相應說明。

最后，要注意一下 Exceptions(例外)頁面底部的復選框。“Notify Me When Windows Firewall Blocks A New Program(當Windows阻止某個程序時通知我)”的復選框，可以讓你在一個新程序或者新服務試圖通過防火墻時讓你獲得相應的通知。論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等

在Windows防火墻設定屏幕上的最后一個頁面，則很明顯是提供了某些“高級”配置設定選項的。實際上，其實選項并不多。可用部分如圖7所示。

圖7 高級的Windows防火墻設定頁面

在這個頁面上的選項基本上都是一看就明白的，所以我這里就不一一贅述了。

到了這里，你可能會問你自己下面這幾個問題：

◆我該在哪里對ICMP設定進行配置呢?

◆為什么我看不到任何有關通往防火墻外部的配置規則?

這就是圖片中高級配置接口的所在。

Windows防火墻的高級安全

在Windows Vista之中的新東西是第二接口，被叫做“高級安全的Windows防火墻”(Windows Firewall with Advanced Security)。這個接口不是為了傳統的家庭用戶準備的，但是相對來說更具彈性，為一些水平較高的用戶提供了相關的能力，以便執行特別細微的Windows防火墻配置任務。

這個高級接口可以通過幾個不同的方法進行訪問：

◆通過控制面板： Start(開始) | Control Panel(控制面板) | Class View(傳統視圖) | Administrative Tools(管理工具) | Windows Firewall with Advanced Security(高級安全的Windows防火墻).

◆或者，執行下述步驟：

1. 進入“Start(啟動) | All Programs(所有程序) | Accessories(附件)”，然后選擇“Run(運行)”。

2. 在“Run(運行)”框中，輸入“MMC”，然后按下回車鍵。

3. 在微軟的管理控制臺窗口中，找到“File(文件) | Add/Remove Snap-in(添加/刪除快照).

4. 在“Add/Remove Snap-in(添加/刪除快照)”對話框中，如圖8所示，在可用的快照面板中，卷動窗口，直到“Windows Firewall with Advanced Security(高級安全的Windows防火墻)”。

圖8 Add/Remove Snap-in(添加/刪除快照)窗口。

5. 點擊“Add(添加)”按鈕。

6. 當被詢問要求選擇被快照所應當管理的電腦時，選擇本地電腦選項，然后按下“Finish(結束)”。

7. 按下“OK(確定)”。這會將你帶回MMC。

8. 按下Windows Firewall with Advanced Security(高級安全的Windows防火墻)旁邊的向下箭頭。這會打開防火墻的配置選項，并顯示當前的防火墻狀態。這個屏幕如圖9所示。

圖9顯示了Windows防火墻狀態的MMC

在這個主要的配置窗口，有大量的配置選項可用。我將在本文中對主要的幾點進行一下講述。首先，要注意Overview(概要)區域，這里提供給你很多和Windows防火墻相關的信息。

高級安全的Windows防火墻屬性窗口

第一個要留心的地方，就是防火墻的屬性窗口，可以通過Actions(動作)面板中的PropertIEs(屬性)鏈接進行訪問。注意這一點，在圖10中，Domain Profile(域文件)頁面被選中了。另外，也要注意Public Profile(公共文件)和Private Profile(私人文件)頁面都有和Domain Profile(域文件)頁面同樣的選項。

圖10 被打開的屬性頁面，Domain Profile頁面被選中了

在繼續朝下講之前，現在是解釋一下不同Profile之間區別的好時候。

◆Domain Profile:(域文件) 在這個Profile中提供的選項，是當電腦連接某個共同域時所強制執行的選項。論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等

◆Private Profile:(私人文件) 在這個Profile中提供的選項，是當電腦連接某個私人網絡時所強制執行的選項

◆Public Profile:(公共文件) 在這個Profile中提供的選項，是當電腦連接某個公共網絡時所強制執行的選項。

在任何一個Profile文件頁面，都可以執行很多任務：

◆通過點擊“Firewal state(防火墻狀態)”按鈕，啟用或者禁止防火墻。

◆確認進入方向的連接應當被如何處理。你的選擇有：

1. Block(禁止，這是默認的)： 根據你預先定義好的通信規則，對進入方向的通信進行阻擋。

2. Block all connections(阻擋所有連接): 阻擋所有進入的通信，而不管防火墻規則如何。

3. Allow(允許): 允許所有的通訊都穿越防火墻。

◆確定如何處理外出的連接;你的選擇是允許或者阻擋。這里沒有阻擋所有(blocking all)的選項。

◆通過按下Settings(設定)旁邊的“Customize”(自定義)按鈕，來自定義Windows防火墻的行為。

◆通過按下Logging(記錄)旁邊的“Customize”(自定義)按鈕，來自定義Windows防火墻該如何處理記錄。論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等在圖11中所示的屏幕，展示了當你按下屬性頁面中的Setting(設定)區域的Customize(自定義)按鈕之后是怎樣的。在這個屏幕上，決定了你將如何處理防火墻的通知，以及是否在多播/廣播通信允許的情況下進行回應。

圖11 在選定profile下的自定義設定

如果你想修改記錄選項(logging)，點擊窗戶底部的“Customize(自定義)”按鈕。你會看到類似圖12這樣的一個窗口。

圖12 在選定profile下的自定義記錄(logging)設定

在這個窗口中，使用“Browse(瀏覽)”按鈕來選擇防火墻記錄文件的存放路徑以及文件名。這里也可以定義最大的記錄文件尺寸，并指出是否打算記錄丟棄的數據包以及(或者)成功的連接。如果你記錄了太多信息的話，你的記錄文件可能會迅速變得很笨重而難以處理。

回到屬性頁面，唯一和其他不一樣的頁面，是IPsec設定頁面，如圖13所示。

圖13 Ipsec設定頁面

這個屏幕上沒多少東西。在這里，你可以呼出更多的IPsec實質配置窗口，如圖14所示。你也可以選擇是否從Ipsec中排除ICMP數據包。這么做，可以簡化你的網絡調試，因為它將IPsec的層面從等式中去除了。

圖14 更多的防火墻IPsec配置自定義

在圖14中所示的選項是真實的，在IPsec的配置之下的東西。在這里，你可以對你的key交換模式，數據保護模式，以及認證方式等進行配置。注意，每一個選項都提供了“默認(Default)”的一個設置，就像其他可以選擇的選項一樣。每一個選項同樣也提供了一個“Advanced(高級)”選擇。當你選擇了一個高級選項時，相關的“Customize(自定義)”按鈕就可用了。當你按下其中的一個自定義按鈕之后，你看到的選項，將允許對IPsec配置進行非常細微的配置。每一個高級選項窗口都如下面的圖15，圖14，和圖15所示。

圖15 在Windows防火墻中可用的高級IPsec key交換選項

圖16 高級IPsec數據保護選項

圖17 高級認證模式窗口，以及其他認證選項

Windows Vista的開發花費了很長的時間，而在其他操作系統中凡是看得到的功能，幾乎都改頭換面出現在了Vista之中。在Vista中的Windows防火墻就是這個變化部分的其中之一。

其他Windows防火墻配置設定

注意，你現在已經看過了Windows防火墻屬性頁面，讓我們來看一些其他用戶接口的成分?？匆谎蹐D9。我將從主配置窗口左手邊的選項來開始。

◆Inbound Rules:進入規則 允許你設定規則，以控制Windows防火墻到底如何處理進入方向的通信。

◆Outbound Rules:外出規則 允許你設定規則，以控制Windows防火墻到底如何處理外出方向的通信。

◆Connection Security Rules:連接安全性規則 使用IPsec來對同樣使用Windows防火墻的兩臺電腦之間的通信進行加密，或者對使用一個兼容IPsec策略的兩臺電腦通信進行加密。我在本文中不會對這些種類的規則說的太多。

◆Monitoring:監控 監控選項給了你一種方法，讓你可以查看你的防火墻正在做什么。本文中我也不會對監控方面講述太多。

Inbound Rules(進入規則)

Windows防火墻一般總是有能力對進入的通信進行阻擋。不過，在高級配置視圖之中，Windows防火墻對那些了解如何配置服務的人們來說，顯然更具有彈性。圖18讓你可以看一下防火墻管理接口的進入規則部分。

圖18 Windows防火墻進入規則列表

注意，在窗口的中間列出的每一個規則旁邊，都有一個灰色或者綠色的選中標記。一個綠色的選中標記，表明該規則是被啟用的，而一個灰色的選中標記則表明該規則被定義了，但是沒有被啟用。要啟用或者禁止一個現存的規則，右鍵點擊該規則，然后選擇“Enable Rule(啟用規則)”或者“Disable Rule(禁用規則)”。

在Windows防火墻中，有一定數量的重要進入規則可以使用。要注意，如圖10所示，每一個單獨的規則僅管理一個特定的服務方面。舉例來說，有很多的規則名字都以“Core Networking(核心網絡)”作為開頭。每一個規則都管理著一個非常特定的程序或者協議;舉例來說，一個規則可能僅允許通過TCP25端口進入的SMTP連接。所有的核心網絡管理規則都是啟用 的，因為沒有了他們，你的電腦可能都不能正常工作。如果你打算特別加強你的Vista工作站，你也可以禁用某些規則。規則中的許多是特定版本的傳輸協議。這就是說，某些規則是為了Ipv4，某些規則則是特別為了Ipv6的，而不是一個規則同時為兩者服務的。如果你在你的網絡中沒有使用Ipv6，你可以禁用所有面向Ipv6的規則。

Outbound Rules:外出規則

外出規則選項看起來和圖10所示的進入規則屏幕差不多，工作方式也是一樣的。我們很快會看一下如何建立新規則。

Windows防火墻給予你相應的能力來根據許多規范建立的進入和外出的規則，包括通過特定程序的管理，或者基于TCP/UDP端口的管理。要添加一個新規則，要么選擇進入規則，或者外出規則(根據你自己的需要)，然后在MMC中選擇新規則選項(New Rule option)。這會開始一個精靈，然后帶你進入規則建立進程。

如圖19所示，精靈的第一個屏幕，要求你決定打算建立何種規則。就本例而言，我將建立一個自定義規則，以示范最普遍的可能性。

圖19 選擇你打算建立的規則種類

在精靈的第二個頁面，選擇新規則需要限制的程序和服務。你可以選擇新規則對所有運行的程序和服務有效(這意味著該規則對所有的連接都有效，而不是僅僅針對特定程序或者服務的連接)，或者，僅對某個特定的程序或者服務生效。

論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等)h M6]8J'x;J'o$w:Z

圖20顯示了如何對特定的程序限定相應的規則。如果你打算對某個特定的服務限定規則，點擊“Customize(自定義)”按鈕。在圖21中所示的屏幕，顯示了你可以對所有的程序和服務都應用該規則，或者僅對服務應用，或者對從列表中選擇的某個服務應用，或者是對你在窗口底部的對話框 中所輸入簡短名稱的某個服務生效。

圖20 該規則將對哪個程序或者服務進行限定

圖21 該規則應當覆蓋哪個服務?

就我的示例而言，我將該規則應用于所有的程序和服務。

精靈的第三個頁面，如圖22所示，要求你提供應當被用于本規則的具體協議和端口。

圖22 該規則將處理哪個協議和端口

這個屏幕在以下區域中要求提供相應信息

協議種類

可用的協議類型如下所示：

◆HOPOPT (IPv6 Hop-by-Hop Option)

◆ICMPv4

◆ICMPv6論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等

◆IGMP

◆TCP

◆UDP

◆IPv6

◆IPv6-Route

◆IPv6-Frag

◆IPv6-NoNxtIT

◆IPv6-Opts

◆GRE

◆PGM

◆L2TP論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等

本地端口

本地端口選項僅當你在為協議種類選擇了TCP或者UDP之后才可以使用。一個本地端口是在運行Windows防火墻的電腦上所使用的端口。

本地端口可用的選項有：

◆All ports(所有端口)論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等

◆Specific ports(特定端口

◆Dynamic RPC(動態RPC)

◆RPC Endpoint Mapper(RPC端點映射)

◆Edge Traversal(邊緣穿越)

遠程端口

論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等遠程端口選項僅當你在為協議種類選擇了TCP或者UDP之后才可以使用。一個遠程端口，指的是試圖和你本地電腦進行通信的遠方電腦上所用的端口。

對遠程端口，你可以使用“All Ports(所有端口)”，也可以使用“Specific Ports(特定端口)”。

互聯網控制信息協議(ICMP)設定

如果你在協議類型中選擇了ICMP選項之一，那么該選項旁邊的Customize(自定義)按鈕就會變得可用。點擊此按鈕，會打開如圖23所示的ICMP自定義設置窗口。在該屏幕上，你可以選擇將該規則適用于所有的ICMP類型，或者僅僅適用于特定的ICMP類型。

圖23 自定義ICMP設定窗口

精靈的下一個頁面，如圖24所示，將詢問你新規則的本地和遠程IP地址(范圍)。而范圍可以被適用于進出的所有通訊規則，這樣滿足了預先定義范圍的通訊都將被適用該規則，就像其他規則所做的那樣。

圖24 該規則對應的IP地址是什么?

一旦你已經在一個將要生效的規則下定義了具體參數，就需要決定當有事件滿足條件時應當做些什么。如圖25所示，你有3個選項：

◆Allow The Connection(允許連接),無論該連接是否啟用了IPsec。

◆Allow The Connection Only If It Is Secured By IPsec(僅允許被IPsec保護的連接). 你也可以在這里為了額外的安全而選擇子選項。如果你選擇了它，你必須同時指定用戶或者電腦如何確定可信任的連接。

◆Block The Connection(阻止該連接)。

圖25 當滿足條件時，應當采取什么行動?

對于最后的精靈頁面，我這里就不放出屏幕圖形了。最后倒數一二個頁面，Profile，會要求你選擇具體哪個Profile——domain(域)，Private(私人)，或者Public(公共) ——將被應用新規則? 精靈的最后一個屏幕要求你為新規則命令，另外，也可以輸入一個說明性的詳細描述。

當你完成了建立新規則后，它將會顯示在主要防火墻配置窗口的規則列表中

缺點

毫無疑問，說到客戶級別的保護方面，Windows防火墻，從能力方面而言，足以和那些大人物們同行。但是，還有兩點值得提起，因為它們讓Vista的新防火墻還不夠完美。

◆外出監控默認狀態下是不啟用的：這意味著用戶可能會被誤導，認為他們現在的電腦和使用Windows XP的時期相比，“得到了更好的保護”。

◆一個相當復雜的高級管理接口：一般的家庭用戶將沒有能力來管理這個服務。的確，一個家庭用戶在使用基本接口時將很少有困難，但是基本接口并沒有提供一個啟用外出監控的方法，也沒有提供任何在高級配置中所提供的細微管理功能。除非微軟可以特別簡化高級防火墻接口，否則家庭用戶將享受不到防火墻中所提供的全新技術功能。

論壇介紹關于IT界的最新新聞，全方位介紹最新軟件，并提供用戶交流經驗和技巧的平臺等

一次主要升級

在Windows Vista之中所提供的防火墻，和微軟先前聲稱要努力建立的牢固防火墻而言，還存在相當的距離。但就它的雙向保護能力，超級細微的管理選項，以及很寬的配置參數而言，它同樣也不能被算做一無是處。