mxh1998 2008-3-25 18:32
Windows Vista系统中防火墙详细设置
�|-e�\2m�Y�d�_�F�y�M�t4^
:G�U/Q�b�I�X#I�R4?(c
_)[�k�m$D
W
Vista的开发花费了很长的时间,而在其他操作系统中凡是看得到的功能,几乎都改头换面出现在了Vista之中。在Vista之中的Windows防火墙就是这个变化部分的其中之一,提供了很多先前技术所不曾提供过的功能。在本文中,我会花费一些时间来对Windows Vista防火墙的增强部分进行讨论——后文它将被叫做“Windows防火墙”——并会解释如何来管理这些功能。
�a�U&{5F0d&o�e�?
�a(h"I�Z/K
�B�z)M'U�F!F�m
Vista防火墙的增强�j�j/H�N�J5~�S*e
2k�F�g3o�z�w
M)o�s6[�T.z�d
在Windows XP Service Pack 2之中,微软放出了改进巨大的——就当时而言——基于客户的防火墙解决方案。在SP2之中的Windows XP防火墙默认是启用的,这意味着电脑立刻就获得了对付攻击的更好防护措施。不过,在XP SP2之中的防火墙,还是缺少了一些Windows防火墙所能提供的关键功能。5`$m5N�|.l0i
*l�]�A0j�x:}
�I*\�I2^�o1h�K
尽管改进其实很多,但是其中对防火墙的改进主要是集中于两个方面,而这两个方面使之成为了Vista用户的良好解决方案:�B9?�{�T�M$Q�e4F-[�N
/T l�E0o�G�[$k
.s
k+`1C:O
◆Windows 防火墙现在提供了应用程序相关的外向过滤,对所有进出你的电脑,以及你用户电脑的通讯,提供了直接的控制手段。
*Q�Y�l.h�l�s'[!t
9I�r�J�_�F
�\ j8p3w�]�w�t
◆微软提供了一个高级的管理接口,以便让系统管理员针对工作站实施非常细微的不同规则。另外,Windows防火墙可以通过组策略进行管理,这意味着公司的IT人员可以更好的执行强制性公司计算策略,从而对特定的活动进行禁止,比如禁止即时 通讯软件,以及P2P的文件共享等。�I�v�?�L9j
$@*h-B(C
A�c
�u�l�`�q�M.Y%v
管理Windows防火墙1c�e�x�f�u&K�G�`�`
0n�E�r�R0N�p�B#X�],_*m,`2U
j!q4A*Z�h�w k�N
在Vista中,微软提供了两个完全不同的接口来对Windows防火墙进行配置:
R"u+q4U7g�T
�u�n*E P�R0U�Y2_#c
�A�S�M6]�l2])M�C
◆传统或者基础的控制面板方式
�I�N�|,p�{�y�B�|5t
�l;X�u4u�B�Y2^
�n)[3K/d�e�|
这是一个相对简化的,Windows防火墙的配置工具。它看起来非常类似Windows XP防火墙管理工具。�z)~�|�y�{1L
3z�l�d0f�x
n*K/E
�~�P9w0~)Q1I
◆使用高级安全设置小程序的Windows防火墙
�`+]�{�|�O%i�S%V�g
-h�S�F'R
m!H(c�G
r
�b(z�^�N3^�\�s.I�P
意图更多的偏向于技术方面,这个高级接口提供了非常细微的防火墙配置选项。8U5q#s k2I:t3` {0c8n
#_�S�r&H�t�G�z�N
(j'w�@#C�O,x+r6n1y
在本文中,对上述两个接口都会有所涉及。)R.@
w3W�V�^
1I�D�f'j.k�f
@�N
7N�G,R2r�O0m�b�F�~�z
使用基本的控制面板接口�O&{3C4`6G4@*H'\/A
�V/a�C�\�J1T8@�y
�y/D2R�U.Q
第一种方式,也就是你可能认为是“传统”或者基本的管理方式,对那些曾经管理过XP下Windows防火墙的人来说将感觉很熟悉,因为它本来就是首先出 现在Windows XP之中的。在Vista中,这个管理接口可以通过“Start (启动)| Control Panel(控制面板) | Security(安全) | Windows Firewall(Window防火墙)”,按下“Change Settings(改变设定)”按钮,从而找到该接口,不过它并不总是这样的步骤。如果你是在Vista安装中使用了控制面板的经典视图,那么就是“Start (启动)| Control Panel(控制面板) | Windows Firewall(Window防火墙)”,然后,再选择“Change Settings(修改设定)”选项。图1就是初始化Windows防火墙信息窗口的视图
�E)J/q�p
n�y&U
)Q�o�O,_ h�p2Z�z*@
g
w�z�r4M�A
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440420.jpg[/img]
�X+o�j5o�p�R
�F'v0B�l�M6A�e,G�C
图1 Windows防火墙信息窗口
�H�l0C%~,Q�|;^�h�E
%A5[ ^�e6n�O�q
�C(c�[�^ ^�u7R�]"x-q3r
这个窗口给你提供了一些关于Windows防火墙的普通信息,比如是否启用了防火墙,是否进入连接被阻挡了,和防火墙相关的警告是如何处理的,以及你的 网络位置。Windows Vista防火墙使用网络位置参数来确认电脑的正确防火墙设置。我在后文将会对合理的位置设定进行更多的讲述。要修改你的防火墙设定,就选择“Change Settings(修改设置)”选项。这个选项会打开Windows防火墙的设定窗口。当你打开这个窗口时,首先被选择的是General(综合)页面,如图2所示。
+t�y1s:R�h�}
j�W
�|�Y�q�? e�J
'F�m%]8y-c�i:X
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440421.jpg[/img]
�Y-R�J�s�v
i-x
�x�v5`�^�y�U
`2V
图2 Windows防火墙设定窗口,被选中的是General页面
!P'~�R�O8J.W
s
7h0e%G�A G�e
o%A
�X�E9Q�F�|�\9K�h
�F�d�Z�\�b
8j+i$Q8f�?�f;d'W�p
;A(x�V�y+U�I(N�H(\5L
�i:X�L�H B
A4x
;[�h1G�s�O,P�d
.z�d�D�r(E
在这个屏幕上,共有3个选项。主要选项,On(开)和Off(关)——是很简单的“启用”或者“禁用”Windows防火墙。而屏幕中间的选择框,“Block All Incoming Connections(阻挡所有进入的连接)”,在你将电脑带到某些特定的地方时会很有用处,比如在某些公共场合的无线接入点,此时你肯定不希望有任何 连接连入你的电脑。当你选中这个复选框后,即使你已经在Windows防火墙中设定了相关例外的服务也会被阻止掉,从而为你在低安全的环境中提供了很高级别的安全防护。
0v�g
J6w�z�z1}�p2O�y4T
!v;q,{�Q�h#T
�X�J7K�D/?5u�X�u3Z�J
x
v�Z)A+@�U�j�F
&v7K/}(\4K�P�U
�]8v:@�a�k
P([*H�E�_;h
而如图3所示的页面“Exceptions(例外)”,则提供了一个途径,让你指定某些特定的服务,或者指定某些TCP/UDP端口,从而避免它们被Windows防火墙所阻挡。�B I�B&o Z+L'm
]
�H*}�Q�g3H�G�I+Z
�H�~�z
J�b9F�@+V p
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440422.jpg[/img]1H*R:C#k�Z
+m"I#|�M�m�E1m.b�i$?
图3 Windows防火墙设定窗口,被选中的是Exceptions(例外)页面
-Z r�O�C�{�M Z
�d8d,X�B6O�Y
�~�B/A9C�G*f/}
这个页面上的主窗口显示了一个服务的列表,你可以进行选择,从而让Windows防火墙对之另行处理。在这个屏幕截图之中的电脑是一个全新的Vista安装,显示了作为Vista安装的一部分,有哪些服务会被作为例外处理。要想允许某个特定的程序或者端口能够通过防火墙,需要选中该特定服务旁边的复选框,然后按下“OK(确定)”按钮。如果你想要指定的程序没有出现在列表之中,则点击屏幕底部的“Add Program(添加程序)”按钮。如图4所示,“Add A Program(添加一个程序)”屏幕,被弹了出来。
�W(w7z*u(h�B�g�@�]
-v�p�P�u H*H
8N!J
U/I8L.v ^�s
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440423.jpg[/img]
/X�o�E�?.}7x/~
q�a.t/G%k.E�|
图4 为例外列表添加一个自定义的程序-] @'J�c&d�f�A+G
&k
W�j�e�x�m�w!T
%g0o:p�c�v�q�L5E�A
选择所期望的程序,如果你的程序没有被列出来的话,按下“Browse(浏览)”按钮,然后在Windows防火墙中,找到对应的可执行程序。
.@(d�H-E�m�]�q�o/q
�V�m1q2j!?,G8o�G
�y
P-D(R,A p�Q+?
在此页面底部的“Change Scope(修改范围)”按钮,则提供了你一个方法,让你限制电脑或者程序具体可以使用的端口。这个屏幕(图5)有3个选项:'P+F3S%\)T*c4^ @
�?6V�b I�M�v.E�i
0@(D�I)L�p�|
◆Any Computer(including those on the Internet):(任何电脑,包括互联网上的电脑) 允许从任何位置发起的通信到达此服务。
2Z�V�K�Y(L c$D
�G5O�V�U�m�g,N�N
�_%@�\#Y�}�f"p
◆My Network (subnet) Only:仅允许我的网络(包括子网) 仅允许从本地电脑发起的通信到达此服务。�S8E!V9s�V+_7c3k.i
�a�i$L�d�a�}�Y�I+j
.j�j�Z!D'n�]�F�H
◆Custom List:自定义列表 可以指定某个IP地址,或者指定一个子网范围。仅允许在特定范围内的电脑可以被允许访问此服务。所指定的IP地址可以是Ipv4或者Ipv6的格式。3f!Z
^�Y
v�V�K0Q.i
z�a�B*v$p4E�E7w�q
5q�w-c7Q�}
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440424.jpg[/img]
�x�Z-l%k6@�v8U�n
,|�D�M�H2q�p�s#N/y�y
图5 Change Scope(修改范围)窗口$y-H
T)B�S�[3A
�I m${�M!Q1a
l+L2Y
+_�]5r+U�x�?
现在回过头来看一下图3。在“Add Program(添加程序)”旁边的下一个按钮,写着“Add Port(添加端口)”。点击这个按钮,将会出现类似图6所示的窗口,这个窗口允许你添加一个基于TCP或者UDP端口号的防火墙例外处理规则。在“Add Port(添加端口)”页面上,为特定的端口或者服务指定一个描述性的名字,实际的端口号,以及具体指定该例外是用于TCP端口,或者是一个UDP端口。而下边这里就是你必须单独提供的每个端口,如果你有很多端口需要打开的话,这个工作会非常的无聊乏味。
o!B�S�H�}(u�r
�o�m
L#D8m
�P�c�@'b8S&g�r�f�G
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440425.jpg[/img]
�d�H�Z�r�f
Y0Z
S�]
~9B$[
图6 添加一个TCP或者UDP端口的例外�A�u
z
i&m�r&A�p�p
s�r
�`�\"B�a�J
�e�x�P#[#r�o�p
再重申一下,你可以使用“Chagne Scope(修改范围)”按钮来限制使用这个例外的通信发出点。具体的信息和图5所示是一样的。
:w
Q�P8@�i2z9Y3N%}
�o�z�|:r�M�L�A�t3w
�~/T$F�v�G
�S�p#Y�e)c�t-v
V�o�]$Z3C
1G�b9w�C4S�n)P�]�y
�l'F�a�X'W
�E-l�H�z�G"E
�e�h�K�{$H�r�D0j�\
)|�?2J�V�Q
{�?-y \�g�J
在这个屏幕上,共有3个选项。主要选项,On(开)和Off(关)——是很简单的“启用”或者“禁用”Windows防火墙。而屏幕中间的选择框,“Block All Incoming Connections(阻挡所有进入的连接)”,在你将电脑带到某些特定的地方时会很有用处,比如在某些公共场合的无线接入点,此时你肯定不希望有任何 连接连入你的电脑。当你选中这个复选框后,即使你已经在Windows防火墙中设定了相关例外的服务也会被阻止掉,从而为你在低安全的环境中提供了很高级别的安全防护。 &O�l*X.B�O
.~ c.M�f%Q+H�h f
;g�U9{�P6?+H�J�L
�l0N�l�s9J�c�C
"C!|�|1_�F�m
�A-B T�V4|:}�g
J$D
而如图3所示的页面“Exceptions(例外)”,则提供了一个途径,让你指定某些特定的服务,或者指定某些TCP/UDP端口,从而避免它们被Windows防火墙所阻挡。
3Z�B(Z!Q�M:];^4v B
@'I7L4J�G�K�s x
�m�H a/J2z�b�j
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440422.jpg[/img]
4@�~�F�W�o
�r&c#T"F�P�w3_ {�C
图3 Windows防火墙设定窗口,被选中的是Exceptions(例外)页面�\(x,R(I�@1\
I
"r�u3?7H�Z7l
�D�{�I,K�X�m�e
这个页面上的主窗口显示了一个服务的列表,你可以进行选择,从而让Windows防火墙对之另行处理。在这个屏幕截图之中的电脑是一个全新的Vista安装,显示了作为Vista安装的一部分,有哪些服务会被作为例外处理。要想允许某个特定的程序或者端口能够通过防火墙,需要选中该特定服务旁边的复选框,然后按下“OK(确定)”按钮。如果你想要指定的程序没有出现在列表之中,则点击屏幕底部的“Add Program(添加程序)”按钮。如图4所示,“Add A Program(添加一个程序)”屏幕,被弹了出来。
3P1L6r#g�`�{
�m"z�i5f&x
*f�Z�k�e6Z$n1D(s�c�V(K2V
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440423.jpg[/img]
!`)q�e�L�n�F,E3e�O7y n
*C4L
K�{�w \�D�\
图4 为例外列表添加一个自定义的程序�M�o-c�N7o f,G
4J*S�I:]�T O
0K&n-^(k6Q
选择所期望的程序,如果你的程序没有被列出来的话,按下“Browse(浏览)”按钮,然后在Windows防火墙中,找到对应的可执行程序。4n�j�y7A*C�m
�@ v#O2v9M
�R"M�h�g�a�t5t
在此页面底部的“Change Scope(修改范围)”按钮,则提供了你一个方法,让你限制电脑或者程序具体可以使用的端口。这个屏幕(图5)有3个选项:)r*M�]9t-V�e/t
+E"|�C�n�v�L�X�E1B�?,s
$V%w�M1I�m�F�n&b/F+i�L
◆Any Computer(including those on the Internet):(任何电脑,包括互联网上的电脑) 允许从任何位置发起的通信到达此服务。�X(}�i�R�o�v�Z
j�L
o�G�f"G�o�P(F
�w$S�h�i*q0p�C2?+y
◆My Network (subnet) Only:仅允许我的网络(包括子网) 仅允许从本地电脑发起的通信到达此服务。
;N�y \5e�M%O
�R$N6S*v-|�E�_�z.A
%d+K3Q/u�f"E�f
◆Custom List:自定义列表 可以指定某个IP地址,或者指定一个子网范围。仅允许在特定范围内的电脑可以被允许访问此服务。所指定的IP地址可以是Ipv4或者Ipv6的格式。�_�w�~6Y�W+r'E:B
�W;w(K�b-l
�B4I5M*[�S�m�b z1B*C8\
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440424.jpg[/img]
�g�B3r1d
N-J.C�v3L�a�[
�z�U0y;Y�H&O9w�?
图5 Change Scope(修改范围)窗口
3]�g�i4p3h�p�N�U
"w6O�{
[�v'W�O
7P3z�d�s2J�m�T�I
现在回过头来看一下图3。在“Add Program(添加程序)”旁边的下一个按钮,写着“Add Port(添加端口)”。点击这个按钮,将会出现类似图6所示的窗口,这个窗口允许你添加一个基于TCP或者UDP端口号的防火墙例外处理规则。在“Add Port(添加端口)”页面上,为特定的端口或者服务指定一个描述性的名字,实际的端口号,以及具体指定该例外是用于TCP端口,或者是一个UDP端口。而下边这里就是你必须单独提供的每个端口,如果你有很多端口需要打开的话,这个工作会非常的无聊乏味。6d�y�M1x2} ?
&P�Z:O1Q�E5~;i1h
�D�l�_ B+S�o
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img200710230440425.jpg[/img]
�g�L)v�V�]-U�Q�u�z�x
!?�g�h;G8@�`2E
图6 添加一个TCP或者UDP端口的例外
�W�z�{.|�F�m
9D�W�f�v-J
\�{3{�}2c*Y-k
再重申一下,你可以使用“Chagne Scope(修改范围)”按钮来限制使用这个例外的通信发出点。具体的信息和图5所示是一样的。
3T�[�p!Q d
�j(l%t�a�r�q
8@;v:f#f)u!p1a�v
在这个主要的配置窗口,有大量的配置选项可用。我将在本文中对主要的几点进行一下讲述。首先,要注意Overview(概要)区域,这里提供给你很多和Windows防火墙相关的信息。
�F�_/L�u�[.Z�c7S�v
P
-M9A#p�`+q.U6B
�T%P:a&x�F�d�P0c�V
�P�p�O�e�d�\:~
�v�z$`�V�]�U�M:l�O�g
&M$O�I!Z�_�G/B9h
,|�?�A1K�]�Q(m+f
�q3K�L�@6?*N�e+P/A"Z+j
8x�\�s�^�U�{�B+f
~�`
高级安全的Windows防火墙属性窗口
�\4H3m.s%?,t�O.i�c
a(Q�g)M�O
*J
?2j�]�I�G-P o
0^7]�A)x9{�l�|6E�R�~
!f�Y$x3]2U�E�x/V
B,L;A�Y
0?�O�W�K�p�s
k
第一个要留心的地方,就是防火墙的属性窗口,可以通过Actions(动作)面板中的Properties(属性)链接进行访问。注意这一点,在图10中,Domain Profile(域文件)页面被选中了。另外,也要注意Public Profile(公共文件)和Private Profile(私人文件)页面都有和Domain Profile(域文件)页面同样的选项。
�{�O#k `�]+u�V�Y�K
�p&X�p9P5P4V"x�w�P�^�t
$f�b8w�e�U�H�R1`�n�K
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404310.jpg[/img]
�R%Z-F�y3d
H,T&N;M/G0B�N�s�]4~�V
图10 被打开的属性页面,Domain Profile页面被选中了
�a�u�Y)\4Q�K�Q
b!M
�B5~:N4D�Z R*y4].L
r
�|�H:F�d�P�P�q�x
在继续朝下讲之前,现在是解释一下不同Profile之间区别的好时候。
�~�u�c%^)}(M�M�w
/D�? v(y [
8r2A0Y g(t3Y�M/h
◆Domain Profile:(域文件) 在这个Profile中提供的选项,是当电脑连接某个共同域时所强制执行的选项。论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等
�z�M1a�M�H�L�P�j
"q�Q�a [�s�M
"d$U�N N�d(q
◆Private Profile:(私人文件) 在这个Profile中提供的选项,是当电脑连接某个私人网络时所强制执行的选项#p�M2z7g�{�A�y
�x�`�`*r!u8_)Z7l�_
Q
V*|�p�r�i:o;D Q1J
◆Public Profile:(公共文件) 在这个Profile中提供的选项,是当电脑连接某个公共网络时所强制执行的选项。
!?�[�c5A
L
9|�o�@�L�z5~�z1B
�H�i�l�o�D
在任何一个Profile文件页面,都可以执行很多任务:
/T#^�?�Y�^6A
H3E�}
�[
t9]�P"}0o�k
Z/U
z�m�Y-}-F�h
P4q
◆通过点击“Firewal state(防火墙状态)”按钮,启用或者禁止防火墙。�@�r�d�c#_�s�`-~"T
�O�X7i�l9R�P9l�T�b
�s!N&n�D�Y;P n
◆确认进入方向的连接应当被如何处理。你的选择有:
�\9a�i'V�[�i
.L!f�s�_�W k�]
�y�h�z
n
[�_�z+t
1. Block(禁止,这是默认的): 根据你预先定义好的通信规则,对进入方向的通信进行阻挡。�R8}�Z�z(i6N Y,X3J!s2K�x a#Q
�{-}�O,Q3F!\�{2g
6N7e*^$^�K�S
P�H
2. Block all connections(阻挡所有连接): 阻挡所有进入的通信,而不管防火墙规则如何。�c0D�s�k#i3W!H�v
m
-g3Z-e-{1u6J�d
3a:{
r�V)^0y h
n
3. Allow(允许): 允许所有的通讯都穿越防火墙。!m�_�j�R5N
#?%@�Y |3B�a�W
(_
@4G�T�G�d
◆确定如何处理外出的连接;你的选择是允许或者阻挡。这里没有阻挡所有(blocking all)的选项。
�t�v'y9Q'q�U
y�J�W
9V�a�t4q6G$M�\9l'Z |
:v�}�C�H/|4C�[
◆通过按下Settings(设定)旁边的“Customize”(自定义)按钮,来自定义Windows防火墙的行为。�V Q
G9a)o0h*b"]
�}!m;[,M+W+S"f�J"|�d�J�R
&p�k�M5{�}�J6X�P4C2w
◆通过按下Logging(记录)旁边的“Customize”(自定义)按钮,来自定义Windows防火墙该如何处理记录。论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等在图11中所示的屏幕,展示了当你按下属性页面中的Setting(设定)区域的Customize(自定义)按钮之后是怎样的。在这个屏幕上,决定了你将如何处理防火墙的通知,以及是否在多播/广播通信允许的情况下进行回应。�?#K�K�S�b-B�k6k
'~�F�w)\ b
�G3t�d(c�@(q
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404311.jpg[/img]
�?+~6x�u8F _�y�\5^9h�A3L�K
K�[�Q*]6j7j�R
图11 在选定profile下的自定义设定'd�J7M�B-w
�j"J
S�~�r
&w�i)|-u(F�g#m!U
如果你想修改记录选项(logging),点击窗户底部的“Customize(自定义)”按钮。你会看到类似图12这样的一个窗口。+r%@3`�?�L�m
k�?
$c�e�j�~�F�c)N
�p4u�T m�m
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404312.jpg[/img]
&e�W'K(s"\+M
v
@�Y�m#q*y.v(W�{�M
图12 在选定profile下的自定义记录(logging)设定
:]2| u�b�I�|�@
�P1x�^�w�n�U�L
Y"^2^�U
�C�\�Y(M$]'S0r�X
�T�r#d&X�Z!j2{/y+s�O.D&s!L
(^�\$Z�V,t4E�e
5B�P&\�D�c�m9X D�H-c
;[+N%^0W
r4j-R
.G�O�o-g }�v9@
�Z#x�V�i�R�R�q/w�C$`
在这个窗口中,使用“Browse(浏览)”按钮来选择防火墙记录文件的存放路径以及文件名。这里也可以定义最大的记录文件尺寸,并指出是否打算记录丢弃的数据包以及(或者)成功的连接。如果你记录了太多信息的话,你的记录文件可能会迅速变得很笨重而难以处理。
+Z:c�U4W"F�r9k�N�@�b
�q0u:k�h�c2G
�j6H�D/u�h;?:p�Z&`
,u�L�[&Y(U(m0K3J�x
�D�w6m&@�U1X+M)H
�S.u�U(M�_�o�n%a�v
回到属性页面,唯一和其他不一样的页面,是IPsec设定页面,如图13所示。0`:p#}�D(C�W
{,w
�K0{7?�U�]
�E
U�O�o5^�B�}1R�Y
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404413.jpg[/img]&n�_�b1n�V�p�y�P
:?�H!C)b"F�~%{
图13 Ipsec设定页面 u�y�e$S�{�E
,S�x�j�Q�k
0\'?�F�?�k.J�E�w/v�L
这个屏幕上没多少东西。在这里,你可以呼出更多的IPsec实质配置窗口,如图14所示。你也可以选择是否从Ipsec中排除ICMP数据包。这么做,可以简化你的网络调试,因为它将IPsec的层面从等式中去除了。5U�f�m�z%A
5b6P�M�A�Z�c%@�e
�}8N�G-Z�E�[ I
[
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404414.jpg[/img]
;_�S�o![�w
8h�e�P&}�~0R8{�N
图14 更多的防火墙IPsec配置自定义
�C1?�x�R'n�c"t1U
3`:A7b�c
C�l�['E�W
3^2A w3T�L
在图14中所示的选项是真实的,在IPsec的配置之下的东西。在这里,你可以对你的key交换模式,数据保护模式,以及认证方式等进行配置。注意,每一个选项都提供了“默认(Default)”的一个设置,就像其他可以选择的选项一样。每一个选项同样也提供了一个“Advanced(高级)”选择。当你选择了一个高级选项时,相关的“Customize(自定义)”按钮就可用了。当你按下其中的一个自定义按钮之后,你看到的选项,将允许对IPsec配置进行非常细微的配置。每一个高级选项窗口都如下面的图15,图14,和图15所示。
�n(`'q4y�z
/T$|�s�x�A
8X�U�k�T ?�A�J*q
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404415.jpg[/img]
�H R,s�}�D(w
�h�q�u"~(\�_
图15 在Windows防火墙中可用的高级IPsec key交换选项�G-U�k*i5n4D
�N�r/]�j'k"p�k1L�F
�Q�X�K-D8]&i*k�Z"h
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404416.jpg[/img]
�A#v s8D�d�s h
�d�o�|�D*['b
图16 高级IPsec数据保护选项
~ ~ u�T,Z+i�]&^
�[8M.z�s�`
n&O�A�i#? y0w�c�w2e k�I$S
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404417.jpg[/img]6`�X�u'?$?7c'y�h�A�i�H
�v�H)h!w�v�A
图17 高级认证模式窗口,以及其他认证选项&l�| d;v2d2z-F�T
T
�w�m�h5` g�Q \9K3Q
9D7f�P�p'I*m6w
Windows Vista的开发花费了很长的时间,而在其他操作系统中凡是看得到的功能,几乎都改头换面出现在了Vista之中。在Vista中的Windows防火墙就是这个变化部分的其中之一。%H�B�F�r�q�K�L8x�a
P2I
g�Y�v2j
�e�A a�C
N�l�W9H
1a�F;K7[2?
?*[9P
|�Z6r$N&q
'p�\�J(r�P$W�t�E$Z�\
�n1l�^�@�h�J�q�o
�S8S�L�u2K
�R�f"[7f�Q;j(l5`�{
其他Windows防火墙配置设定 �u�^8b�|/W�Q!X-[
�H�g8j�@.c�|�U
a
�w�h�O�I�u�U�H
$P�`�B�C�y�L3{0l!e�O
)^&}�w0w�H,Q)n�Y�Z
�F2Z&G$v0u
c�v.Q�{�x
注意,你现在已经看过了Windows防火墙属性页面,让我们来看一些其他用户接口的成分。看一眼图9。我将从主配置窗口左手边的选项来开始。9G�K3X�{4j:H.C�]
#s�O�`
P�o�]�[
2J�K*f1n�o&z�O�H
◆Inbound Rules:进入规则 允许你设定规则,以控制Windows防火墙到底如何处理进入方向的通信。
�f�k�h#p#L-G7y
�g.l�k�e'C
�{3E
W�l�{
◆Outbound Rules:外出规则 允许你设定规则,以控制Windows防火墙到底如何处理外出方向的通信。
w�}4o�B#~7C#X�A
3Y*N�\/T�t8y�E
!w�w�N
`�b�Q
k
◆Connection Security Rules:连接安全性规则 使用IPsec来对同样使用Windows防火墙的两台电脑之间的通信进行加密,或者对使用一个兼容IPsec策略的两台电脑通信进行加密。我在本文中不会对这些种类的规则说的太多。
�D�i�Q+{�?0s%?�];T
!y6p6z1v�V�}�M�k�G�W
1P%}�W�T�q5B
J�?
◆Monitoring:监控 监控选项给了你一种方法,让你可以查看你的防火墙正在做什么。本文中我也不会对监控方面讲述太多。
�W�]0n5\)k*x
�g�\�[�S�d
�O3O T:b&N
R�P�k*f�E�I S
Inbound Rules(进入规则)�T�A1}"y*D�@�~
7C�R�T)u&I,u
\�D
f
�V6c%C�L a#R
Windows防火墙一般总是有能力对进入的通信进行阻挡。不过,在高级配置视图之中,Windows防火墙对那些了解如何配置服务的人们来说,显然更具有弹性。图18让你可以看一下防火墙管理接口的进入规则部分。�T�X�z�l�t�v2z)W
�l&w+o$\�R
�s�D-v.S2a
J�u�X
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404418.jpg[/img]
�_#K&@�i�m�^
4a�q�A(v/P/@
图18 Windows防火墙进入规则列表6d'z�\%s�|
{�G4J
�Q/~�N�\�A k!S�^�I�K
+C&e(Y)P!`�T3i�C�V�^(]
注意,在窗口的中间列出的每一个规则旁边,都有一个灰色或者绿色的选中标记。一个绿色的选中标记,表明该规则是被启用的,而一个灰色的选中标记则表明该规则被定义了,但是没有被启用。要启用或者禁止一个现存的规则,右键点击该规则,然后选择“Enable Rule(启用规则)”或者“Disable Rule(禁用规则)”。�J!M�x�s)_�G ]�e
�o�n/C�I�V
8L6j�Q4v)P�k*T2O�q�`6q
在Windows防火墙中,有一定数量的重要进入规则可以使用。要注意,如图10所示,每一个单独的规则仅管理一个特定的服务方面。举例来说,有很多的规则名字都以“Core Networking(核心网络)”作为开头。每一个规则都管理着一个非常特定的程序或者协议;举例来说,一个规则可能仅允许通过TCP25端口进入的SMTP连接。所有的核心网络管理规则都是启用 的,因为没有了他们,你的电脑可能都不能正常工作。如果你打算特别加强你的Vista工作站,你也可以禁用某些规则。规则中的许多是特定版本的传输协议。这就是说,某些规则是为了Ipv4,某些规则则是特别为了Ipv6的,而不是一个规则同时为两者服务的。如果你在你的网络中没有使用Ipv6,你可以禁用所有面向Ipv6的规则。�S�[
l�c�E I;{�J*x�r+]
%r;|�G!x
\�{�M(G
%u�h#P)A�e0U-d�E�U
Outbound Rules:外出规则/L,`3~�H�g-D
'B�F�m"p e.V2H*i
�y#P�O*w4s$}0w
外出规则选项看起来和图10所示的进入规则屏幕差不多,工作方式也是一样的。我们很快会看一下如何建立新规则。'y�Y
b"~�{5Z�Q
S7j�r"t�^�N�L�a8r
�X0I�H�B�L p�R*a%W�i/o
Windows防火墙给予你相应的能力来根据许多规范建立的进入和外出的规则,包括通过特定程序的管理,或者基于TCP/UDP端口的管理。要添加一个新规则,要么选择进入规则,或者外出规则(根据你自己的需要),然后在MMC中选择新规则选项(New Rule option)。这会开始一个精灵,然后带你进入规则建立进程。
(A�V�\�p"N-I-X�j�E
�n�d4b�a�n;t
�j/Z�R�I�W
E�y
如图19所示,精灵的第一个屏幕,要求你决定打算建立何种规则。就本例而言,我将建立一个自定义规则,以示范最普遍的可能性。�U�s.y,X�R�s!q�n
-E�R�|�k9_�j
"}�h"s8~/W O#s
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404419.jpg[/img]�[�j�G�n�M�[
9Y8d�m�^ @�D�@-{�{
图19 选择你打算建立的规则种类
'l�C�X�c�P�{4{
#P�Q%Y2x�m�|�t�o9P$v,t#v#\
�e7X�i�X6S�W�A�K-|�N-J
T�{�v�H�n"t�j�v
�Z�c�[6C&a$]�F
D�Y
7O�M�\�e�Z�p�}(r6U
5x�s�Q�B�{!J�R�c
3@�Q�f�x�d$q�x-c
�o�^�v7t�~�`"{�i!c�h
在精灵的第二个页面,选择新规则需要限制的程序和服务。你可以选择新规则对所有运行的程序和服务有效(这意味着该规则对所有的连接都有效,而不是仅仅针对特定程序或者服务的连接),或者,仅对某个特定的程序或者服务生效。 �_,l A-a$?1Z
�k2j/B!h(`�j"D�~%B�S
�[�K)@�C�c3@�v&|/C.Z
�\8[#L7R#k2^
&O�W*T$~�U�C5f
�z+d5i#{ i�X
论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等)h M6]8J'x;J"o$w:Z
;O%\ p3@$A
�Z�P�~!I�J9L
�T�E�P�e0Y([�`
图20显示了如何对特定的程序限定相应的规则。如果你打算对某个特定的服务限定规则,点击“Customize(自定义)”按钮。在图21中所示的屏幕,显示了你可以对所有的程序和服务都应用该规则,或者仅对服务应用,或者对从列表中选择的某个服务应用,或者是对你在窗口底部的对话框 中所输入简短名称的某个服务生效。 F,V7\�}�g�~0z�P�g�u�R
�b
X�u/s�b g�_�E;V
9C-a:S%V J�z�k2r!s�f
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404520.jpg[/img]
-]#v�`1b#{�m�v)E
'p,s0j)I:x�i�M�o1n�^
图20 该规则将对哪个程序或者服务进行限定�z�o0b�T$l�T
9q!R6M�u2R�c'\�s'J
-h�D%~#Q�S�@
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404521.jpg[/img]
z�v�A�T�c�[7R&T9T
�I)S�t�U"G:{:I�]%?
图21 该规则应当覆盖哪个服务?
�Z�E�Y�}"~1B!f)x&Y�K
�X�J�E/F9A�s6I�[8k(d
!R�t�O0l:n�K�o�_%q(M D�b7a
就我的示例而言,我将该规则应用于所有的程序和服务。8^�`�R�k9N�j%F8x
4` V2\&{,I)\
�^)r�`�P#{;K
精灵的第三个页面,如图22所示,要求你提供应当被用于本规则的具体协议和端口。
)J0i�Z�S&f3_�A�}�`
�f�y�@�|,A'B�P5g&P
9`�q!K
p%X�[5v3Z
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404522.jpg[/img]*\4C�r�z�H'@(c
)\!R�u�L�B�I8y)p�S�c#]
图22 该规则将处理哪个协议和端口1P1p9q#L�X
r2T�O1i
.u3g)f7Y�}�? J�y
,s�O�[-d�h�h
这个屏幕在以下区域中要求提供相应信息
-B1T�Y�R�t�H'k,\
6J2N6p;N F*^
�N
C�U$?"C�K5G�J�M
协议种类7d�G
h!R�}�Q
O�I/n
�Y:y�c*t)Z�o#p�G�u
9_-p6X�T�f$N
可用的协议类型如下所示:
U�`�j t�y*e k�Q1C
�o�y;B�]5m�X�{.C%?
�I�u�x+u�_:c�L�W
◆HOPOPT (IPv6 Hop-by-Hop Option)
2t&W�J�z�a�H�i-z�j�~
�?5f7k�h6G
�^�Y�S�P0x&C3Z
◆ICMPv4
�c7R
f#P
o;z#h
q�~"G
;s�Q�s�n%O�e�[
I3F�L$J5N�B x�e
◆ICMPv6论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等
5q�X y$l5m3b
4V�L#O�D*\
h�V'x1f�I7v
+u2l�x6X�l2Q�j.w
◆IGMP'D.[�H�r4\�_-y
$O:M�u�O H�b3J�h�b
6Z�@�u�l4Q*a2^ `4S
◆TCP�K�W�L�Q+f(E�h.f8e
j6P6d�Q�?;f
�Y
u�X�]6?'H(M�@�b(?3y
◆UDP
-L�S�L�Q(y'Q3p
:e�S8[�F/v�X'f:I
l�M
�|!e�f#n5|;n�x�d
◆IPv6
�^�F%k�G�H U�j�a
�]�U-u�o(g-n�a�}
T/]�d4o
^6@#m }
◆IPv6-Route)t�d�S
_.K�P�U�t8O
-['D�W�w3`�K�m�O
�M�P�~�I+n
◆IPv6-Frag4@�H
P�Z�E�N
(`�|(_4@8_�y�Q�R�L
�|0a�f'x
d(l9}�e%L
◆IPv6-NoNxtIT*O5O�}
}�H5s
�_;x
j�D8U*U
W
�y%m5R0L A�K0z�R
◆IPv6-Opts!m3o9Q)^8n�Z
�l7W*d/s'r�D
"f-F�C&Q3B�W�R
◆GRE�r�w�M�O�C3@;x�i"T�[
+L�B
Q�o�{�r�w/w
�_9M
e�f�\ _
◆PGM
�s�d�[�]�F'S�Z
:[�P*?)_3T$V D�i
I!^ _0]�}2B:A�@ e5~.b#z(f
◆L2TP论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等
�V4W�S�w&J q9G#m
�P"I�V0R7G G#O
(?3U�n�@3N
�b,o�k�h�p
#n�@0o�?�f�~.L�\5M�c
$o;|7K�`+O�~�J%T�{
�n�a8g�B�b3U3i
m�K$T�s�n�p�T!A
2n&N'B�O�H�y�s
本地端口
"q�{�f"s�|�\0E
�Y7Y/[�o)y!i
^'f)p�L
V1n H;{
�D0e5`�M�g W�]�|�g
)_:b9J�j"~�~�E.E/@�o#Y
0@�t
Z.G�r5|:D�e�_
本地端口选项仅当你在为协议种类选择了TCP或者UDP之后才可以使用。一个本地端口是在运行Windows防火墙的电脑上所使用的端口。�S�e.`4m3P
�\/z"j&A�x�g�X�R
)O�x/Y0v�w�x
本地端口可用的选项有:
)f,~�A0T%n�m�r$Z
9D�C�F�^�a�[�H![
$?6n�o u�N9@
◆All ports(所有端口)论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等
$J�X3_�`,].k P�h
/R0A#s"g&W
�b�L�\+s2v�`�Z&c6H2h7c;B
◆Specific ports(特定端口�x�A�G�r5x A�I+] E
�M�}:K�j#m�B
7A�c
U�v*f�p
◆Dynamic RPC(动态RPC)�d�x'j:u�y�j�X�?
�V�\�g6F)S�A�["l9v$Y�g,O
#V1a�T,s�o3d�W7?
◆RPC Endpoint Mapper(RPC端点映射)*R�b8v�Z�H+C%`'K&]&F
&P1i'}�U�V%Z-^3}�k
�G�q�s�F�U(i�N
◆Edge Traversal(边缘穿越)4f
x;L�?�F�z�e$P�[
�K�P8_9T�\�W
�I�m6^�z.c�h
远程端口$[�T6f ?2N�W&b
�X�u"_)P F/w�h�y�k
2U/x'}6C�_�T�t
论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等 远程端口选项仅当你在为协议种类选择了TCP或者UDP之后才可以使用。一个远程端口,指的是试图和你本地电脑进行通信的远方电脑上所用的端口。
�U)m(n�f�Q�s
!V-{�_"`9t�i�A1^�e!M�~
�I�R�E�?�d�t8I�l�m
对远程端口,你可以使用“All Ports(所有端口)”,也可以使用“Specific Ports(特定端口)”。
�R�q!S2D(U%Z
o:P3z.O:Z�U(X5M
W8Y1w
�m+z8F�{�B�h�A
互联网控制信息协议(ICMP)设定
0N#p�j�O�R
+w�E�a�V*F�l/|)V�x
�^�|:e$J�n.H3@
如果你在协议类型中选择了ICMP选项之一,那么该选项旁边的Customize(自定义)按钮就会变得可用。点击此按钮,会打开如图23所示的ICMP自定义设置窗口。在该屏幕上,你可以选择将该规则适用于所有的ICMP类型,或者仅仅适用于特定的ICMP类型。
0j6B(\ _
G/z�s
0U�m�Y \-D-^0Y
�r0`
n�o�b&C�X#c7F
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404523.jpg[/img]�h8A'Z(X9p0h
7w-\
T�p0E
图23 自定义ICMP设定窗口�u1Y$C&t&u7W
4k:i�P�W�d+m�\6w
5q�`�D1W�M9d�W�?�S
精灵的下一个页面,如图24所示,将询问你新规则的本地和远程IP地址(范围)。而范围可以被适用于进出的所有通讯规则,这样满足了预先定义范围的通讯都将被适用该规则,就像其他规则所做的那样。
�N�z0B�E�e�^�^
}/?
�j;E1H5Z _)[2j7d
$[,m�t�x�d�Q8D�c
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404524.jpg[/img]
�j#R.@�l(y�o�R
�K
D�v5g�K�o'U
v
图24 该规则对应的IP地址是什么? z�r/J7Y�L�i9|�Z&V�h-L
5A%H*g�P4p�{�C�P9O
5f
b N�w�i)D
一旦你已经在一个将要生效的规则下定义了具体参数,就需要决定当有事件满足条件时应当做些什么。如图25所示,你有3个选项:�H�L)Q&M�~
(N�o�{.}:e
3P2P�l�|�D
◆Allow The Connection(允许连接),无论该连接是否启用了IPsec。�F�C�f9X�^!x�e�K
�d-M6s�^$e0n2n�y
�{"K�J.N0\�T2q�q
◆Allow The Connection Only If It Is Secured By IPsec(仅允许被IPsec保护的连接). 你也可以在这里为了额外的安全而选择子选项。如果你选择了它,你必须同时指定用户或者电脑如何确定可信任的连接。
0J�G�}�e�S�l
)G�\�E�T q%H4M�W
'M�A:d1d"l�@�y#@,k�L
◆Block The Connection(阻止该连接)。
�_4C A+l�T�F B�a
�n�|6C�e&E�e
"{ [�w.Y�G�C4P#m3E
[img]http://school.cfan.com.cn/system/vista/he/h005/h95/img2007102304404525.jpg[/img]
)S1w�\�t�n�m4a%u�\�f
3R�E�i
U+]�}�v
图25 当满足条件时,应当采取什么行动?
�G�[)l�H�Q q4L�x6C�]�^
6Y�u�Y�n9C'o9t
_
/m�a5X;F�k!w!L
对于最后的精灵页面,我这里就不放出屏幕图形了。最后倒数一二个页面,Profile,会要求你选择具体哪个Profile——domain(域),Private(私人),或者Public(公共) ——将被应用新规则? 精灵的最后一个屏幕要求你为新规则命令,另外,也可以输入一个说明性的详细描述。
�V�V3l${�h'G�X;H�d _�P&t�b�x
7P!U�o8s'v(m+h�D
�v�o(r
w$V�c4Z�F
当你完成了建立新规则后,它将会显示在主要防火墙配置窗口的规则列表中
%\�o�y�X�W$T$I
{$W
*E.N�v�s�q�y�y*y
o
k b�\
};`
缺点
�~�K0F�F�M/C*S4Q
4H�R�Q�v:w2v8o�G�]
"s#T�f-l/E7{�V�a�Y�`5V
毫无疑问,说到客户级别的保护方面,Windows防火墙,从能力方面而言,足以和那些大人物们同行。但是,还有两点值得提起,因为它们让Vista的新防火墙还不够完美。)[.P�T'H$q�d&n b�`�e0n
�I�o
n�X/~0?
I�q6_�P)i
,m9Q
C!Z"u#C�q8E
◆外出监控默认状态下是不启用的:这意味着用户可能会被误导,认为他们现在的电脑和使用Windows XP的时期相比,“得到了更好的保护”。(_1q/u�t�V�O�x
�s�y0E�x9T7n9W5O�}.l
$K�n�l�t�z�I�B
◆一个相当复杂的高级管理接口:一般的家庭用户将没有能力来管理这个服务。的确,一个家庭用户在使用基本接口时将很少有困难,但是基本接口并没有提供一个启用外出监控的方法,也没有提供任何在高级配置中所提供的细微管理功能。除非微软可以特别简化高级防火墙接口,否则家庭用户将享受不到防火墙中所提供的全新技术功能。
8i6N�A�i {�s+W
#l�e�M'G7W
&p�B$Q)W }�V�O/|
论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等9?
~#m)f.]*A
�])C.a-C"I�M�s%u�l:x
5A-l�u�}3V�E
一次主要升级
9t�_&a�o-}�]�p%S6Q�c
�b7X5K1g5?!W�\�R
,@�[,|�R�G$r�j
在Windows Vista之中所提供的防火墙,和微软先前声称要努力建立的牢固防火墙而言,还存在相当的距离。但就它的双向保护能力,超级细微的管理选项,以及很宽的配置参数而言,它同样也不能被算做一无是处。