Vista安全功能逐一审视之防火墙篇
XP防火墙功能的简陋一直让Windows XP用户不满意,实际上很多朋友将其称为食之无味弃之可惜的鸡肋。在以安全性著称的Vista中,能否让我们眼前一亮,看到一款完美或者更好的防火墙呢?之前已经听说过Vista的防火墙的改进非常之大,今天让我们来仔细观之。
<P><STRONG> 一种功能两个界面 满足不同需要</STRONG></P>
<P> 在Vista中设置防火墙有两处地方,一处是我们所熟悉的从控制面板的安全中心中设置防火墙,在这儿看到的界面和我们通常在XP中的防火墙设置是完全一样,在这儿我们可以进行一些简单的基本设置,例如打开或关闭防火墙,可以设置例外的程序等。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173656277801.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图1</TD></TR></P>
<P> 另一处是从控制面板-系统和维护-管理工具中的高级安全Windows防火墙管理控制台(MMC),在这儿你可以体验到Vista防火墙的更多高级安全设置。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173660977802.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图2</TD></TR></P>
<P> 通过将简单设置和复杂设置分开,可以防止初级用户不小心误设高级设置,从而导致安全设置过高而无法上网或处于安全风险之中;同时又让高级用户可以根据需要定制防火墙设置,例如对出站和入站的控制。</P>
<P> 另外,你也可以通过netsh命令行方式设置Vista的防火墙,或者可以创建脚本来对防火墙进行自动配置,详细设置命令可以参考Vista帮助文件。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173665677803.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图3 命令行方式设置Vista的防火墙</TD></TR></P>
<P> 还有,通过组策略管理也可以设置Vista的高级安全防火墙。</P>
<P><STRONG></STRONG> </P>
<P></p><p align='center'><b> 下一页 </b></p> <
</P>
<P><STRONG> 双向保护 Vista防火墙迷途知返</STRONG></P>
<P> XP防火墙最大的问题是单向保护,即只能对进入计算机的数据进行拦截审查,而在Vista中防火墙已经可以实现通信的双向控制了,也就是说你不仅可以控制连入<U>电脑</U>的访问,也可以控制流出的数据,这在很多第三方的防火墙中都是可以实现的,它的好处也是很显而易见的。</P>
<P> 大多数木马或间谍一旦通过某种欺骗手段侵入系统后,肯定会和外部连接,这样如果我们设置了合适的规则,就可以阻挡木马或间谍软件外向的链接,例如可以阻挡数据发给病毒常用的特定端口。</P>
<P> 从系统和维护-管理工具中打开高级Windows安全防火墙设置。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173670377804.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图4 高级Windows安全防火墙</TD></TR></P>
<P> 我们可以看到,在这儿可以设置入站以及出站规则,出站规则明确允许或者明确拒绝来自与规则条件匹配的计算机的通信。例如,可以将规则配置为明确阻止出站通信通过防火墙到达某一台计算机,但允许同样的通信到达其他计算机。默认情况下允许出站通信,因此必须创建出站规则来阻止通信。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173675077805.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图5 设置出站规则</TD></TR></P>
<P> 当然也有朋友表示,我们真的需要对流出的数据进行监控么?一旦木马或间谍软件已经驻留在我们的系统中,它就已经具有了系统管理员的权限,当然可以把自己外出权限打开,而且现在的木马或间谍软件大都采用了保护外壳,很具有欺骗性,很容易让用户认为这是一个合法的外出连接,而实质上当有数据流出的时候弹出的窗口,有多少人认真看呢?</P>
<P> 不过,不管怎么样,Vista中提供了双向保护的确是一种进步,因为毕竟给了用户一种选择的权力。</P>
<P><STRONG> 了解基本安全设置</STRONG></P>
<P> 在基本安全设置中,你可以打开或关闭防火墙;默认情况下,防火墙处于打开状态,大部分程序都被阻止通过防火墙进行通信。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173684377806.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图6 基本安全设置</TD></TR></P>
<P> 当然你也可以选择不允许例外,阻挡一切程序;同时也可以选择针对程序、端口或服务的例外。如果想要解除阻止某一程序,可以将其添加到“例外”列表(位于“例外”选项卡上)。例如,在将即时消息程序QQ添加至“例外”列表中,就可以使用QQ发送照片或聊天。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173689077807.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图7 设置例外</TD></TR></P>
<P> </P>
<P></p><p align='center'><b>上一页 下一页 </b></p> <
</P>
<P> 另外,可以设置每一个例外的范围:是针对所有计算机,还是针对某些IP地址或网段的特定计算机。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173693777808.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图8 设置例外应用范围</TD></TR></P>
<P> 如果你的机器有多个网络连接的话,可以设置防火墙保护哪一个连接,以及配置安全日志和ICMP设置。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173698477809.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图9 选择保护哪一个网络连接</TD></TR></P>
<P> 实际上,在默认规则下,Vista的安全防火墙也具有一个非常安全的配置,而且很具有可用性;大多数入站连接被阻挡,而出站连接则被允许;Vista的防火墙和Vista的Windows Service Hardening功能联动,假若防火墙检测到某个行为是被Windows Service Hardening禁止的,防火墙就会阻止这个行为。而且Vista的防火墙完全支持纯IPv6网络环境。</P>
<P><STRONG> 了解高级安全设置</STRONG></P>
<P> 进入控制面板-系统和维护-管理工具,我们可以双击打开“高级安全Windows<U>防火墙</U>”,也可以直接输入“wf.msc”命令,回车打开。除了上文提到的双向控制外,Windows防火墙高级特性还比较多,限于篇幅,在此笔者只简单的介绍一下各个特性,详细设置请大家自己去研究了。</P>
<P><STRONG> 1、Vista防火墙集成IPSec确保通信安全</STRONG></P>
<P> IPSec是一系列为IP通信提供加密保护的Internet标准,在Windows XP和2003中,防火墙和IPSec是分开单独设置的,不过由于基于主机的防火墙和IPSec都可以阻止或允许入站的通信数据,因此在以前防火墙设置和IPSec设置有可能造成设置的重复或者相反的现象。</P>
<P> 新的Vista防火墙把这两部分设置整合到一起,你可以使用同一个图形界面来配置它们,也可以通过命令行方式来配置它们。把防火墙和IPSec整合在一起的好处还有一个,就是使得IPSec的配置非常简单了。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173731778010.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图10 整合IPSec设置</TD></TR></P>
<P> 通过使用密钥交换、身份验证、数据完整性和数据加密等来实现供计算机到计算机的连接安全。使您可以对通信要求身份验证和数据保护,可以请求或要求计算机在通信之前互相进行身份验证,并在通信时使用数据完整性或数据加密。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/20081229173778778011.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图11 设置身份验证方法</TD></TR></P>
<P><STRONG></STRONG> </P>
<P></p><p align='center'><b>上一页 下一页 </b></p> <
</P>
<P><STRONG> 2、多个配置文件满足不同需要</STRONG></P>
<P> 通过Vista防火墙的高级安全设置,你可以为你创建的安全规则选择不同的配置文件,这样在不同的情况可以自动启用或禁用该安全规则。这对使用移动笔记本的用户来说是一个非常好的功能。例如,当你使用无线网络连接到一些热点网络(例如在机场或咖啡馆)的时候,更高安全性的安全规则就会被启用。而在局域网内的时候,可以选择一个安全性稍低的防火墙配置文件。在Vista防火墙中有三个配置文件,分别是域配置文件、专用配置文件和公用配置文件。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/200812291737125778012.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图12 三种配置文件</TD></TR></P>
<P> 当计算机连接到其域帐户所在的网络时,应用域配置文件;当计算机连接到不存在其域帐户的网络时,应用专用配置文件,专用配置文件设置一般应该比域配置文件设置更为严格;当计算机通过公用网络(如机场和咖啡店中的可用网络)连接到域时应用公用配置文件,公用配置文件设置应该最为严格。</P>
<P> 规则被创建后,也可以根据需要调整这些设置,在入站规则和出站规则节点的“防火墙规则属性”对话框中更改配置文件。</P>
<P><STRONG> 3、详细的日志文件</STRONG></P>
<P> 可将具有高级安全性的 Windows 防火墙配置为记录表明进程成功和失败的事件。日志记录设置包括两组设置:日志文件自身的设置和确定文件将记录哪些事件的设置。</P>
<P>
<TR>
<TD><IMG src="/bbs/attachments/computer/20081202/200812291737218778013.jpg" border=1></TD></TR>
<TR>
<TD align=middle>图13 日志记录设置</TD></TR></P>
<P> 您可以指定创建日志文件(或可以使用现有文件)的位置、文件可以增长到多大,以及是否希望日志文件记录有关丢弃的数据包、成功的连接(或两者)的信息。</P>
<P> 记录丢弃的数据包,使用此选项记录具有高级安全性的 Windows 防火墙由于任何原因丢弃入站数据包的时间。日志将详细说明丢弃数据包的原因和时间。</P>
<P> 记录成功的连接,使用此选项记录具有高级安全性的 Windows 防火墙允许入站连接的时间。日志将详细说明形成连接的原因和时间。</P>
<P> 另外,总体来说高级安全Windows防火墙从功能上来说已经具备了以前在专业级别的防火墙软件中才能见到的功能,如果再配合使用组策略的话,其功能就更显强大了。</P>
<P><STRONG> Vista<U>防火墙</U>功能总结:</STRONG></P>
<P> 总体来说,Vista中的防火墙还算比较令人满意,具有以下三大特点。</P>
<P><STRONG> 1、界面更人性化,设计更合理。</STRONG></P>
<P> 其中简单设置和高级安全特性分开可以说满足了不同人群的需求。另外高级安全防火墙中,设置和查看安全规则更简单清晰。</P>
<P><STRONG> 2、功能更强大。</STRONG></P>
<P> 与IPSec的整合无疑是其最大的亮点,这对IT专业人士来说无疑帮助巨大。合理的运用它,Vista防火墙不比其他第三方软件差。</P>
<P><STRONG> 3、实现通信的双向控制。</STRONG></P>
<P> 这一点改变了一直被人批评的只管进不管出的问题。</P>
<P> 同时我们也如何可以预见,Vista安全性的加强,也对安全厂商提出了新的挑战。相信在今后的桌面操作平台上,我们会看到设计更安全、操作更简便的安全产品出现。</P></p><p align='center'><b>上一页 </b></p> <
页:
[1]