Windows Vista防火墻全攻略(中)

作者： ZDNet China

Windows Vista防火墻安全攻略(下)

Windows防火墻的高級安全

在Windows Vista之中的新東西是第二接口，被叫做“高級安全的Windows防火墻”（Windows Firewall with Advanced Security）。 這個接口不是為了傳統的家庭用戶準備的，但是相對來說更具彈性，為一些水平較高的用戶提供了相關的能力，以便執行特別細微的Windows防火墻配置任務。

這個高級接口可以通過幾個不同的方法進行訪問：◆通過控制面板： Start（開始） | Control Panel（控制面板） | Class VIEw（傳統視圖） | Administrative Tools（管理工具） | Windows Firewall with Advanced Security（高級安全的Windows防火墻）.◆或者，執行下述步驟：

1. 進入“Start（啟動） | All Programs（所有程序） | Accessories（附件）”，然后選擇“Run（運行）”。2. 在“Run（運行）”框中，輸入“MMC”，然后按下回車鍵。3. 在微軟的管理控制臺窗口中，找到“File（文件） | Add/Remove Snap-in（添加/刪除快照）.”4. 在“Add/Remove Snap-in（添加/刪除快照）”對話框中，如圖H所示，在可用的快照面板中，卷動窗口，直到“Windows Firewall with Advanced Security（高級安全的Windows防火墻）”。

圖H Add/Remove Snap-in（添加/刪除快照）窗口。

5. 點擊“Add（添加）”按鈕。6. 當被詢問要求選擇被快照所應當管理的電腦時，選擇本地電腦選項，然后按下“Finish（結束）”。7. 按下“OK（確定）”。 這會將你帶回MMC。8. 按下Windows Firewall with Advanced Security（高級安全的Windows防火墻）旁邊的向下箭頭。 這會打開防火墻的配置選項，并顯示當前的防火墻狀態。 這個屏幕如圖I所示。

圖I 顯示了Windows防火墻狀態的MMC

在這個主要的配置窗口，有大量的配置選項可用。 我將在本文中對主要的幾點進行一下講述。 首先，要注意Overview（概要）區域，這里提供給你很多和Windows防火墻相關的信息。

高級安全的Windows防火墻屬性窗口

第一個要留心的地方，就是防火墻的屬性窗口，可以通過Actions（動作）面板中的PropertIEs（屬性）鏈接進行訪問。 注意這一點，在圖J中，Domain Profile（域文件）頁面被選中了。 另外，也要注意Public Profile（公共文件）和Private Profile（私人文件）頁面都有和Domain Profile（域文件）頁面同樣的選項。

圖J 被打開的屬性頁面，Domain Profile頁面被選中了

在繼續朝下講之前，現在是解釋一下不同Profile之間區別的好時候?！鬌omain Profile:（域文件） 在這個Profile中提供的選項，是當電腦連接某個共同域時所強制執行的選項?！鬚rivate Profile:（私人文件） 在這個Profile中提供的選項，是當電腦連接某個私人網絡時所強制執行的選項?！鬚ublic Profile:（公共文件） 在這個Profile中提供的選項，是當電腦連接某個公共網絡時所強制執行的選項。

在任何一個Profile文件頁面，都可以執行很多任務：◆通過點擊“Firewal state（防火墻狀態）”按鈕，啟用或者禁止防火墻?！舸_認進入方向的連接應當被如何處理。 你的選擇有：

1. Block（禁止，這是默認的）： 根據你預先定義好的通信規則，對進入方向的通信進行阻擋。2. Block all connections（阻擋所有連接）: 阻擋所有進入的通信，而不管防火墻規則如何。3. Allow（允許）: 允許所有的通訊都穿越防火墻。

◆確定如何處理外出的連接；你的選擇是允許或者阻擋。 這里沒有阻擋所有（blocking all）的選項?！敉ㄟ^按下Settings（設定）旁邊的“Customize”（自定義）按鈕，來自定義Windows防火墻的行為?！敉ㄟ^按下Logging（記錄）旁邊的“Customize”（自定義）按鈕，來自定義Windows防火墻該如何處理記錄。

在圖K中所示的屏幕，展示了當你按下屬性頁面中的Setting（設定）區域的Customize（自定義）按鈕之后是怎樣的。 在這個屏幕上，決定了你將如何處理防火墻的通知，以及是否在多播/廣播通信允許的情況下進行回應。

圖K 在選定profile下的自定義設定

如果你想修改記錄選項（logging），點擊窗戶底部的“Customize（自定義）”按鈕。 你會看到類似圖L這樣的一個窗口。

圖L 在選定profile下的自定義記錄（logging）設定

在這個窗口中，使用“Browse（瀏覽）”按鈕來選擇防火墻記錄文件的存放路徑以及文件名。 這里也可以定義最大的記錄文件尺寸，并指出是否打算記錄丟棄的數據包以及（或者）成功的連接。 如果你記錄了太多信息的話，你的記錄文件可能會迅速變得很笨重而難以處理。

回到屬性頁面，唯一和其他不一樣的頁面，是IPsec設定頁面，如圖M所示。

圖M Ipsec設定頁面

這個屏幕上沒多少東西。 在這里，你可以呼出更多的IPsec實質配置窗口，如圖N所示。你也可以選擇是否從Ipsec中排除ICMP數據包。 這么做，可以簡化你的網絡調試，因為它將IPsec的層面從等式中去除了。

圖N 更多的防火墻IPsec配置自定義

在圖N中所示的選項是真實的，在IPsec的配置之下的東西。 在這里，你可以對你的key交換模式，數據保護模式，以及認證方式等進行配置。 注意，每一個選項都提供了“默認（Default）”的一個設置，就像其他可以選擇的選項一樣。 每一個選項同樣也提供了一個“Advanced（高級）”選擇。 當你選擇了一個高級選項時，相關的“Customize（自定義）”按鈕就可用了。 當你按下其中的一個自定義按鈕之后，你看到的選項，將允許對IPsec配置進行非常細微的配置。 每一個高級選項窗口都如下面的圖O，圖P，和圖Q所示。

圖O 在Windows防火墻中可用的高級IPsec key交換選項

圖P 高級IPsec數據保護選項

圖Q 高級認證模式窗口，以及其他認證選項

Windows Vista防火墻安全攻略(下)