Windows Vista系統(tǒng)中防火墻詳細(xì)設(shè)置
Vista防火墻的增強(qiáng)
在Windows XP Service Pack 2之中,微軟放出了改進(jìn)巨大的——就當(dāng)時(shí)而言——基于客戶(hù)的防火墻解決方案。在SP2之中的Windows XP防火墻默認(rèn)是啟用的,這意味著電腦立刻就獲得了對(duì)付攻擊的更好防護(hù)措施。不過(guò),在XP SP2之中的防火墻,還是缺少了一些Windows防火墻所能提供的關(guān)鍵功能。
盡管改進(jìn)其實(shí)很多,但是其中對(duì)防火墻的改進(jìn)主要是集中于兩個(gè)方面,而這兩個(gè)方面使之成為了Vista用戶(hù)的良好解決方案:
◆Windows 防火墻現(xiàn)在提供了應(yīng)用程序相關(guān)的外向過(guò)濾,對(duì)所有進(jìn)出你的電腦,以及你用戶(hù)電腦的通訊,提供了直接的控制手段。
◆微軟提供了一個(gè)高級(jí)的管理接口,以便讓系統(tǒng)管理員針對(duì)工作站實(shí)施非常細(xì)微的不同規(guī)則。另外,Windows防火墻可以通過(guò)組策略進(jìn)行管理,這意味著公司的IT人員可以更好的執(zhí)行強(qiáng)制性公司計(jì)算策略,從而對(duì)特定的活動(dòng)進(jìn)行禁止,比如禁止即時(shí) 通訊軟件,以及P2P的文件共享等。
管理Windows防火墻
在Vista中,微軟提供了兩個(gè)完全不同的接口來(lái)對(duì)Windows防火墻進(jìn)行配置:
◆傳統(tǒng)或者基礎(chǔ)的控制面板方式
這是一個(gè)相對(duì)簡(jiǎn)化的,Windows防火墻的配置工具。它看起來(lái)非常類(lèi)似Windows XP防火墻管理工具。
◆使用高級(jí)安全設(shè)置小程序的Windows防火墻
意圖更多的偏向于技術(shù)方面,這個(gè)高級(jí)接口提供了非常細(xì)微的防火墻配置選項(xiàng)。
在本文中,對(duì)上述兩個(gè)接口都會(huì)有所涉及。
使用基本的控制面板接口
第一種方式,也就是你可能認(rèn)為是“傳統(tǒng)”或者基本的管理方式,對(duì)那些曾經(jīng)管理過(guò)XP下Windows防火墻的人來(lái)說(shuō)將感覺(jué)很熟悉,因?yàn)樗緛?lái)就是首先出 現(xiàn)在Windows XP之中的。在Vista中,這個(gè)管理接口可以通過(guò)“Start (啟動(dòng))| Control Panel(控制面板) | Security(安全) | Windows Firewall(Window防火墻)”,按下“Change Settings(改變?cè)O(shè)定)”按鈕,從而找到該接口,不過(guò)它并不總是這樣的步驟。如果你是在Vista安裝中使用了控制面板的經(jīng)典視圖,那么就是“Start (啟動(dòng))| Control Panel(控制面板) | Windows Firewall(Window防火墻)”,然后,再選擇“Change Settings(修改設(shè)定)”選項(xiàng)。圖1就是初始化Windows防火墻信息窗口的視圖
圖1 Windows防火墻信息窗口
這個(gè)窗口給你提供了一些關(guān)于Windows防火墻的普通信息,比如是否啟用了防火墻,是否進(jìn)入連接被阻擋了,和防火墻相關(guān)的警告是如何處理的,以及你的 網(wǎng)絡(luò)位置。Windows Vista防火墻使用網(wǎng)絡(luò)位置參數(shù)來(lái)確認(rèn)電腦的正確防火墻設(shè)置。我在后文將會(huì)對(duì)合理的位置設(shè)定進(jìn)行更多的講述。要修改你的防火墻設(shè)定,就選擇“Change Settings(修改設(shè)置)”選項(xiàng)。這個(gè)選項(xiàng)會(huì)打開(kāi)Windows防火墻的設(shè)定窗口。當(dāng)你打開(kāi)這個(gè)窗口時(shí),首先被選擇的是General(綜合)頁(yè)面,如圖2所示。
圖2 Windows防火墻設(shè)定窗口,被選中的是General頁(yè)面
在這個(gè)屏幕上,共有3個(gè)選項(xiàng)。主要選項(xiàng),On(開(kāi))和Off(關(guān))——是很簡(jiǎn)單的“啟用”或者“禁用”Windows防火墻。而屏幕中間的選擇框,“Block All Incoming Connections(阻擋所有進(jìn)入的連接)”,在你將電腦帶到某些特定的地方時(shí)會(huì)很有用處,比如在某些公共場(chǎng)合的無(wú)線接入點(diǎn),此時(shí)你肯定不希望有任何 連接連入你的電腦。當(dāng)你選中這個(gè)復(fù)選框后,即使你已經(jīng)在Windows防火墻中設(shè)定了相關(guān)例外的服務(wù)也會(huì)被阻止掉,從而為你在低安全的環(huán)境中提供了很高級(jí)別的安全防護(hù)。
而如圖3所示的頁(yè)面“Exceptions(例外)”,則提供了一個(gè)途徑,讓你指定某些特定的服務(wù),或者指定某些TCP/UDP端口,從而避免它們被Windows防火墻所阻擋。
圖3 Windows防火墻設(shè)定窗口,被選中的是Exceptions(例外)頁(yè)面
這個(gè)頁(yè)面上的主窗口顯示了一個(gè)服務(wù)的列表,你可以進(jìn)行選擇,從而讓W(xué)indows防火墻對(duì)之另行處理。在這個(gè)屏幕截圖之中的電腦是一個(gè)全新的Vista安裝,顯示了作為Vista安裝的一部分,有哪些服務(wù)會(huì)被作為例外處理。要想允許某個(gè)特定的程序或者端口能夠通過(guò)防火墻,需要選中該特定服務(wù)旁邊的復(fù)選框,然后按下“OK(確定)”按鈕。如果你想要指定的程序沒(méi)有出現(xiàn)在列表之中,則點(diǎn)擊屏幕底部的“Add Program(添加程序)”按鈕。如圖4所示,“Add A Program(添加一個(gè)程序)”屏幕,被彈了出來(lái)。
圖4 為例外列表添加一個(gè)自定義的程序
選擇所期望的程序,如果你的程序沒(méi)有被列出來(lái)的話,按下“Browse(瀏覽)”按鈕,然后在Windows防火墻中,找到對(duì)應(yīng)的可執(zhí)行程序。
在此頁(yè)面底部的“Change Scope(修改范圍)”按鈕,則提供了你一個(gè)方法,讓你限制電腦或者程序具體可以使用的端口。這個(gè)屏幕(圖5)有3個(gè)選項(xiàng):
◆Any Computer(including those on the Internet):(任何電腦,包括互聯(lián)網(wǎng)上的電腦) 允許從任何位置發(fā)起的通信到達(dá)此服務(wù)。
◆My Network (subnet) Only:僅允許我的網(wǎng)絡(luò)(包括子網(wǎng)) 僅允許從本地電腦發(fā)起的通信到達(dá)此服務(wù)。
◆Custom List:自定義列表 可以指定某個(gè)IP地址,或者指定一個(gè)子網(wǎng)范圍。僅允許在特定范圍內(nèi)的電腦可以被允許訪問(wèn)此服務(wù)。所指定的IP地址可以是Ipv4或者Ipv6的格式。
圖5 Change Scope(修改范圍)窗口
現(xiàn)在回過(guò)頭來(lái)看一下圖3。在“Add Program(添加程序)”旁邊的下一個(gè)按鈕,寫(xiě)著“Add Port(添加端口)”。點(diǎn)擊這個(gè)按鈕,將會(huì)出現(xiàn)類(lèi)似圖6所示的窗口,這個(gè)窗口允許你添加一個(gè)基于TCP或者UDP端口號(hào)的防火墻例外處理規(guī)則。在“Add Port(添加端口)”頁(yè)面上,為特定的端口或者服務(wù)指定一個(gè)描述性的名字,實(shí)際的端口號(hào),以及具體指定該例外是用于TCP端口,或者是一個(gè)UDP端口。而下邊這里就是你必須單獨(dú)提供的每個(gè)端口,如果你有很多端口需要打開(kāi)的話,這個(gè)工作會(huì)非常的無(wú)聊乏味。
圖6 添加一個(gè)TCP或者UDP端口的例外
再重申一下,你可以使用“Chagne Scope(修改范圍)”按鈕來(lái)限制使用這個(gè)例外的通信發(fā)出點(diǎn)。具體的信息和圖5所示是一樣的。
回到Windows防火墻的屬 性頁(yè)面,注意一下“PropertIEs(屬性)”以及“Delete(刪除)”按鈕。如果你已經(jīng)添加了自定義的程序,以及具體服務(wù)的相應(yīng)端口,可以在必要時(shí),使用“Delete(刪除)”按鈕來(lái)刪除掉相應(yīng)的入口。而“Properties(屬性)”按鈕,則提供給你有關(guān)具體選中的服務(wù)的相應(yīng)說(shuō)明。
最后,要注意一下 Exceptions(例外)頁(yè)面底部的復(fù)選框。“Notify Me When Windows Firewall Blocks A New Program(當(dāng)Windows阻止某個(gè)程序時(shí)通知我)”的復(fù)選框,可以讓你在一個(gè)新程序或者新服務(wù)試圖通過(guò)防火墻時(shí)讓你獲得相應(yīng)的通知。論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等
在Windows防火墻設(shè)定屏幕上的最后一個(gè)頁(yè)面,則很明顯是提供了某些“高級(jí)”配置設(shè)定選項(xiàng)的。實(shí)際上,其實(shí)選項(xiàng)并不多。可用部分如圖7所示。
圖7 高級(jí)的Windows防火墻設(shè)定頁(yè)面
在這個(gè)頁(yè)面上的選項(xiàng)基本上都是一看就明白的,所以我這里就不一一贅述了。
到了這里,你可能會(huì)問(wèn)你自己下面這幾個(gè)問(wèn)題:
◆我該在哪里對(duì)ICMP設(shè)定進(jìn)行配置呢?
◆為什么我看不到任何有關(guān)通往防火墻外部的配置規(guī)則?
這就是圖片中高級(jí)配置接口的所在。
Windows防火墻的高級(jí)安全
在Windows Vista之中的新東西是第二接口,被叫做“高級(jí)安全的Windows防火墻”(Windows Firewall with Advanced Security)。這個(gè)接口不是為了傳統(tǒng)的家庭用戶(hù)準(zhǔn)備的,但是相對(duì)來(lái)說(shuō)更具彈性,為一些水平較高的用戶(hù)提供了相關(guān)的能力,以便執(zhí)行特別細(xì)微的Windows防火墻配置任務(wù)。
這個(gè)高級(jí)接口可以通過(guò)幾個(gè)不同的方法進(jìn)行訪問(wèn):
◆通過(guò)控制面板: Start(開(kāi)始) | Control Panel(控制面板) | Class View(傳統(tǒng)視圖) | Administrative Tools(管理工具) | Windows Firewall with Advanced Security(高級(jí)安全的Windows防火墻).
◆或者,執(zhí)行下述步驟:
1. 進(jìn)入“Start(啟動(dòng)) | All Programs(所有程序) | Accessories(附件)”,然后選擇“Run(運(yùn)行)”。
2. 在“Run(運(yùn)行)”框中,輸入“MMC”,然后按下回車(chē)鍵。
3. 在微軟的管理控制臺(tái)窗口中,找到“File(文件) | Add/Remove Snap-in(添加/刪除快照).
4. 在“Add/Remove Snap-in(添加/刪除快照)”對(duì)話框中,如圖8所示,在可用的快照面板中,卷動(dòng)窗口,直到“Windows Firewall with Advanced Security(高級(jí)安全的Windows防火墻)”。
圖8 Add/Remove Snap-in(添加/刪除快照)窗口。
5. 點(diǎn)擊“Add(添加)”按鈕。
6. 當(dāng)被詢(xún)問(wèn)要求選擇被快照所應(yīng)當(dāng)管理的電腦時(shí),選擇本地電腦選項(xiàng),然后按下“Finish(結(jié)束)”。
7. 按下“OK(確定)”。這會(huì)將你帶回MMC。
8. 按下Windows Firewall with Advanced Security(高級(jí)安全的Windows防火墻)旁邊的向下箭頭。這會(huì)打開(kāi)防火墻的配置選項(xiàng),并顯示當(dāng)前的防火墻狀態(tài)。這個(gè)屏幕如圖9所示。
圖9顯示了Windows防火墻狀態(tài)的MMC
在這個(gè)主要的配置窗口,有大量的配置選項(xiàng)可用。我將在本文中對(duì)主要的幾點(diǎn)進(jìn)行一下講述。首先,要注意Overview(概要)區(qū)域,這里提供給你很多和Windows防火墻相關(guān)的信息。
高級(jí)安全的Windows防火墻屬性窗口
第一個(gè)要留心的地方,就是防火墻的屬性窗口,可以通過(guò)Actions(動(dòng)作)面板中的PropertIEs(屬性)鏈接進(jìn)行訪問(wèn)。注意這一點(diǎn),在圖10中,Domain Profile(域文件)頁(yè)面被選中了。另外,也要注意Public Profile(公共文件)和Private Profile(私人文件)頁(yè)面都有和Domain Profile(域文件)頁(yè)面同樣的選項(xiàng)。
圖10 被打開(kāi)的屬性頁(yè)面,Domain Profile頁(yè)面被選中了
在繼續(xù)朝下講之前,現(xiàn)在是解釋一下不同Profile之間區(qū)別的好時(shí)候。
◆Domain Profile:(域文件) 在這個(gè)Profile中提供的選項(xiàng),是當(dāng)電腦連接某個(gè)共同域時(shí)所強(qiáng)制執(zhí)行的選項(xiàng)。論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等
◆Private Profile:(私人文件) 在這個(gè)Profile中提供的選項(xiàng),是當(dāng)電腦連接某個(gè)私人網(wǎng)絡(luò)時(shí)所強(qiáng)制執(zhí)行的選項(xiàng)
◆Public Profile:(公共文件) 在這個(gè)Profile中提供的選項(xiàng),是當(dāng)電腦連接某個(gè)公共網(wǎng)絡(luò)時(shí)所強(qiáng)制執(zhí)行的選項(xiàng)。
在任何一個(gè)Profile文件頁(yè)面,都可以執(zhí)行很多任務(wù):
◆通過(guò)點(diǎn)擊“Firewal state(防火墻狀態(tài))”按鈕,啟用或者禁止防火墻。
◆確認(rèn)進(jìn)入方向的連接應(yīng)當(dāng)被如何處理。你的選擇有:
1. Block(禁止,這是默認(rèn)的): 根據(jù)你預(yù)先定義好的通信規(guī)則,對(duì)進(jìn)入方向的通信進(jìn)行阻擋。
2. Block all connections(阻擋所有連接): 阻擋所有進(jìn)入的通信,而不管防火墻規(guī)則如何。
3. Allow(允許): 允許所有的通訊都穿越防火墻。
◆確定如何處理外出的連接;你的選擇是允許或者阻擋。這里沒(méi)有阻擋所有(blocking all)的選項(xiàng)。
◆通過(guò)按下Settings(設(shè)定)旁邊的“Customize”(自定義)按鈕,來(lái)自定義Windows防火墻的行為。
◆通過(guò)按下Logging(記錄)旁邊的“Customize”(自定義)按鈕,來(lái)自定義Windows防火墻該如何處理記錄。論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等在圖11中所示的屏幕,展示了當(dāng)你按下屬性頁(yè)面中的Setting(設(shè)定)區(qū)域的Customize(自定義)按鈕之后是怎樣的。在這個(gè)屏幕上,決定了你將如何處理防火墻的通知,以及是否在多播/廣播通信允許的情況下進(jìn)行回應(yīng)。
圖11 在選定profile下的自定義設(shè)定
如果你想修改記錄選項(xiàng)(logging),點(diǎn)擊窗戶(hù)底部的“Customize(自定義)”按鈕。你會(huì)看到類(lèi)似圖12這樣的一個(gè)窗口。
圖12 在選定profile下的自定義記錄(logging)設(shè)定
在這個(gè)窗口中,使用“Browse(瀏覽)”按鈕來(lái)選擇防火墻記錄文件的存放路徑以及文件名。這里也可以定義最大的記錄文件尺寸,并指出是否打算記錄丟棄的數(shù)據(jù)包以及(或者)成功的連接。如果你記錄了太多信息的話,你的記錄文件可能會(huì)迅速變得很笨重而難以處理。
回到屬性頁(yè)面,唯一和其他不一樣的頁(yè)面,是IPsec設(shè)定頁(yè)面,如圖13所示。
圖13 Ipsec設(shè)定頁(yè)面
這個(gè)屏幕上沒(méi)多少東西。在這里,你可以呼出更多的IPsec實(shí)質(zhì)配置窗口,如圖14所示。你也可以選擇是否從Ipsec中排除ICMP數(shù)據(jù)包。這么做,可以簡(jiǎn)化你的網(wǎng)絡(luò)調(diào)試,因?yàn)樗鼘Psec的層面從等式中去除了。
圖14 更多的防火墻IPsec配置自定義
在圖14中所示的選項(xiàng)是真實(shí)的,在IPsec的配置之下的東西。在這里,你可以對(duì)你的key交換模式,數(shù)據(jù)保護(hù)模式,以及認(rèn)證方式等進(jìn)行配置。注意,每一個(gè)選項(xiàng)都提供了“默認(rèn)(Default)”的一個(gè)設(shè)置,就像其他可以選擇的選項(xiàng)一樣。每一個(gè)選項(xiàng)同樣也提供了一個(gè)“Advanced(高級(jí))”選擇。當(dāng)你選擇了一個(gè)高級(jí)選項(xiàng)時(shí),相關(guān)的“Customize(自定義)”按鈕就可用了。當(dāng)你按下其中的一個(gè)自定義按鈕之后,你看到的選項(xiàng),將允許對(duì)IPsec配置進(jìn)行非常細(xì)微的配置。每一個(gè)高級(jí)選項(xiàng)窗口都如下面的圖15,圖14,和圖15所示。
圖15 在Windows防火墻中可用的高級(jí)IPsec key交換選項(xiàng)
圖16 高級(jí)IPsec數(shù)據(jù)保護(hù)選項(xiàng)
圖17 高級(jí)認(rèn)證模式窗口,以及其他認(rèn)證選項(xiàng)
Windows Vista的開(kāi)發(fā)花費(fèi)了很長(zhǎng)的時(shí)間,而在其他操作系統(tǒng)中凡是看得到的功能,幾乎都改頭換面出現(xiàn)在了Vista之中。在Vista中的Windows防火墻就是這個(gè)變化部分的其中之一。
其他Windows防火墻配置設(shè)定
注意,你現(xiàn)在已經(jīng)看過(guò)了Windows防火墻屬性頁(yè)面,讓我們來(lái)看一些其他用戶(hù)接口的成分。看一眼圖9。我將從主配置窗口左手邊的選項(xiàng)來(lái)開(kāi)始。
◆Inbound Rules:進(jìn)入規(guī)則 允許你設(shè)定規(guī)則,以控制Windows防火墻到底如何處理進(jìn)入方向的通信。
◆Outbound Rules:外出規(guī)則 允許你設(shè)定規(guī)則,以控制Windows防火墻到底如何處理外出方向的通信。
◆Connection Security Rules:連接安全性規(guī)則 使用IPsec來(lái)對(duì)同樣使用Windows防火墻的兩臺(tái)電腦之間的通信進(jìn)行加密,或者對(duì)使用一個(gè)兼容IPsec策略的兩臺(tái)電腦通信進(jìn)行加密。我在本文中不會(huì)對(duì)這些種類(lèi)的規(guī)則說(shuō)的太多。
◆Monitoring:監(jiān)控 監(jiān)控選項(xiàng)給了你一種方法,讓你可以查看你的防火墻正在做什么。本文中我也不會(huì)對(duì)監(jiān)控方面講述太多。
Inbound Rules(進(jìn)入規(guī)則)
Windows防火墻一般總是有能力對(duì)進(jìn)入的通信進(jìn)行阻擋。不過(guò),在高級(jí)配置視圖之中,Windows防火墻對(duì)那些了解如何配置服務(wù)的人們來(lái)說(shuō),顯然更具有彈性。圖18讓你可以看一下防火墻管理接口的進(jìn)入規(guī)則部分。
圖18 Windows防火墻進(jìn)入規(guī)則列表
注意,在窗口的中間列出的每一個(gè)規(guī)則旁邊,都有一個(gè)灰色或者綠色的選中標(biāo)記。一個(gè)綠色的選中標(biāo)記,表明該規(guī)則是被啟用的,而一個(gè)灰色的選中標(biāo)記則表明該規(guī)則被定義了,但是沒(méi)有被啟用。要啟用或者禁止一個(gè)現(xiàn)存的規(guī)則,右鍵點(diǎn)擊該規(guī)則,然后選擇“Enable Rule(啟用規(guī)則)”或者“Disable Rule(禁用規(guī)則)”。
在Windows防火墻中,有一定數(shù)量的重要進(jìn)入規(guī)則可以使用。要注意,如圖10所示,每一個(gè)單獨(dú)的規(guī)則僅管理一個(gè)特定的服務(wù)方面。舉例來(lái)說(shuō),有很多的規(guī)則名字都以“Core Networking(核心網(wǎng)絡(luò))”作為開(kāi)頭。每一個(gè)規(guī)則都管理著一個(gè)非常特定的程序或者協(xié)議;舉例來(lái)說(shuō),一個(gè)規(guī)則可能僅允許通過(guò)TCP25端口進(jìn)入的SMTP連接。所有的核心網(wǎng)絡(luò)管理規(guī)則都是啟用 的,因?yàn)闆](méi)有了他們,你的電腦可能都不能正常工作。如果你打算特別加強(qiáng)你的Vista工作站,你也可以禁用某些規(guī)則。規(guī)則中的許多是特定版本的傳輸協(xié)議。這就是說(shuō),某些規(guī)則是為了Ipv4,某些規(guī)則則是特別為了Ipv6的,而不是一個(gè)規(guī)則同時(shí)為兩者服務(wù)的。如果你在你的網(wǎng)絡(luò)中沒(méi)有使用Ipv6,你可以禁用所有面向Ipv6的規(guī)則。
Outbound Rules:外出規(guī)則
外出規(guī)則選項(xiàng)看起來(lái)和圖10所示的進(jìn)入規(guī)則屏幕差不多,工作方式也是一樣的。我們很快會(huì)看一下如何建立新規(guī)則。
Windows防火墻給予你相應(yīng)的能力來(lái)根據(jù)許多規(guī)范建立的進(jìn)入和外出的規(guī)則,包括通過(guò)特定程序的管理,或者基于TCP/UDP端口的管理。要添加一個(gè)新規(guī)則,要么選擇進(jìn)入規(guī)則,或者外出規(guī)則(根據(jù)你自己的需要),然后在MMC中選擇新規(guī)則選項(xiàng)(New Rule option)。這會(huì)開(kāi)始一個(gè)精靈,然后帶你進(jìn)入規(guī)則建立進(jìn)程。
如圖19所示,精靈的第一個(gè)屏幕,要求你決定打算建立何種規(guī)則。就本例而言,我將建立一個(gè)自定義規(guī)則,以示范最普遍的可能性。
圖19 選擇你打算建立的規(guī)則種類(lèi)
在精靈的第二個(gè)頁(yè)面,選擇新規(guī)則需要限制的程序和服務(wù)。你可以選擇新規(guī)則對(duì)所有運(yùn)行的程序和服務(wù)有效(這意味著該規(guī)則對(duì)所有的連接都有效,而不是僅僅針對(duì)特定程序或者服務(wù)的連接),或者,僅對(duì)某個(gè)特定的程序或者服務(wù)生效。
論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等)h M6]8J'x;J'o$w:Z
圖20顯示了如何對(duì)特定的程序限定相應(yīng)的規(guī)則。如果你打算對(duì)某個(gè)特定的服務(wù)限定規(guī)則,點(diǎn)擊“Customize(自定義)”按鈕。在圖21中所示的屏幕,顯示了你可以對(duì)所有的程序和服務(wù)都應(yīng)用該規(guī)則,或者僅對(duì)服務(wù)應(yīng)用,或者對(duì)從列表中選擇的某個(gè)服務(wù)應(yīng)用,或者是對(duì)你在窗口底部的對(duì)話框 中所輸入簡(jiǎn)短名稱(chēng)的某個(gè)服務(wù)生效。
圖20 該規(guī)則將對(duì)哪個(gè)程序或者服務(wù)進(jìn)行限定
圖21 該規(guī)則應(yīng)當(dāng)覆蓋哪個(gè)服務(wù)?
就我的示例而言,我將該規(guī)則應(yīng)用于所有的程序和服務(wù)。
精靈的第三個(gè)頁(yè)面,如圖22所示,要求你提供應(yīng)當(dāng)被用于本規(guī)則的具體協(xié)議和端口。
圖22 該規(guī)則將處理哪個(gè)協(xié)議和端口
這個(gè)屏幕在以下區(qū)域中要求提供相應(yīng)信息
協(xié)議種類(lèi)
可用的協(xié)議類(lèi)型如下所示:
◆HOPOPT (IPv6 Hop-by-Hop Option)
◆ICMPv4
◆ICMPv6論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等
◆IGMP
◆TCP
◆UDP
◆IPv6
◆IPv6-Route
◆IPv6-Frag
◆IPv6-NoNxtIT
◆IPv6-Opts
◆GRE
◆PGM
◆L2TP論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等
本地端口
本地端口選項(xiàng)僅當(dāng)你在為協(xié)議種類(lèi)選擇了TCP或者UDP之后才可以使用。一個(gè)本地端口是在運(yùn)行Windows防火墻的電腦上所使用的端口。
本地端口可用的選項(xiàng)有:
◆All ports(所有端口)論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等
◆Specific ports(特定端口
◆Dynamic RPC(動(dòng)態(tài)RPC)
◆RPC Endpoint Mapper(RPC端點(diǎn)映射)
◆Edge Traversal(邊緣穿越)
遠(yuǎn)程端口
論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等遠(yuǎn)程端口選項(xiàng)僅當(dāng)你在為協(xié)議種類(lèi)選擇了TCP或者UDP之后才可以使用。一個(gè)遠(yuǎn)程端口,指的是試圖和你本地電腦進(jìn)行通信的遠(yuǎn)方電腦上所用的端口。
對(duì)遠(yuǎn)程端口,你可以使用“All Ports(所有端口)”,也可以使用“Specific Ports(特定端口)”。
互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)設(shè)定
如果你在協(xié)議類(lèi)型中選擇了ICMP選項(xiàng)之一,那么該選項(xiàng)旁邊的Customize(自定義)按鈕就會(huì)變得可用。點(diǎn)擊此按鈕,會(huì)打開(kāi)如圖23所示的ICMP自定義設(shè)置窗口。在該屏幕上,你可以選擇將該規(guī)則適用于所有的ICMP類(lèi)型,或者僅僅適用于特定的ICMP類(lèi)型。
圖23 自定義ICMP設(shè)定窗口
精靈的下一個(gè)頁(yè)面,如圖24所示,將詢(xún)問(wèn)你新規(guī)則的本地和遠(yuǎn)程IP地址(范圍)。而范圍可以被適用于進(jìn)出的所有通訊規(guī)則,這樣滿(mǎn)足了預(yù)先定義范圍的通訊都將被適用該規(guī)則,就像其他規(guī)則所做的那樣。
圖24 該規(guī)則對(duì)應(yīng)的IP地址是什么?
一旦你已經(jīng)在一個(gè)將要生效的規(guī)則下定義了具體參數(shù),就需要決定當(dāng)有事件滿(mǎn)足條件時(shí)應(yīng)當(dāng)做些什么。如圖25所示,你有3個(gè)選項(xiàng):
◆Allow The Connection(允許連接),無(wú)論該連接是否啟用了IPsec。
◆Allow The Connection Only If It Is Secured By IPsec(僅允許被IPsec保護(hù)的連接). 你也可以在這里為了額外的安全而選擇子選項(xiàng)。如果你選擇了它,你必須同時(shí)指定用戶(hù)或者電腦如何確定可信任的連接。
◆Block The Connection(阻止該連接)。
圖25 當(dāng)滿(mǎn)足條件時(shí),應(yīng)當(dāng)采取什么行動(dòng)?
對(duì)于最后的精靈頁(yè)面,我這里就不放出屏幕圖形了。最后倒數(shù)一二個(gè)頁(yè)面,Profile,會(huì)要求你選擇具體哪個(gè)Profile——domain(域),Private(私人),或者Public(公共) ——將被應(yīng)用新規(guī)則? 精靈的最后一個(gè)屏幕要求你為新規(guī)則命令,另外,也可以輸入一個(gè)說(shuō)明性的詳細(xì)描述。
當(dāng)你完成了建立新規(guī)則后,它將會(huì)顯示在主要防火墻配置窗口的規(guī)則列表中
缺點(diǎn)
毫無(wú)疑問(wèn),說(shuō)到客戶(hù)級(jí)別的保護(hù)方面,Windows防火墻,從能力方面而言,足以和那些大人物們同行。但是,還有兩點(diǎn)值得提起,因?yàn)樗鼈冏孷ista的新防火墻還不夠完美。
◆外出監(jiān)控默認(rèn)狀態(tài)下是不啟用的:這意味著用戶(hù)可能會(huì)被誤導(dǎo),認(rèn)為他們現(xiàn)在的電腦和使用Windows XP的時(shí)期相比,“得到了更好的保護(hù)”。
◆一個(gè)相當(dāng)復(fù)雜的高級(jí)管理接口:一般的家庭用戶(hù)將沒(méi)有能力來(lái)管理這個(gè)服務(wù)。的確,一個(gè)家庭用戶(hù)在使用基本接口時(shí)將很少有困難,但是基本接口并沒(méi)有提供一個(gè)啟用外出監(jiān)控的方法,也沒(méi)有提供任何在高級(jí)配置中所提供的細(xì)微管理功能。除非微軟可以特別簡(jiǎn)化高級(jí)防火墻接口,否則家庭用戶(hù)將享受不到防火墻中所提供的全新技術(shù)功能。
論壇介紹關(guān)于IT界的最新新聞,全方位介紹最新軟件,并提供用戶(hù)交流經(jīng)驗(yàn)和技巧的平臺(tái)等
一次主要升級(jí)
在Windows Vista之中所提供的防火墻,和微軟先前聲稱(chēng)要努力建立的牢固防火墻而言,還存在相當(dāng)?shù)木嚯x。但就它的雙向保護(hù)能力,超級(jí)細(xì)微的管理選項(xiàng),以及很寬的配置參數(shù)而言,它同樣也不能被算做一無(wú)是處。
網(wǎng)公網(wǎng)安備