全面接触 深入认识Vista防火墙

一、Windows防火墙

 
图1 Vista防火墙控制面板窗口(点击看大图)

　　如图1所示，这是Windows Vista的防火墙控制面板窗口，可以在这里看到Windows防火墙已被启用，同时被设置为阻止程序时显示通知，网络位置是“专用网络”，如果需要更改设置的话，可以单击“更改设置”按钮，然后会打开图2所示的设置窗口，你可以根据自己的需要进行更改：

 
图2  Vista防火墙设置

　　1.常规

　　可以设置是否需要暂时关闭防火墙的保护，假如希望防火墙阻止所有程序，请勾选“阻止所有传入连接”复选框，这个设置在连接到机场或旅馆的公用网络时比较实用，当然此时你仍然可以浏览大多数网页、发送和接收电子邮件、发送和接收即时消息。

　　2.例外

　　可以添加允许通过防火墙进行通信的例外控制程序，这里已经自动设置了若干的“例外”项目，如果需要添加新的项目，可以单击“添加程序”按钮，在这里通过“浏览”按钮指定需要添加的程序。默认设置下，所添加的程序被设置为任何计算机都可以使用，如果你需要进行适当的限制，那么可以单击“更改范围”按钮，在这里选择“仅我的网络(子网)(M)”或者“自定义列表”。设置完成后单击两次“确定”按钮返回“例外”选项卡。

　　3.高级

　　如果你的计算机上设置了多个网络连接，那么可以在“高级”选项卡选择希望Windows防火墙保护的某个连接，取消“本地连接”前面的对勾就可以了。如果希望将入站连接的防火墙规则恢复至初始安装时的状态，可以在这里单击“还原为默认值”按钮，然后会弹出一个提示框，确认后即可生效。

　　教你一招：让防火墙更智能

　　按下“Win+R”组合键打开运行对话框，在这里手工输入“gpedit.msc”进入组策略对象编辑器，依次展开到“计算机配置→管理模板→Windows组件→Windows Defender”，然后双击右侧窗格中的“启用记录已知的正确检测”，选择“已启用”，这样可以让Windows Defender检测已知的正确文件，Windows防火墙在实时保护期间会启用记录检测数据；接下来，请再次双击打开“启用记录未知检测”对话框，同样将其设置为“已启用”。

 
二、启用高级防火墙
　　我们已经提到了Windows防火墙，不过这只是一个功能比较简陋的防火墙，可以将其称为“边界防火墙”，对于有着更高安全需求的用户来说，恐怕这个防火墙是远远不能满足他们需要的。其实，Vista还为我们提供了一个高级安全Windows防火墙，这是一种“状态防火墙”，启用后会检查并复选IP版本4(IPv4)和IP版本6(IPV6)流量的所有数据包，默认情况下会阻止传入流量，除非是对主机请示的响应，或者被特别允许(即创建了防火墙规则并得到了允许)，同时还可以请示或要求计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或加密。

　　既然是高级安全Windows防火墙，自然不可能轻易的提供给普通用户使用，你会发现无论是在开始菜单还是在控制面板中，都不会找到这个组件，正确的方法是按下“Win+R”组合键打开运行对话框，在这里键入“mmc”进入控制台窗口，从文件菜单中执行“添加/删除管理单元”，或者按下“Ctrl+M”组合键，在弹出的对话框中找到“高级安全Windows防火墙”，如图3所示，在这里选中“高级安全Windows防火墙”，单击中间的“添加”按钮，或者直接双击，此时会弹出一个对话框，如请直接选择“本地计算机(运行此控制台的计算机)”，然后单击右下角的“完成”按钮。

 
图3 添加删除高级安全Windows防火墙(点击看大图)

　　返回主界面，展开“本地计算机上的高级安全Windows防火墙”，或者我们也可以在“开始”菜单的“开始搜索”框输入“防火墙”，然后在搜索结果栏直接单击“高级安全Windows防火墙”，就可以进入如图4所示的管理单元窗口，这是一个我们非常熟悉的MMC 3.0窗口，共分为三个窗格：

 
图4 高级安全Windows防火墙管理窗口(点击看大图)

　　控制台树：功能类别，每个类别都可以进一步展开。

　　详细窗格：列出每个功能类别及其分支的详细信息，“专用配置文件是活动的”表示当前连接的网络是“专用”网络。

　　操作窗格：可以对每个功能类别及其分支进行具体的操作。

三、配置高级防火墙

　　Windows Vista的防火墙配置文件一共有三个，分别是域配置文件、专用配置文件和公用配置文件，这样我们可以根据不同的网络位置，选择相应的配置，从而为用户提供了更多的选择。

　　右击“本地计算机上的高级安全Windows防火墙”，从快捷菜单中打开属性窗口，如图5所示，这里提供了三种不同的防火墙配置文件，请根据实际情况进行选择：

 
图5 配置高级安全Windows防火墙

　　域配置文件：计算机连接到其帐户所在的网络时的行为。

　　专用配置文件：计算机连接到不包括其域帐户的网络时，例如家庭网络。

　　公用配置文件：由于计算机所连接的公用网络无法像IE环境中一样严格控制安全，因此从这个意义上来说，公用配置文件的设置应该最为严格。

　　默认设置下，前面所提到的三种防火墙的配置文件都是允许出站连接、阻止入站连接，如果没有更改配置文件的设置，那么只要具有高级安全性的Windows防火墙使用这些配置文件，都会应用其默认值。在尽可能的情况下，建议全部选择“启用”，当然你对于控制Windows防火墙的行为，可以通过“自定义”进行设置，具体选项这里就不多介绍了，感兴趣的朋友可以查看有关的技术文档或帮助文件。

四、防火墙设置实例

　　Windows防火墙默认阻止所有的入站连接，便默认允许所有的出站连接，如果我们需要阻止Windows Live Messenger登录到服务器，可以按照下面的步骤进行设置。

　　第1步：在左侧的控制台树定位到“出站规则”，如图6所示。

 
图6 设置出站规则(点击看大图)

　　第2步：在右侧的“操作”窗格中单击“新规则”，此时会打开“新建出站规则向导”的对话框，如图7所示，选择“程序”，单击“下一步”按钮继续。

 
图7 创建规则类型(点击看大图)

　　第3步：选择“此程序路径”，单击后面的“浏览”按钮，指定Windows Live Messenger所在的路径，单击“下一步”按钮继续。

　　第4步：接下来，规则向导会询问符合指定条件时所选择的操作，请选择“阻止连接”，单击“下一步”按钮继续。　

　　第5步：选择配置文件，我们可以只选择域、专用、公用等三种网络位置中的一种，也可以全部选择。

　　第6步：指定这条规则的名称和描述信息，随便写一些就是了，最后单击“完成”按钮，如图8所示。

 
图8 新建出站规则(点击看大图)

　　现在，我们再次运行Windows Live Messenger，登录时会出现无法登录的错误信息，如图9所示。

 
图9 Windows Live Messenger出错提示

　　单击“疑难解答”按钮，软件会执行错误诊断，最后的结果当然是与防火墙有关，如图10所示。

 
图10 执行错误诊断

　　在左侧的控制台树中选择“监视”，我们可以在中间的“详细窗格”中查看到监视设置的具体内容，例如程序被阻止时会显示通知、本地防火墙规则和本地连接安全规则都已经被应用。
希望可以帮助到大家。
本文章有天津青创IT外包服务中心撰写。