Windows Vista中的新防火墙

与当前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火墙一样，新的 Windows 防火墙也是一个基于状态主机的防火墙，它可以根据自己的配置和当前运行的应用程序来允许或阻止网络流量，从而保护网络免遭恶意用户和程序的入侵。

　　新 Windows 防火墙的增强功能

　　与当前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火墙相比，Windows Vista 和 Windows Server "Longhorn" 中的新 Windows 防火墙具有以下增强功能:

• 　　•支持传入和传出流量
• 　　•用于图形用户界面 (GUI) 配置的新 Microsoft 管理控制台 (MMC) 管理单元
• 　　•集成防火墙过滤和 Internet 协议安全 (IPsec) 保护设置
• 　　•可以配置 Active Directory 目录服务帐户和组、源和目标 IP 地址、IP 协议号、源和目标传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口、全部或多个 TCP 或 UDP 端口以及特定类型接口的例外，可以根据类型和代码来配置 Internet 控制消息协议 (ICMP) 和 ICMP for IPv6 (ICMPv6) 流量的例外，并且可以配置服务的例外

　　支持传入和传出流量

　　新的 Windows 防火墙支持传入流量的防护/防火墙保护，它能够丢弃所有未经请求的传入流量，即那些不是响应某个计算机请求而发送的流量(请求的流量)，或那些未被指定为准入流量的未经请求的流量(排除/禁止的流量)。 这是计算机上运行的最关键类型的防护，因为它有助于防止网络病毒和蠕虫通过未经请求的流量来传播的方式来感染计算机。

　　新的 Windows 防火墙支持传入流量和传出流量的防护。 例如，网络管理员可以配置新 Windows 防火墙的一组例外，从而阻止发送到特定端口(例如已知的病毒软件使用的端口)的所有流量或是发送到特定地址的包含敏感内容或不希望内容的所有流量。

　　新 Windows 防火墙的默认行为是:

• 　　•阻止所有传入流量，除非是经过请求的流量或是匹配某个已配置例外的流量。
• 　　•允许所有传出流量，除非匹配某个已配置的例外。

　　用于 GUI 配置的新 MMC 管理单元

　　对于当前的 Windows 防火墙，用于配置的 GUI 由控制面板中的 Windows 防火墙和组策略编辑器管理单元中的一系列组策略设置组成。

　　您可以使用控制面板中的“Windows 防火墙”项来配置新的 Windows 防火墙，前者包含一组与当前 Windows 防火墙相同的配置选项。 您可以配置新 Windows 防火墙的基本设置，但是不能配置增强功能。

　　因为具有多个高级配置选项，并且具有相同的本地和 Active Directory 组策略配置，新的 Windows 防火墙也可以使用一个名为“带有高级安全性的 Windows 防火墙”的 MMC 管理单元来配置。 在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您必须将“带有高级安全性的 Windows 防火墙”管理单元添加到 MMC 控制台中。 当前“管理工具”文件夹中没有预定义的用于“带有高级安全性的 Windows 防火墙”管理单元的控制台。

　　使用新的“带有高级安全性的 Windows 防火墙”管理单元，网络管理员可以在远程计算机上配置新 Windows 防火墙的设置，这是当前的 Windows 防火墙在不使用远程桌面连接的情况下无法实现的。

　　若要采用命令行方式来配置新 Windows 防火墙的高级设置，您可以在 netsh advfirewall 上下文中使用命令。 运行 Windows XP SP2 或 Windows Server 2003 SP1 的计算机中不存在这种上下文。

　　若要采用组策略的方式来配置新的 Windows 防火墙，请在“组策略编辑器”中转到“计算机配置”/“Windows 设置”/“安全设置”/“带有高级安全性的 Windows 防火墙”。新的 Windows 防火墙将会应用“计算机配置”\“管理模板”\“网络”\“网络连接”\“Windows 防火墙”中配置的当前 Windows 防火墙的组策略设置。 运行 Windows XP SP2 或 Windows Server “Longhorn” 的计算机将会忽略新 Windows 防火墙的组策略设置。

　　注意在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您无法查看使用控制面板的“Windows 防火墙”项中的“带有高级安全性的 Windows 防火墙”管理单元创建的例外。

　　集成防火墙和 IPsec 设置

　　IPsec 是一组 Internet 标准，用于为 IP 流量提供加密保护。 在 Windows XP 和 Windows Server 2003 中，Windows 防火墙和 IPsec 是分别配置的。 由于在 Windows 中基于主机的防火墙和 IPsec 都能够阻止或允许传入流量，因此创建的防火墙例外和 IPsec 规则有可能会产生重叠或对立的情况。 新的 Windows 防火墙使用相同的 GUI 和命令行命令集成了这两种网络服务的配置。 集成防火墙和 IPsec 设置的另外一项好处是 IPsec 设置的配置变得非常简单。

　　可以配置 Active Directory 帐户和组的例外

　　对于指定了传入流量或传出流量必须使用 IPsec 进行保护的例外，您可以指定有权初始化受保护通讯的计算机帐户和组或用户帐户和组的列表。 例如，您可以指定发送到特定服务器的带有敏感数据的流量必须受到保护，并且这些流量只能来自特定用户或计算机。

　　可以配置源和目标 IP 地址的例外

　　使用当前的 Windows 防火墙，您可以指定传入流量的排除范围。 范围定义了排除的流量来自的网络段，实际上就是传入流量的源 IP 地址(包括 IPv4 和 IPv6)。 使用新的 Windows 防火墙，您可以配置传入流量和传出流量的源和目标 IP 地址，从而使您能够更加精确地定义允许的流量或阻止的流量的类型。 例如，如果不允许使用特定 IP 地址的某台计算机给一组服务器发送流量，您可以创建一个阻止出站例外，把本地分配的地址指定为源地址，把服务器地址指定为目标地址。

　　对于目标地址，您还可以使用新的 Windows 防火墙指定下列预定义地址:

　　•默认网关、WINS 服务器、DHCP 服务器和 DNS 服务器

　　这些预定义地址会被动态映射到主机当前定义的默认网关、WINS 服务器、DHCP 服务器和 DNS 服务器。

　　•本地子网

　　这些预定义地址会被动态映射到根据您的 IPv4 地址和子网掩码或是您的 IPv6 本地子网前缀定义的地址组。

　　可以配置 IP 协议号的例外

　　新的 Windows 防火墙允许您按名称选择协议，或是手动键入所需流量的“IPv4 协议”字段或“IPv6 下一个标头”字段的值。 新的 Windows 防火墙允许您按名称选择协议，或是手动键入所需流量的“IPv4 协议”字段或“IPv6 下一个标头”字段的值。

　　可以配置源和目标 TCP 和 UDP 端口的例外

　　使用当前的 Windows 防火墙，您可以指定传入流量的目标 TCP 或 UDP 端口。 使用新的 Windows 防火墙，您可以配置传入流量和传出流量的源和目标 TCP 或 UDP 端口，从而使您能够更加精确地定义允许的流量或阻止的 TCP 或 UDP 流量的类型。 例如，如果您希望阻止使用一组已知 TCP 端口的恶意流量或不希望的流量，您可以创建阻止出站和入站例外，指定流量的 TCP 源端口和目标端口。

　　可以配置全部或多个端口的例外

　　在使用当前的 Windows 防火墙配置基于端口的例外时，您只能指定一个 TCP 或 UDP 端口。 但是使用新的 Windows 防火墙，您可以指定全部 TCP 或 UDP 端口(对于所有 TCP 流量或所有 UDP 流量)或多个端口(使用逗号分隔)。 要配置新 Windows 防火墙使用某个端口范围，您必须指定范围中的所有端口。 例如，如果您希望配置端口范围 1090-1095 的例外，您必须配置下列端口: 1090,1091,1092,1093,1094,1095.

　　可以配置特定类型接口的例外

　　使用当前的 Windows 防火墙，所有启用的例外将应用于所有启用了防护的接口。 而使用新的 Windows 防火墙，您可以指定例外应用于所有接口或是应用于特定类型的接口，这包括 LAN 接口、远程访问接口或无线接口。 例如，如果某个应用程序只能通过远程访问连接访问，而您不希望激活 LAN 和无线连接的例外，那么您可以配置仅应用于远程访问连接的例外。

　　可以根据类型和代码来配置 ICMP 和 ICMPv6 流量的例外

　　使用当前的 Windows 防火墙，您可以启用一组固定的 ICMP(用于 IPv4)和 ICMPv6 消息的例外。 而使用新的 Windows 防火墙，系统提供了一组常用的预定义排除的 ICMP 和 ICMPv6 消息，同时您可以通过指定 ICMP 或 ICMPv6 消息类型和代码字段值来添加新的 ICMP 或 ICMPv6 消息。 例如，如果要为“ICMPv6 数据包太大”消息创建一个例外，则您可以手动为 ICMPv6 类型 2 和代码 0 创建一个例外。

　　可以配置服务的例外

　　使用当前的 Windows 防火墙，您必须通过指定服务程序文件名路径的方式来配置服务的例外。 使用新的 Windows 防火墙，您可以指定例外仅仅应用于服务或是特定服务(指定它的服务名，或者您可以键入服务的短名称)的任何进程。 例如，如果您想要配置仅应用于“计算机浏览器”服务的例外，您可以在计算机上运行的服务列表中选择“计算机浏览器”服务。

使用“带有高级安全性的 Windows 防火墙”管理单元

　　要配置新 Windows 防火墙的高级设置，您必须通过执行以下操作将新的“带有高级安全性的 Windows 防火墙”管理单元添加到 MMC 控制台中:

• 　　1.从 Windows Vista 或 Windows Server "Longhorn" 桌面上，单击开始，键入 mmc，然后按 ENTER 键。
• 　　2.在 MMC 控制台窗口中，单击文件，然后单击添加/删除管理单元。
• 　　3.在可用管理单元列表中，单击带有高级安全性的 Windows 防火墙，然后单击添加。
• 　　4.当系统提示选择要管理的计算机时，单击本地计算机，单击完成，然后单击确定。

　　下图显示了“带有高级安全性的 Windows 防火墙”管理单元的一个示例视图。

　　要修改新 Windows 防火墙的状态或是指定控制新 Windows 防火墙行为的其他设置、登录设置以及每个配置文件的 IPsec 设置，请右键单击树中的带有高级安全性的 Windows 防火墙，然后单击属性。下图显示了一个示例。

　　“带有高级安全性的 Windows 防火墙”树具有以下节点:

• 　　•入站例外 存储一组用于传入流量的已配置的例外。
• 　　•出站例外 存储一组用于传出流量的已配置的例外。
• 　　•计算机连接安全性 存储一组用于受保护流量的规则。
• 　　•监视 显示有关当前防火墙例外、连接安全性规则和安全相关项的信息。 在“组策略编辑器”管理单元中查看“带有高级安全性的 Windows 防火墙”管理单元时不会显示“监视”节点。

　　当您选择树中的“带有高级安全性的 Windows 防火墙”节点时，将会显示以下面板:

• 　　•概述 显示域和标准配置文件的新 Windows 防火墙的当前状态，包括哪个配置文件处于活动状态。
• 　　•入门 提供有关新 Windows 防火墙函数的基本信息，同时提供指向树中节点的链接。
• 　　•链接和资源 提供指向新 Windows 防火墙的常用过程和主题的其他信息的链接。

　　“操作”面板显示当前树中或详细信息面板中所选节点的上下文菜单命令。

　　新 Windows 防火墙配置由以下几部分组成:

• 　　•入站例外
• 　　•出站例外
• 　　•计算机连接安全性规则

　　配置入站例外

　　要创建新的入站例外，请右键单击树中的入站例外，然后单击新建例外。 您也可以单击树中的入站例外，然后单击“操作”面板中的新建例外。

　　“新建入站例外”向导将会启动。下图显示了一个示例。

　　从“新建入站例外”向导的“例外类型”页面中，您可以选择下列内容:

• 　　•程序 根据程序名称指定传入流量的例外。 您必须同时指定操作(允许、阻止或保护)、例外应用到的配置文件(标准、域或两者)，以及例外的名称。
• 　　•端口 根据 TCP 或 UDP 端口指定传入流量的例外。 您必须同时指定操作(允许、阻止或保护)、例外应用到的配置文件(标准、域或两者)，以及例外的名称。
• 　　•预定义 根据某个预定义的服务指定例外，这包括“远程协助”、“文件和打印机共享”、“远程桌面”、“通用即插即用”(UPnP) 框架和 ICMP 请求回显(第 4 版)。 您必须同时指定例外的名称。
• 　　•自定义 创建一个不指定程序、端口或预定义服务的例外。 当您希望手动配置例外行为时(可能根据某些无法通过“新建入站例外”向导页面而配置的高级设置)，可以选择此选项。 您必须指定例外的名称。

　　完成“新建入站例外”向导后，详细信息面板中会显示一个使用您指定的名称的新入站例外。 要配置例外的高级属性，请右键单击入站例外的名称，然后单击属性。 您也可以单击此名称，然后在“操作”面板中单击属性。配置出站例外

　　要创建新的出站例外，请右键单击树中的出站例外，然后单击新建例外。 您也可以单击树中的出站例外，然后单击“操作”面板中的新建例外。

　　“新建出站例外”向导将会启动。下图显示了一个示例。

　　从“新建出站例外”向导的“例外类型”页面中，您可以选择下列内容:

• 　　•程序
• 　　•端口
• 　　•预定义
• 　　•自定义

　　这些例外类型与入站例外的例外类型相同，只是它们用于传出流量。

　　完成“新建出站例外”向导后，详细信息面板中会显示一个使用您指定的名称的新出站例外。 要配置例外的高级属性，请右键单击出站例外的名称，然后单击属性。 您也可以单击此名称，然后在“操作”面板中单击属性。

　　从入站例外或出站例外的属性对话框中，您可以配置下列选项卡上的设置:

• 　　•常规 例外的名称，例外应用到的程序，以及例外的操作(允许、阻止或保护)。
• 　　•授权 如果例外的操作是保护，则计算机或用户帐户或组就有权建立受保护连接。
• 　　•协议和端口 例外的 IP 协议、源和目标 TCP 或 UDP 端口，以及 ICMP 或 ICMPv6 设置。
• 　　•范围 例外的源和目标地址。
• 　　•高级 例外应用到的配置文件、接口类型和服务。

　　配置计算机连接安全性规则

　　要创建新的“计算机连接安全性”规则，请右键单击树中的计算机连接安全性，然后单击新建规则。 您也可以单击树中的计算机连接安全性，然后在“操作”面板中单击新建规则。

　　“新建身份验证规则”向导将会启动。下图显示了一个示例。

　　从“新建身份验证规则”向导的规则类型页面中，您可以选择以下内容:

• 　　•隔离 根据常见 Active Directory 基础结构中的成员关系，或是因为计算机具有一个更新和当前的运行状况，指定计算机与其他计算机隔离。 您必须指定您希望在什么时候进行身份验证(例如，对于传入流量或传出流量，以及您希望要求或是仅仅请求保护)、受保护流量的身份验证方法，以及规则的名称。 根据计算机的运行状况使用 Windows Vista 和 Windows Server Longhorn 中新的“网络访问保护”平台来隔离计算机。有关详细信息，请参见 网络访问保护网站.
• 　　•身份验证例外 使用 IP 地址的方式指定不必验证身份或是保护流量的计算机。
• 　　•服务器到服务器 指定特定计算机之间的流量保护，通常是服务器。 您必须使用 IP 地址的方式指定要交换流量的终结点，当您希望进行身份验证时，还要指定受保护流量的身份验证方法，以及规则的名称。
• 　　•隧道 指定通过隧道方式保护流量，通常在 Internet 中的两台安全网关计算机之间发送数据包时使用。 您必须使用 IP 地址的方式指定隧道终结点，同时指定身份验证方法和规则的名称。
• 　　•自定义 创建一个不指定保护行为的规则。 当您希望手动配置规则时(可能根据某些无法通过“新建身份验证规则”向导页面而配置的高级设置)，可以选择此选项。 您必须指定规则的名称。

　　完成“新建身份验证规则”向导后，“计算机连接安全性”节点的详细信息面板中会显示一个使用您指定的名称的新规则。 要配置规则的高级属性，请右键单击规则的名称，然后单击属性。 您也可以在详细信息面板中单击规则名称，然后在“操作”面板中单击属性。

　　从规则的属性对话框中，您可以配置下列选项卡上的设置:

• 　　•常规 规则的名称和描述。
• 　　•计算机 要保护流量的计算机组(使用 IP 地址指定)。
• 　　•身份验证 您希望在什么时候对流量保护进行身份验证时(例如，对于传入流量或传出流量，以及您希望要求或是仅仅请求保护)以及受保护流量的身份验证方法。
• 　　•高级 规则应用到的配置文件和接口类型，以及 IPsec 隧道行为。