作者： ZDNet China

Windows Vista防火墻安全攻略(下)

Windows防火墻的高級安全

在Windows Vista之中的新東西是第二接口，被叫做“高級安全的Windows防火墻”（Windows Firewall with Advanced Security）。 這個接口不是為了傳統(tǒng)的家庭用戶準(zhǔn)備的，但是相對來說更具彈性，為一些水平較高的用戶提供了相關(guān)的能力，以便執(zhí)行特別細(xì)微的Windows防火墻配置任務(wù)。

這個高級接口可以通過幾個不同的方法進(jìn)行訪問：◆通過控制面板： Start（開始） | Control Panel（控制面板） | Class VIEw（傳統(tǒng)視圖） | Administrative Tools（管理工具） | Windows Firewall with Advanced Security（高級安全的Windows防火墻）.◆或者，執(zhí)行下述步驟：

1. 進(jìn)入“Start（啟動） | All Programs（所有程序） | Accessories（附件）”，然后選擇“Run（運(yùn)行）”。2. 在“Run（運(yùn)行）”框中，輸入“MMC”，然后按下回車鍵。3. 在微軟的管理控制臺窗口中，找到“File（文件） | Add/Remove Snap-in（添加/刪除快照）.”4. 在“Add/Remove Snap-in（添加/刪除快照）”對話框中，如圖H所示，在可用的快照面板中，卷動窗口，直到“Windows Firewall with Advanced Security（高級安全的Windows防火墻）”。

圖H Add/Remove Snap-in（添加/刪除快照）窗口。

5. 點(diǎn)擊“Add（添加）”按鈕。6. 當(dāng)被詢問要求選擇被快照所應(yīng)當(dāng)管理的電腦時，選擇本地電腦選項，然后按下“Finish（結(jié)束）”。7. 按下“OK（確定）”。 這會將你帶回MMC。8. 按下Windows Firewall with Advanced Security（高級安全的Windows防火墻）旁邊的向下箭頭。 這會打開防火墻的配置選項，并顯示當(dāng)前的防火墻狀態(tài)。 這個屏幕如圖I所示。

圖I 顯示了Windows防火墻狀態(tài)的MMC

在這個主要的配置窗口，有大量的配置選項可用。 我將在本文中對主要的幾點(diǎn)進(jìn)行一下講述。 首先，要注意Overview（概要）區(qū)域，這里提供給你很多和Windows防火墻相關(guān)的信息。

高級安全的Windows防火墻屬性窗口

第一個要留心的地方，就是防火墻的屬性窗口，可以通過Actions（動作）面板中的PropertIEs（屬性）鏈接進(jìn)行訪問。 注意這一點(diǎn)，在圖J中，Domain Profile（域文件）頁面被選中了。 另外，也要注意Public Profile（公共文件）和Private Profile（私人文件）頁面都有和Domain Profile（域文件）頁面同樣的選項。

圖J 被打開的屬性頁面，Domain Profile頁面被選中了

在繼續(xù)朝下講之前，現(xiàn)在是解釋一下不同Profile之間區(qū)別的好時候。◆Domain Profile:（域文件） 在這個Profile中提供的選項，是當(dāng)電腦連接某個共同域時所強(qiáng)制執(zhí)行的選項。◆Private Profile:（私人文件） 在這個Profile中提供的選項，是當(dāng)電腦連接某個私人網(wǎng)絡(luò)時所強(qiáng)制執(zhí)行的選項。◆Public Profile:（公共文件） 在這個Profile中提供的選項，是當(dāng)電腦連接某個公共網(wǎng)絡(luò)時所強(qiáng)制執(zhí)行的選項。

在任何一個Profile文件頁面，都可以執(zhí)行很多任務(wù)：◆通過點(diǎn)擊“Firewal state（防火墻狀態(tài)）”按鈕，啟用或者禁止防火墻。◆確認(rèn)進(jìn)入方向的連接應(yīng)當(dāng)被如何處理。 你的選擇有：

1. Block（禁止，這是默認(rèn)的）： 根據(jù)你預(yù)先定義好的通信規(guī)則，對進(jìn)入方向的通信進(jìn)行阻擋。2. Block all connections（阻擋所有連接）: 阻擋所有進(jìn)入的通信，而不管防火墻規(guī)則如何。3. Allow（允許）: 允許所有的通訊都穿越防火墻。

◆確定如何處理外出的連接；你的選擇是允許或者阻擋。 這里沒有阻擋所有（blocking all）的選項。◆通過按下Settings（設(shè)定）旁邊的“Customize”（自定義）按鈕，來自定義Windows防火墻的行為。◆通過按下Logging（記錄）旁邊的“Customize”（自定義）按鈕，來自定義Windows防火墻該如何處理記錄。

在圖K中所示的屏幕，展示了當(dāng)你按下屬性頁面中的Setting（設(shè)定）區(qū)域的Customize（自定義）按鈕之后是怎樣的。 在這個屏幕上，決定了你將如何處理防火墻的通知，以及是否在多播/廣播通信允許的情況下進(jìn)行回應(yīng)。

圖K 在選定profile下的自定義設(shè)定

如果你想修改記錄選項（logging），點(diǎn)擊窗戶底部的“Customize（自定義）”按鈕。 你會看到類似圖L這樣的一個窗口。

圖L 在選定profile下的自定義記錄（logging）設(shè)定

在這個窗口中，使用“Browse（瀏覽）”按鈕來選擇防火墻記錄文件的存放路徑以及文件名。 這里也可以定義最大的記錄文件尺寸，并指出是否打算記錄丟棄的數(shù)據(jù)包以及（或者）成功的連接。 如果你記錄了太多信息的話，你的記錄文件可能會迅速變得很笨重而難以處理。

回到屬性頁面，唯一和其他不一樣的頁面，是IPsec設(shè)定頁面，如圖M所示。

圖M Ipsec設(shè)定頁面

這個屏幕上沒多少東西。 在這里，你可以呼出更多的IPsec實(shí)質(zhì)配置窗口，如圖N所示。你也可以選擇是否從Ipsec中排除ICMP數(shù)據(jù)包。 這么做，可以簡化你的網(wǎng)絡(luò)調(diào)試，因為它將IPsec的層面從等式中去除了。

圖N 更多的防火墻IPsec配置自定義

在圖N中所示的選項是真實(shí)的，在IPsec的配置之下的東西。 在這里，你可以對你的key交換模式，數(shù)據(jù)保護(hù)模式，以及認(rèn)證方式等進(jìn)行配置。 注意，每一個選項都提供了“默認(rèn)（Default）”的一個設(shè)置，就像其他可以選擇的選項一樣。 每一個選項同樣也提供了一個“Advanced（高級）”選擇。 當(dāng)你選擇了一個高級選項時，相關(guān)的“Customize（自定義）”按鈕就可用了。 當(dāng)你按下其中的一個自定義按鈕之后，你看到的選項，將允許對IPsec配置進(jìn)行非常細(xì)微的配置。 每一個高級選項窗口都如下面的圖O，圖P，和圖Q所示。

圖O 在Windows防火墻中可用的高級IPsec key交換選項

圖P 高級IPsec數(shù)據(jù)保護(hù)選項

圖Q 高級認(rèn)證模式窗口，以及其他認(rèn)證選項

Windows Vista防火墻安全攻略(下)