1、防火墙设置 Vista的开发花费了很长的时间,而在其他操作系统中凡是看得到的功能,几乎都改头换面出现在了Vista之中。在Vista之中的Windows防火墙就是这个变化部分的其中之一,提供了很多先前技术所不曾提供过的功能。在本文中,我会花费一些时间来对Windows Vista防火墙的增强部分进行讨论后文它将被叫做“Windows防火墙”并会解释如何来管理这些功能。 Vista防火墙的增强在Windows XP Service Pack 2之中,微软放出了改进巨大的就当时而言基于客户的防火墙解决方案。在SP2之中的Windows XP防火墙默认是启用的,这意味着电脑立刻就获得了对付攻击的更好
2、防护措施。不过,在XP SP2之中的防火墙,还是缺少了一些Windows防火墙所能提供的关键功能。尽管改进其实很多,但是其中对防火墙的改进主要是集中于两个方面,而这两个方面使之成为了Vista用户的良好解决方案:Windows 防火墙现在提供了应用程序相关的外向过滤,对所有进出你的电脑,以及你用户电脑的通讯,提供了直接的控制手段。微软提供了一个高级的管理接口,以便让系统管理员针对工作站实施非常细微的不同规则。另外,Windows防火墙可以通过组策略进行管理,这意味着公司的IT人员可以更好的执行强制性公司计算策略,从而对特定的活动进行禁止,比如禁止即时 通讯软件,以及P2P的文件共享等。管理Wi
3、ndows防火墙在Vista中,微软提供了两个完全不同的接口来对Windows防火墙进行配置:传统或者基础的控制面板方式这是一个相对简化的,Windows防火墙的配置工具。它看起来非常类似Windows XP防火墙管理工具。使用高级安全设置小程序的Windows防火墙意图更多的偏向于技术方面,这个高级接口提供了非常细微的防火墙配置选项。在本文中,对上述两个接口都会有所涉及。使用基本的控制面板接口第一种方式,也就是你可能认为是“传统”或者基本的管理方式,对那些曾经管理过XP下Windows防火墙的人来说将感觉很熟悉,因为它本来就 是首先出 现在Windows XP之中的。在Vista中,这个管理
4、接口可以通过“Start (启动)| Control Panel(控制面板) | Security(安全) | Windows Firewall(Window防火墙)”,按下“Change Settings(改变设定)”按钮,从而找到该接口,不过它并不总是这样的步骤。如果你是在Vista安装中使用了控制面板的经典视图,那么就是 “Start (启动)| Control Panel(控制面板) | Windows Firewall(Window防火墙)”,然后,再选择“Change Settings(修改设定)”选项。图1就是初始化Windows防火墙信息窗口的视图图1 Windows防火墙信息
5、窗口这个窗口给你提供了一些关于Windows防火墙的普通信息,比如是否启用了防火墙,是否进入连接被阻挡了,和防火墙相关的警告是如何处理的, 以及你的 网络位置。Windows Vista防火墙使用网络位置参数来确认电脑的正确防火墙设置。我在后文将会对合理的位置设定进行更多的讲述。要修改你的防火墙设定,就选择 “Change Settings(修改设置)”选项。这个选项会打开Windows防火墙的设定窗口。当你打开这个窗口时,首先被选择的是General(综合)页面, 如图2所示。图2 Windows防火墙设定窗口,被选中的是General页面在这个屏幕上,共有3个选项。主要选项,On(开)和O
6、ff(关)是很简单的“启用”或者“禁用”Windows防火墙。而屏幕中间的选择框,“Block All Incoming Connections(阻挡所有进入的连接)”,在你将电脑带到某些特定的地方时会很有用处,比如在某些公共场合的无线接入点,此时你肯定不希望有任何 连接连入你的电脑。当你选中这个复选框后,即使你已经在Windows防火墙中设定了相关例外的服务也会被阻止掉,从而为你在低安全的环境中提供了很高级别的安全防护。 而如图3所示的页面“Exceptions(例外)”,则提供了一个途径,让你指定某些特定的服务,或者指定某些TCP/UDP端口,从而避免它们被Windows防火墙所阻挡。图3
7、 Windows防火墙设定窗口,被选中的是Exceptions(例外)页面这个页面上的主窗口显示了一个服务的列表,你可以进行选择,从而让Windows防火墙对之另行处理。在这个屏幕截图之中的电脑是一个全新的 Vista安装,显示了作为Vista安装的一部分,有哪些服务会被作为例外处理。要想允许某个特定的程序或者端口能够通过防火墙,需要选中该特定服务旁 边的复选框,然后按下“OK(确定)”按钮。如果你想要指定的程序没有出现在列表之中,则点击屏幕底部的“Add Program(添加程序)”按钮。如图4所示,“Add A Program(添加一个程序)”屏幕,被弹了出来。图4 为例外列表添加一个自定
8、义的程序选择所期望的程序,如果你的程序没有被列出来的话,按下“Browse(浏览)”按钮,然后在Windows防火墙中,找到对应的可执行程序。在此页面底部的“Change Scope(修改范围)”按钮,则提供了你一个方法,让你限制电脑或者程序具体可以使用的端口。这个屏幕(图5)有3个选项:Any Computer(including those on the Internet):(任何电脑,包括互联网上的电脑) 允许从任何位置发起的通信到达此服务。My Network (subnet) Only:仅允许我的网络(包括子网) 仅允许从本地电脑发起的通信到达此服务。Custom List:自定义列
9、表 可以指定某个IP地址,或者指定一个子网范围。仅允许在特定范围内的电脑可以被允许访问此服务。所指定的IP地址可以是Ipv4或者Ipv6的格式。图5 Change Scope(修改范围)窗口现在回过头来看一下图3。在“Add Program(添加程序)”旁边的下一个按钮,写着“Add Port(添加端口)”。点击这个按钮,将会出现类似图6所示的窗口,这个窗口允许你添加一个基于TCP或者UDP端口号的防火墙例外处理规则。在 “Add Port(添加端口)”页面上,为特定的端口或者服务指定一个描述性的名字,实际的端口号,以及具体指定该例外是用于TCP端口,或者是一个UDP端口。 而下边这里就是你必
10、须单独提供的每个端口,如果你有很多端口需要打开的话,这个工作会非常的无聊乏味。图6 添加一个TCP或者UDP端口的例外再重申一下,你可以使用“Chagne Scope(修改范围)”按钮来限制使用这个例外的通信发出点。具体的信息和图5所示是一样的。回到Windows防火墙的 属 性页面,注意一下“Properties(属性)”以及“Delete(删除)”按钮。如果你已经添加了自定义的程序,以及具体服务的相应端口,可以在必 要时,使用“Delete(删除)”按钮来删除掉相应的入口。而“Properties(属性)”按钮,则提供给你有关具体选中的服务的相应说明。 最后,要注意一下 Exception
11、s(例外)页面底部的复选框。“Notify Me When Windows Firewall Blocks A New Program(当Windows阻止某个程序时通知我)”的复选框,可以让你在一个新程序或者新服务试图通过防火墙时让你获得相应的通知。论坛介绍关于 IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等在Windows防火墙设定屏幕上的最后一个页面,则很明显是提供了某些“高级”配置设定选项的。实际上,其实选项并不多。可用部分如图7所示。图7 高级的Windows防火墙设定页面在这个页面上的选项基本上都是一看就明白的,所以我这里就不一一赘述了。到了这里,你可能会问
12、你自己下面这几个问题:我该在哪里对ICMP设定进行配置呢?为什么我看不到任何有关通往防火墙外部的配置规则?这就是图片中高级配置接口的所在。Windows防火墙的高级安全 在Windows Vista之中的新东西是第二接口,被叫做“高级安全的Windows防火墙”(Windows Firewall with Advanced Security)。这个接口不是为了传统的家庭用户准备的,但是相对来说更具弹性,为一些水平较高的用户提供了相关的能力,以便执行特别细微的 Windows防火墙配置任务。这个高级接口可以通过几个不同的方法进行访问:通过控制面板: Start(开始) | Control Pan
13、el(控制面板) | Class View(传统视图) | Administrative Tools(管理工具) | Windows Firewall with Advanced Security(高级安全的Windows防火墙).或者,执行下述步骤:1. 进入“Start(启动) | All Programs(所有程序) | Accessories(附件)”,然后选择“Run(运行)”。2. 在“Run(运行)”框中,输入“MMC”,然后按下回车键。3. 在微软的管理控制台窗口中,找到“File(文件) | Add/Remove Snap-in(添加/删除快照).4. 在“Add/Remov
14、e Snap-in(添加/删除快照)”对话框中,如图8所示,在可用的快照面板中,卷动窗口,直到“Windows Firewall with Advanced Security(高级安全的Windows防火墙)”。图8 Add/Remove Snap-in(添加/删除快照)窗口。5. 点击“Add(添加)”按钮。6. 当被询问要求选择被快照所应当管理的电脑时,选择本地电脑选项,然后按下“Finish(结束)”。7. 按下“OK(确定)”。这会将你带回MMC。8. 按下Windows Firewall with Advanced Security(高级安全的Windows防火墙)旁边的向下箭头。这
15、会打开防火墙的配置选项,并显示当前的防火墙状态。这个屏幕如图9所示。图9显示了Windows防火墙状态的MMC在这个主要的配置窗口,有大量的配置选项可用。我将在本文中对主要的几点进行一下讲述。首先,要注意Overview(概要)区域,这里提供给你很多和Windows防火墙相关的信息。高级安全的Windows防火墙属性窗口 第一个要留心的地方,就是防火墙的属性窗口,可以通过Actions(动作)面板中的Properties(属性)链接进行访问。注意这一点, 在图10中,Domain Profile(域文件)页面被选中了。另外,也要注意Public Profile(公共文件)和Private Pr
16、ofile(私人文件)页面都有和Domain Profile(域文件)页面同样的选项。图10 被打开的属性页面,Domain Profile页面被选中了在继续朝下讲之前,现在是解释一下不同Profile之间区别的好时候。Domain Profile:(域文件) 在这个Profile中提供的选项,是当电脑连接某个共同域时所强制执行的选项。论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等Private Profile:(私人文件) 在这个Profile中提供的选项,是当电脑连接某个私人网络时所强制执行的选项Public Profile:(公共文件) 在这个Prof
17、ile中提供的选项,是当电脑连接某个公共网络时所强制执行的选项。在任何一个Profile文件页面,都可以执行很多任务:通过点击“Firewal state(防火墙状态)”按钮,启用或者禁止防火墙。确认进入方向的连接应当被如何处理。你的选择有:1. Block(禁止,这是默认的): 根据你预先定义好的通信规则,对进入方向的通信进行阻挡。2. Block all connections(阻挡所有连接): 阻挡所有进入的通信,而不管防火墙规则如何。3. Allow(允许): 允许所有的通讯都穿越防火墙。确定如何处理外出的连接;你的选择是允许或者阻挡。这里没有阻挡所有(blocking all)的选项
18、。通过按下Settings(设定)旁边的“Customize”(自定义)按钮,来自定义Windows防火墙的行为。通过按下Logging(记录)旁边的“Customize”(自定义)按钮,来自定义Windows防火墙该如何处理记录。论坛介绍关于 IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等在图11中所示的屏幕,展示了当你按下属性页面中的Setting(设定)区域 的Customize(自定义)按钮之后是怎样的。在这个屏幕上,决定了你将如何处理防火墙的通知,以及是否在多播/广播通信允许的情况下进行回应。图11 在选定profile下的自定义设定如果你想修改记录选项(lo
19、gging),点击窗户底部的“Customize(自定义)”按钮。你会看到类似图12这样的一个窗口。图12 在选定profile下的自定义记录(logging)设定在这个窗口中,使用“Browse(浏览)”按钮来选择防火墙记录文件的存放路径以及文件名。这里也可以定义最大的记录文件尺寸,并指出是否打算记录丢弃的数据包以及(或者)成功的连接。如果你记录了太多信息的话,你的记录文件可能会迅速变得很笨重而难以处理。 回到属性页面,唯一和其他不一样的页面,是IPsec设定页面,如图13所示。图13 Ipsec设定页面这个屏幕上没多少东西。在这里,你可以呼出更多的IPsec实质配置窗口,如图14所示。你也
20、可以选择是否从Ipsec中排除ICMP数据包。这么做,可以简化你的网络调试,因为它将IPsec的层面从等式中去除了。图14 更多的防火墙IPsec配置自定义在图14中所示的选项是真实的,在IPsec的配置之下的东西。在这里,你可以对你的key交换模式,数据保护模式,以及认证方式等进行配置。 注意,每一个选项都提供了“默认(Default)”的一个设置,就像其他可以选择的选项一样。每一个选项同样也提供了一个“Advanced(高级)” 选择。当你选择了一个高级选项时,相关的“Customize(自定义)”按钮就可用了。当你按下其中的一个自定义按钮之后,你看到的选项,将允许对 IPsec配置进行非
21、常细微的配置。每一个高级选项窗口都如下面的图15,图14,和图15所示。图15 在Windows防火墙中可用的高级IPsec key交换选项图16 高级IPsec数据保护选项图17 高级认证模式窗口,以及其他认证选项Windows Vista的开发花费了很长的时间,而在其他操作系统中凡是看得到的功能,几乎都改头换面出现在了Vista之中。在Vista中的Windows防火墙就是这个变化部分的其中之一。其他Windows防火墙配置设定 注意,你现在已经看过了Windows防火墙属性页面,让我们来看一些其他用户接口的成分。看一眼图9。我将从主配置窗口左手边的选项来开始。Inbound Rules:
22、进入规则 允许你设定规则,以控制Windows防火墙到底如何处理进入方向的通信。Outbound Rules:外出规则 允许你设定规则,以控制Windows防火墙到底如何处理外出方向的通信。Connection Security Rules:连接安全性规则 使用IPsec来对同样使用Windows防火墙的两台电脑之间的通信进行加密,或者对使用一个兼容IPsec策略的两台电脑通信进行加密。我在本文中不会对这些种类的规则说的太多。Monitoring:监控 监控选项给了你一种方法,让你可以查看你的防火墙正在做什么。本文中我也不会对监控方面讲述太多。Inbound Rules(进入规则)Window
23、s防火墙一般总是有能力对进入的通信进行阻挡。不过,在高级配置视图之中,Windows防火墙对那些了解如何配置服务的人们来说,显然更具有弹性。图18让你可以看一下防火墙管理接口的进入规则部分。图18 Windows防火墙进入规则列表注意,在窗口的中间列出的每一个规则旁边,都有一个灰色或者绿色的选中标记。一个绿色的选中标记,表明该规则是被启用的,而一个灰色的选中标记 则表明该规则被定义了,但是没有被启用。要启用或者禁止一个现存的规则,右键点击该规则,然后选择“Enable Rule(启用规则)”或者“Disable Rule(禁用规则)”。在Windows防火墙中,有一定数量的重要进入规则可以使用
24、。要注意,如图10所示,每一个单独的规则仅管理一个特定的服务方面。举例来说, 有很多的规则名字都以“Core Networking(核心网络)”作为开头。每一个规则都管理着一个非常特定的程序或者协议;举例来说,一个规则可能仅允许通过TCP25端口进入的 SMTP连接。所有的核心网络管理规则都是启用 的,因为没有了他们,你的电脑可能都不能正常工作。如果你打算特别加强你的Vista工作站,你也可以禁用某些规则。规则中的许多是特定版本的传输协议。这就是说,某些规则是为了Ipv4,某些规则则是特别为了Ipv6的,而不是一个规则同时为两者服务的。如果你在你的网络中没有使用Ipv6,你可以禁用所有面向Ip
25、v6的规则。Outbound Rules:外出规则外出规则选项看起来和图10所示的进入规则屏幕差不多,工作方式也是一样的。我们很快会看一下如何建立新规则。Windows防火墙给予你相应的能力来根据许多规范建立的进入和外出的规则,包括通过特定程序的管理,或者基于TCP/UDP端口的管理。要 添加一个新规则,要么选择进入规则,或者外出规则(根据你自己的需要),然后在MMC中选择新规则选项(New Rule option)。这会开始一个精灵,然后带你进入规则建立进程。如图19所示,精灵的第一个屏幕,要求你决定打算建立何种规则。就本例而言,我将建立一个自定义规则,以示范最普遍的可能性。图19 选择你打
26、算建立的规则种类精灵的第二个页面,选择新规则需要限制的程序和服务。你可以选择新规则对所有运行的程序和服务有效(这意味着该规则对所有的连接都有效,而不是仅仅针对特定程序或者服务的连接),或者,仅对某个特定的程序或者服务生效。 论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等)h M68Jx;Jo$w:Z图20显示了如何对特定的程序限定相应的规则。如果你打算对某个特定的服务限定规则,点击“Customize(自定义)”按钮。在图21中所 示的屏幕,显示了你可以对所有的程序和服务都应用该规则,或者仅对服务应用,或者对从列表中选择的某个服务应用,或者是对你在窗口底部的
27、对话框 中所输入简短名称的某个服务生效。图20 该规则将对哪个程序或者服务进行限定图21 该规则应当覆盖哪个服务?就我的示例而言,我将该规则应用于所有的程序和服务。精灵的第三个页面,如图22所示,要求你提供应当被用于本规则的具体协议和端口。图22 该规则将处理哪个协议和端口这个屏幕在以下区域中要求提供相应信息协议种类可用的协议类型如下所示:HOPOPT (IPv6 Hop-by-Hop Option)ICMPv4ICMPv6论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等IGMPTCPUDPIPv6IPv6-RouteIPv6-FragIPv6-NoNxtIT
28、IPv6-OptsGREPGML2TP论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等本地端口 本地端口选项仅当你在为协议种类选择了TCP或者UDP之后才可以使用。一个本地端口是在运行Windows防火墙的电脑上所使用的端口。本地端口可用的选项有:All ports(所有端口)论坛介绍关于IT界的最新新闻,全方位介绍最新软件,并提供用户交流经验和技巧的平台等Specific ports(特定端口Dynamic RPC(动态RPC)RPC Endpoint Mapper(RPC端点映射)Edge Traversal(边缘穿越)远程端口论坛介绍关于IT界的最新新闻
29、,全方位介绍最新软件,并提供用户交流经验和技巧的平台等远程端口选项仅当你在为协议种类选择了TCP或者UDP之后才可以使用。一个远程端口,指的是试图和你本地电脑进行通信的远方电脑上所用的端口。对远程端口,你可以使用“All Ports(所有端口)”,也可以使用“Specific Ports(特定端口)”。互联网控制信息协议(ICMP)设定如果你在协议类型中选择了ICMP选项之一,那么该选项旁边的Customize(自定义)按钮就会变得可用。点击此按钮,会打开如图23所示的ICMP自定义设置窗口。在该屏幕上,你可以选择将该规则适用于所有的ICMP类型,或者仅仅适用于特定的ICMP类型。图23 自定
30、义ICMP设定窗口精灵的下一个页面,如图24所示,将询问你新规则的本地和远程IP地址(范围)。而范围可以被适用于进出的所有通讯规则,这样满足了预先定义范围的通讯都将被适用该规则,就像其他规则所做的那样。图24 该规则对应的IP地址是什么?一旦你已经在一个将要生效的规则下定义了具体参数,就需要决定当有事件满足条件时应当做些什么。如图25所示,你有3个选项:Allow The Connection(允许连接),无论该连接是否启用了IPsec。Allow The Connection Only If It Is Secured By IPsec(仅允许被IPsec保护的连接). 你也可以在这里为了额外的安全而选择子选项。如果你选择了它,你必须同时指定用户或者电脑如何确定可信任的连接。Block The Connection(阻止该连接)。图25 当满足条件时,应当采取什么行动?对于最后的精灵页面,我这里就不放出屏幕图形了。最后倒数一二个页面,Profile,会要求你选择具体哪个Profile domain(域),Private(私人),或者Public(公共) 将被应用新规则? 精灵的最后一个屏幕要求你为新规则命令,另外,也可以输入一个说明性的详细描述。当你完成了建立新规则后,它将会显示在主要防火墙配置窗口的规则列表中缺点毫无疑问,说到客户级别的保护方面,Windo
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 