Vista防火墙的高级设置
建立自定义的MMC
要想查看高级设置内容,用户需要建立一个自定义的MMC。以下是建立方法:
1.点击 Start Programs Accessories 然后选择 Run.
2.在运行栏中键入 mmc.exe 。用户也许需要输入管理权证书或点击进行运行程序认证。
3.进入MMC后,点击File Add/Remove Snap-in.
4.在Available Snap-ins列表中向下动并选择Windows Firewall With Advanced Security。双击或者选中它然后点击Add 按钮。
5.在Select Computer对话框,选择默认(Local Computer)然后点击Finish。
6.在Add/Remove Snap-ins对话框中点击OK。
现在用户扩展左侧的树状列表,就会在右侧看到Vista 防火墙的高级设置页面了。
Vista可定制多种配置
在Vista中,用户可以为防火墙定制多种配置,比如适合企业域的网络配置(用户的笔记本可以在公司域中登录或登出),或者适合家庭的网络 配置(比如家庭点到点的网络),又或者是适合公众网络环境的配置(比如在机场酒店连接到公开的WI-FI网络)。每种配置都是相互独立的。 因此,当用户处于企业网络中时,甚至可以关闭Vista的防火墙,因为企业网络中基本上都带有更高级的防火墙,而在连接到家庭网络或者公众 无线网络时,则可以及时打开防火墙。
要改变各种配置,用户可以通过Windows Firewall Properties进行设置。在其中的Domain, Private, 以及 Public Profile选项卡中,用户可 以开启或关闭防火墙,还可以对发送以及接收到的连接请求进行屏蔽或通过。在这三种配置中,默认均为发送连接可以通过,接收到的连接请 求则被拒绝(允许例外)。用户也可以将所有连接均设为屏蔽,包括例外列表中的程序。(每种配置选项 卡中的内容都一样)
通过Customize按钮,用户可以对每个配置进行更个性化的调整。比如用户可以设置当接收到的连接请求被拒绝时,系统发出警报信息,还可以 设置是否接收多播或广播时产生的unicast响应。另外,用户还可以在配置项目中设置日志选项(可以对丢包或成功连接等情况进行记录)。
一旦用户设置好每种配置以及IPSec属性,就可以进行下一步有关计算机连接安全方面的设置了,这个设置用来决定何时以及如何在两台电脑间(或一组电脑间)建立安全连接。要进行相关设置,用户需要右键点击控制台面板左侧的Computer Connections Security并选择New Rule。这 一步会开启New Connection Security Rule Wizard,即新连接安全规则向导,用户可以在如下类别中选择规则类型:
·Isol ATI on: 基于域成员或系统健康状态等标准的受限制连接。
·Authentication exemption: 可以指定某些电脑与本机连接不需要认证。
·Server to server: 指定某些电脑之间的连接不需要认证。
·Tunnel: 该规则用于在网关系统间进行连接认证。
·Custom: 如果以上规则没有适合的,用户可以自定义规则。
下一步是提供规则所需的条件。比如当用户建立了一个自定义规则,就需要指定终点,终点包含了一台或者一组电脑。用户可以通过IP地址或 者地址范围对一台以及多台电脑进行设定,用户还可以将一个预先确定的地址作为终点之一,比如默认网关,DNS服务器,DHCP服务器或者本地 子网。
对于一些规则类别,用户需要确立规则条件。比如:
·用户可以要求对全部发送和接收的连接进行验证,这意味着在任何情况下都要使用认证,但这并不是必须的。
用户可以要求对发送的连接进行认证或者对接收的连接请求进行认证。没有通过认证的接收到的请求将被屏蔽,而发送的连接请求也会被 验证。
·用户可以要求同时对接收和发送的连接进行认证。没有认证的连接均被拒绝。
·用户也可以选择对于任何连接均不需要认证。
接下来,用户需要选择认证方式,这一点和上面介绍的IPSec属性配置项目非常类似(取决于用户创建的规则类别)。
最后,用户需要选择当前的规则适用于哪种防火墙配置,并为这个规则命名,并填写介绍(可选)。用户建立的规则将出现在页面中央部分。
用户可以通过配置或状态(启用/禁用)过滤规则。因此,用户可以只显示当前配置下的安全规则,或者只显示被禁用的规则。用户还可以通过 View菜单选择中间区域所显示的内容列。
用户可以随时通过右键点击中间的规则,然后选择Disable Rule或Delete禁用或删除该规则。当需要应用该规则时,可以通过同样的方法启用 规则。另外,通过右键点击规则,选择Properties,用户还可以对规则进行各种修改。
用户所能进行的操作均列在控制台界面的右侧,通过右键点击规则也可以实现相应功能。
为了创建对应某个程序或某个端口的安全规则,用户需要建立接收和发送规则。Vista本身内置了一系列规则,通过点击 Inbound Rules或Outbound Rules,用户可以看到这些内置的规则。
要禁用或删除这些预制的规则,或者创建规则,用户可以右键点击相应规则,或者点击右侧所出现的相应功能。通过选择规则的Properties, 用户可以修改规则。
要建立新的接收和发送规则,用户可以从下拉菜单或右键点击控制台面板,选择New Rule。之后会开启一个新规则向导。
在向导对话框的第一屏,用户可以选择电脑上的某个应用程序可以通过防火墙并建立端口,或者选择一个windows服务(默认),另外,用户还 可以自定义规则。
这里我们以为某个程序建立连接规则为例进行讲解。我们选择Program并点击Next。
在下一屏,用户需要选择将规则应用于所有程序或者仅针对某个程序。如果选择某个程序,用户需要打开浏览器,定位该程序。
接下来,用户需要选择当该程序试图建立连接时(本例中,由于我们所建立的是接收规则,因此这里是指程序接收到连接请求),防火墙的动 作。用户可以选择以下防火墙动作:
·允许该程序的所有连接,包括安全的和不安全的。
·仅允许安全的连接。如果用户选择了此项,那么还可以选择对该连接的数据进行加密,从而保护数据安全。如果用户不选择此功能,该连 接将需要认证并对数据进行完整性检测,但是不对数据进行加密。用户还可以选择该连接优先于Block规则,这样便于管理员通过远程管理工具 对电脑进行管理。
·拦截所有连接。如果用户希望拦截所有进入的连接,比如P2P软件的连接请求,可以选择此项。
在下一屏,用户可以选择将该规则应用于全部防火墙配置或者某个防火墙配置中。同时,还要为该规则命名。
对于针对某个端口的规则设定,与上面说到的基本类似,唯一不同的是,用户需要输入TCP或UDP端口号,而不是程序位置。用户可以针对某个软件或者某个端的某种协议进行规则制定,另外还可以将规则应用于某个或某些终点(计算机或计算机组)。
监视
高级防火墙配置的一个最有用的功能,也是我们建立防火墙Advanced Security MMC控制台最主要的原因,就是监视功能。在监视功能中,用户可以查看各种规则和他们的属性状态。
通过控制台右侧的可用功能列表,用户可以将防火墙规则导出为txt文本文件,或者以逗号分隔的数据库文件(.csv)。
总结
虽然Vista的防火墙表面上和Windows XP SP2的防火墙没有什么区别,但是一旦用户通过控制台进入到防火墙的高级配置中,就会发现Vista防 火墙的功能和配置参数远多于XP SP2。Vista防火墙不但可以对发送和接收的数据进行拦截和审查,还可以让用户自定义规则,完全可以满足用 户的各种需求。
