早在Windows 2000系统的扩展工具包中就出现了ICF(Internet Connection Firewall)工具,通过它可以配置网络数据包的传入规则,但是在Windows 2000中这个ICF工具没有内置到系统中。因此说起Windows系统自带的防火墙要追溯到XP系统,在XP和XP SP1系统中内置了一个名为Internet Connection Firewall的组件,它提供了基本的包过滤功能,这就是系统防火墙的前身。
到了XP SP2发布后这个ICF就名正言顺地成为了Windows Firewall,在使用上也有了明显的改进,设置上更加图形化,对进入系统的数据提供了拦截审查的功能。而接下来的Windows Server2003系统中同样提供了内置防火墙功能,在使用和效果上和XP SP2一样。不过这种防火墙只能够对进入系统的数据进行过滤,在防护效果上略显不足。因此,实际使用中,大部分用户依然需要安装其他工具来加强安全防范效果。
然而,以上安全问题都随着Vista的诞生而解决。那么,Vista系统中的内置防火墙在功能和安全效果上又有哪些改进呢?首先Vista系统防火墙提供了两种模式以及双向过滤,并在应用规则和应用策略上有了比较明显的改进。可以丝毫不夸张地说,在某种程度上用户已经可以不用安装任何第三方防火墙工具而仅仅使用Vista系统内置的防火墙来实现安全防范功能了。
一、双模式:初、高级用户通吃
在Vista防火墙中提供了两种设置模式,依次为简单模式和高级模式。这适合两种不同类型的用户。
1.简单模式
Vista防火墙在简单模式下和Windows xp SP2的防火墙没有什么区别,这种模式适合初级用户使用的,通过Vista防火墙的简单模式可以在操作者没有任何安全技术知识的情况下实现对系统的有效保护。
防火墙简单模式的打开是通过Vista系统中“控制面板”来实现的,进入“控制面板”选择“安全”选项。接下来在“安全”设置窗口中点“Windows防火墙”(见图1)。这样我们就启动了Vista系统防火墙的简
单模式。开启关闭以及添加简单过滤规则的方法和XP SP2中的防火墙一样。
2.高级模式
在简单模式中我们还看不出Vista防火墙的强大,而在高级模式下,它能设置的过滤规则防范手段不输于任何第三方防火墙软件。
进入Vista防火墙高级模式的方法很多,笔者介绍常用的一种。进入Vista系统桌面,通过“开始”菜单运行gpedit.msc进入到Vista系统的组策略设置窗口。我们依次打开“本地计算机策略→计算机配置→Windows设置→安全设置→高级安全Windows防火墙→高级安全Windows防火墙→本地组策略对象”。这里就是Vista防火墙的高级模式配置界面了(见图2)。在高级模式中我们可以随意定义防火墙的过滤规则。
小提示:在Vista中进入系统关键组件需要通过UAC认证,所以在访问防火墙高级模式时也需要系统管理员允许操作者通过UAC验证。所谓UAC验证就是在Vista系统中添加的针对安全的功能,当进行一些修改系统参数的操作时,Vista会提示输入具备管理员权限的账号和密码进行UAC验证,通过认证才能继续进行修改设置等操作。
双向过滤:没人敢说不专业
技术点评:Vista防火墙引入的双模式是针对不同用户群的,其中简单模式是方便普通用户使用和配置防火墙的,而高级模式则是给那些对安全要求比较高或者对网络访问流量要求比较苛刻,需要自己定义详细规则的用户。在高级模式下用户可以对防火墙的具体规则进行详细的设置。例如针对某个程序,某个端口以及某个ip地址段进行规则设置。高级模式是Vista防火墙的精华所在,它已具备第三方专业防火墙软件应有的功能。 二、双向过滤:没人敢说不专业
除了上面提到的双模式特色外,在Vista系统防火墙中还首次引入了双向过滤的功能。这也是专业级防火墙的基本特征。 这种双向过滤功能只存在于高级模式中,要设置双向过滤首先要进入Vista防火墙的高级模式。在高级模式中我们会看到对应的“出站规则”和“入站规则”选项,其中“入站”是针对外界到本机的数据包进行的过滤规则,而“出站”则是针对本机到外界的数据包进行过滤规则。“出站”方向的过滤在以往的Windows防火墙中是没有的(见图3)。我们还可以像设置“入站规则”一样针对某个程序、某个端口以及某个IP地址段在“出站”规则方面进行设置。
小提示:所谓入站和出站都是针对网络数据流向而言的,入站就是网络数据包从外界传输到本机系统的方向,相应的出站就是网络数据包从系统向外部网络传输的方向。
要知道在以往的系统防火墙中,不管是ICF还是XP SP2的防火墙甚至是Windows Server 2003的防火墙都是基于单方向过滤规则进行设置的,所谓单方向就是指防火墙只能够对从外界到本机的数据包进行过滤,而无法对从本机发送到外界的数据包添加任何过滤规则。
这种单向过滤的特点使得一旦本机系统因为某种原因感染病毒或木马,那么系统防火墙将对这些发自于系统内部的非法连接和非法传播没有任何办法。特别是当系统感染蠕虫病毒后,会发送很多个会话连接进行传播时,单向防火墙将对这种从内到外的数据视而不见,最终造成防火墙在“内鬼”面前形同虚设。所以说这种单向过滤的特点造成了以前版本的防火墙无法得到用户认同,无法保证系统的真正安全,很多用户都无奈地选择安装另外一款防火墙来抵御攻击。
不过这种问题在Vista防火墙高级模式中的双向过滤功能下迎刃而解,我们可以禁止非法程序“出站”访问,这样即使本机即使感染了病毒也能够将病毒对本机和网络的危害降到最低。
技术点评:Vista防火墙的双向过滤功能实际上相当于将其传统防火墙的功能提高了一倍,在安全防范和抵御病毒入侵方面表现得更加出众,正是因为这种双向过滤使得Vista防火墙成为了真正的专业防火墙。
三、多场合功能:将专业功能智能化
除了双模式和双向过滤功能外,Vista防火墙还提出了“防火墙应用的多场合”概念。这个功能大大提高了Vista防火墙的智能化,可以在不同场合帮助用户应用不同级别的过滤规则。所有规则切换都是自动完成的。这种“防火墙应用的多场合”概念同样需要我们到“高级模式”中进行设置才能体现。
1.安全协议连接与非安全协议连接规则的自动切换
在高级模式设置规则中我们会看到在“连接符合指定条件时应该进行什么操作”设置时可以选择该规则应用的场合。例如当网络使用IPSEC等安全的协议连接时,可以设置为对这些程序如何操作或者不管什么情况都阻止该程序的数据通过防火墙,也可以设置“容许连接”让这些程序可以顺利通过防火墙的过滤。这样我们就可以实现基于安全协议与非安全协议连接网络时应用不同过滤规则的功能了。
小提示:所谓IPSEC安全协议连接是指通过专门的IPSEC协议或者基于IPSEC的VPN加密传输机制来实现网络数据包的加密传输,通过IPSEC安全协议加密过的网络连接更加安全,可以让我们更放心大胆地使用网络。
2.不同网络状态规则的自动切换
在高级模式设置规则中我们会看到在“何时应用该规则”时有多个网络环境提供给我们选择,依次是域网络、专用网络和公用网络。这三种网络环境的共享标准是不同的,需要我们单独设置。而在防火墙中也可以让我们实现在不同网络环境下的规则自动切换功能,总之通过此功能可以将一道防火墙当三道来用,每种网络环境有各自的安全规则。
传统的防火墙无法对不同的网络环境与连接类型采用进行规则的单独设置,这就造成了用户使用的笔记本电脑在家中访问公网和单位访问私网采用的过滤规则相同的问题,在单位设置好过滤规则后回到家中却忘记了修改设置,从而造成在公网访问下容易被病毒等恶意程序入侵的问题。
Vista防火墙这种对不同网络环境和连接类型可以自动采用不同规则的功能更加人性化,可以使用户的笔记本电脑从单位回到家中访问公网时实现规则的自动切换,将原本应用于单位私网访问的安全规则更换为应用于家中公网访问的安全规则。
技术点评:不同场合自动切换不同规则是Vista防火墙的一大特点,所有更换过滤规则的操作都是在用户没有干预的情况下自动完成的,从而提高了系统的安全性,免去了用户频繁修改防火墙设置的繁琐工作。
四、专家总结
从本文中我们可以看出Vista防火墙在功能和设置上和以往Windows系统的防火墙有很大差别的。两种模式的引入方便了用户设置;双向过滤功能的引入让系统防火墙以一敌二;多场合自动切换过滤规则的功能又让我们的防火墙可以以一当三,从某种意义上我们不得不佩服微软的技术,通过几项改进让原本无法担当重任的系统防火墙瞬间成为了安全防护的卫士,如今的Vista防火墙名正言顺的变成了“铜墙铁壁”。
预测:“Vista服务器版”将采用新型防火墙
不管怎么说Vista防火墙的大幅度改进是有目共睹的,从Vista防火墙的特点我们可以看出微软防火墙未来的发展趋势。首先是将用户分开,未来微软防火墙会更加体现多模式的特点,将用户分成多个级别,从普通到专业,针对不同级别的用户提供不同功能的防护。另外还将继续发挥人性化设置,引入更多方便用户的特色,提供更多的自动设置功能。另外,我们认为未来将要发布的与Vista对应的服务器版操作系统也将采用在功能上和Vista系统十分类似的防火墙;就好比XP SP2和Windows Server 2003使用同一功能的防火墙一样。