WindowsVista中的新防火墻之一

字號(hào):

與當(dāng)前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火墻一樣,新的 Windows 防火墻也是一個(gè)基于狀態(tài)主機(jī)的防火墻,它可以根據(jù)自己的配置和當(dāng)前運(yùn)行的應(yīng)用程序來(lái)允許或阻止網(wǎng)絡(luò)流量,從而保護(hù)網(wǎng)絡(luò)免遭惡意用戶和程序的入侵。
    新 Windows 防火墻的增強(qiáng)功能
    與當(dāng)前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火墻相比,Windows Vista 和 Windows Server "Longhorn" 中的新 Windows 防火墻具有以下增強(qiáng)功能:
    1, 支持傳入和傳出流量
    2, 用于圖形用戶界面 (GUI) 配置的新 Microsoft 管理控制臺(tái) (MMC) 管理單元       
    3,集成防火墻過(guò)濾和 Internet 協(xié)議安全 (IPsec) 保護(hù)設(shè)置
    4,可以配置 Active Directory 目錄服務(wù)帳戶和組、源和目標(biāo) IP 地址、IP 協(xié)議號(hào)、源和目標(biāo)傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 端口、全部或多個(gè) TCP 或 UDP 端口以及特定類型接口的例外,可以根據(jù)類型和代碼來(lái)配置 Internet 控制消息協(xié)議 (ICMP) 和 ICMP for IPv6 (ICMPv6) 流量的例外,并且可以配置服務(wù)的例外
    支持傳入和傳出流量
    新的 Windows 防火墻支持傳入流量的防護(hù)/防火墻保護(hù),它能夠丟棄所有未經(jīng)請(qǐng)求的傳入流量,即那些不是響應(yīng)某個(gè)計(jì)算機(jī)請(qǐng)求而發(fā)送的流量(請(qǐng)求的流量),或那些未被指定為準(zhǔn)入流量的未經(jīng)請(qǐng)求的流量(排除/禁止的流量)。 這是計(jì)算機(jī)上運(yùn)行的最關(guān)鍵類型的防護(hù),因?yàn)樗兄诜乐咕W(wǎng)絡(luò)病毒和蠕蟲(chóng)通過(guò)未經(jīng)請(qǐng)求的流量來(lái)傳播的方式來(lái)感染計(jì)算機(jī)。
    新的 Windows 防火墻支持傳入流量和傳出流量的防護(hù)。 例如,網(wǎng)絡(luò)管理員可以配置新 Windows 防火墻的一組例外,從而阻止發(fā)送到特定端口(例如已知的病毒軟件使用的端口)的所有流量或是發(fā)送到特定地址的包含敏感內(nèi)容或不希望內(nèi)容的所有流量。
    新 Windows 防火墻的默認(rèn)行為是:
    1,阻止所有傳入流量,除非是經(jīng)過(guò)請(qǐng)求的流量或是匹配某個(gè)已配置例外的流量。
    2,允許所有傳出流量,除非匹配某個(gè)已配置的例外。
    用于 GUI 配置的新 MMC 管理單元
    對(duì)于當(dāng)前的 Windows 防火墻,用于配置的 GUI 由控制面板中的 Windows 防火墻和組策略編輯器管理單元中的一系列組策略設(shè)置組成。
    您可以使用控制面板中的“Windows 防火墻”項(xiàng)來(lái)配置新的 Windows 防火墻,前者包含一組與當(dāng)前 Windows 防火墻相同的配置選項(xiàng)。 您可以配置新 Windows 防火墻的基本設(shè)置,但是不能配置增強(qiáng)功能。
    因?yàn)榫哂卸鄠€(gè)高級(jí)配置選項(xiàng),并且具有相同的本地和 Active Directory 組策略配置,新的 Windows 防火墻也可以使用一個(gè)名為“帶有高級(jí)安全性的 Windows 防火墻”的 MMC 管理單元來(lái)配置。 在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中,您必須將“帶有高級(jí)安全性的 Windows 防火墻”管理單元添加到 MMC 控制臺(tái)中。 當(dāng)前“管理工具”文件夾中沒(méi)有預(yù)定義的用于“帶有高級(jí)安全性的 Windows 防火墻”管理單元的控制臺(tái)。
    使用新的“帶有高級(jí)安全性的 Windows 防火墻”管理單元,網(wǎng)絡(luò)管理員可以在遠(yuǎn)程計(jì)算機(jī)上配置新 Windows 防火墻的設(shè)置,這是當(dāng)前的 Windows 防火墻在不使用遠(yuǎn)程桌面連接的情況下無(wú)法實(shí)現(xiàn)的。
    若要采用命令行方式來(lái)配置新 Windows 防火墻的高級(jí)設(shè)置,您可以在 netsh advfirewall 上下文中使用命令。 運(yùn)行 Windows XP SP2 或 Windows Server 2003 SP1 的計(jì)算機(jī)中不存在這種上下文。
    若要采用組策略的方式來(lái)配置新的 Windows 防火墻,請(qǐng)?jiān)凇敖M策略編輯器”中轉(zhuǎn)到“計(jì)算機(jī)配置”/“Windows 設(shè)置”/“安全設(shè)置”/“帶有高級(jí)安全性的 Windows 防火墻”。新的 Windows 防火墻將會(huì)應(yīng)用“計(jì)算機(jī)配置”\“管理模板”\“網(wǎng)絡(luò)”\“網(wǎng)絡(luò)連接”\“Windows 防火墻”中配置的當(dāng)前 Windows 防火墻的組策略設(shè)置。 運(yùn)行 Windows XP SP2 或 Windows Server “Longhorn” 的計(jì)算機(jī)將會(huì)忽略新 Windows 防火墻的組策略設(shè)置。
    注意在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中,您無(wú)法查看使用控制面板的“Windows 防火墻”項(xiàng)中的“帶有高級(jí)安全性的 Windows 防火墻”管理單元?jiǎng)?chuàng)建的例外。