| 自推出Windows XP系統(tǒng)內(nèi)置的第一個(gè)防火墻(Internet Connection防火墻)以來(lái),微軟公司一直在穩(wěn)步改善其后推出的系統(tǒng)的防火墻功能。而在最新客戶端操作系統(tǒng)Windows 7中的Windows防火墻,進(jìn)行了革命化的改進(jìn),提供了更加用戶友好的功能,并且為移動(dòng)用戶的防火墻方面有明顯的改善。在本文中,我們將介紹Windows7中的Windows Firewall,以及如何與多個(gè)防火墻政策配置的問(wèn)題。
Windows防火墻的發(fā)展史
Windows XP中的防火墻軟件僅提供簡(jiǎn)單和基本的功能,且只能保護(hù)入站流量,阻止任何非本機(jī)啟動(dòng)的入站連接,默認(rèn)情況下,該防火墻是關(guān)閉的。SP2系統(tǒng)默認(rèn)情況下則為開啟,使系統(tǒng)管理員可以通過(guò)組策略來(lái)啟用防火墻軟件。Vista的防火墻是建立在新的Windows過(guò)濾平臺(tái)(WFP)上的,該防火墻添加了通過(guò)高級(jí)安全MMC管理單元過(guò)濾出站流量的功能。在Windows 7中,微軟公司已經(jīng)進(jìn)一步調(diào)整了防火墻的功能,讓防火墻更加便于用戶使用,特別是移動(dòng)計(jì)算機(jī)中,并且能夠支持多種防火墻政策。
Windows 7防火墻
在Vista中,Windows7防火墻的基本設(shè)置是通過(guò)控制面板程序設(shè)置的,與Vista不同的是,你也可以通過(guò)控制面板訪問(wèn)高級(jí)設(shè)置(包括配置出站連接過(guò)濾),而不需要?jiǎng)?chuàng)建空的MMC并添加一個(gè)管理單元。只需要點(diǎn)擊左側(cè)面板中的高級(jí)設(shè)置連接即可,如圖1所示。
性能大PK!Vista和Windows7自帶防火墻
圖1:在Windows 7中,你可以通過(guò)控制面板程序進(jìn)入高級(jí)防火墻設(shè)置
更多網(wǎng)絡(luò)選項(xiàng)
Vista防火墻允許用戶選擇公共網(wǎng)絡(luò)或者私人網(wǎng)絡(luò),而在Windows 7中,你有三個(gè)選擇:公共網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)或者工作網(wǎng)絡(luò),后兩者都被視為私人網(wǎng)絡(luò)。
如果你選擇“家庭網(wǎng)絡(luò)”選項(xiàng),你可以建立一個(gè)Homegroup。在這種情況下,網(wǎng)絡(luò)發(fā)現(xiàn)(network discovery)是自動(dòng)開啟的,這樣你就能夠看到網(wǎng)絡(luò)中的其他計(jì)算機(jī)和設(shè)備,他們也能夠看到你的計(jì)算機(jī)。屬于Homegroup的計(jì)算機(jī)可以共享圖 片、音樂(lè)、視頻和文檔庫(kù),也可以共享硬件設(shè)備,如打印機(jī)等。如果你的文件夾中有不想共享的文件,也可以排除它們。
如果你選擇“工作網(wǎng)絡(luò)”,網(wǎng)絡(luò)發(fā)現(xiàn)默認(rèn)情況下是開啟的,但是你將無(wú)法創(chuàng)建或者加入Homegroup,如果你將計(jì)算機(jī)加入到Windows域 (通過(guò)Control Panel System Advanced System Settings Computer Name tab)并通過(guò)域控制器的驗(yàn)證,防火墻將會(huì)自動(dòng)將網(wǎng)絡(luò)視為域網(wǎng)絡(luò)。
當(dāng)你在機(jī)場(chǎng)、酒店或者咖啡館等位置連接到公共無(wú)線網(wǎng)絡(luò)或者使用移動(dòng)寬帶網(wǎng)絡(luò)時(shí),應(yīng)該選擇“公共網(wǎng)絡(luò)”,網(wǎng)絡(luò)發(fā)現(xiàn)將會(huì)默認(rèn)為關(guān)閉,這樣網(wǎng)絡(luò)中的其他計(jì)算機(jī)就不能看到你的計(jì)算機(jī),你也不能川劇或者歸屬于Homegroup。
對(duì)于所有網(wǎng)絡(luò)類型,默認(rèn)情況下,windows 7防火墻都會(huì)阻止對(duì)不在可允許程序名單上的程序的連接,Windows7允許你為每種網(wǎng)絡(luò)類型分別配置設(shè)置,如圖2所示。
性能大PK!Vista和Windows7自帶防火墻
圖2:Windows7允許你為每種網(wǎng)絡(luò)類型分別配置設(shè)置
多個(gè)有效模式
在Vista中,即使你已經(jīng)為公共網(wǎng)絡(luò)和私人網(wǎng)絡(luò)配置了情景模式,在特定時(shí)間內(nèi)只有一種是有效的。如果你的計(jì)算機(jī)同時(shí)連接到兩個(gè)不同的網(wǎng)絡(luò),那事情就不妙了,這時(shí)將會(huì)采用最嚴(yán)格的模式來(lái)使用所有連接,這意味著在本地網(wǎng)絡(luò)你可能無(wú)法進(jìn)行所有需要的操作,因?yàn)榇藭r(shí)使用的是公共網(wǎng)絡(luò)模式的規(guī)則。在 Windows7(和Server 2008 R2中),可以同時(shí)為每個(gè)網(wǎng)絡(luò)適配器使用不同的模式,對(duì)私人網(wǎng)絡(luò)的連接使用私人網(wǎng)絡(luò)規(guī)則,而來(lái)自公共網(wǎng)絡(luò)的流量則使用公共網(wǎng)絡(luò)規(guī)則。
重要的小功能
在很多情況下,細(xì)小的變化可能帶來(lái)更高的可用性,微軟公司一直積極聽取來(lái)自用戶的意見,他們?cè)赪indows 7防火墻中加入了一些重要的小功能。例如,在Vista中,當(dāng)你創(chuàng)建防火墻規(guī)則時(shí),你需要分別列出端口號(hào)和IP地址,而現(xiàn)在你只需要指定范圍,這樣就為這項(xiàng)常見的管理任務(wù)節(jié)省了很多時(shí)間。
你也可以創(chuàng)建連接安全規(guī)則來(lái)指定哪些端口或者協(xié)議受到防火墻控制臺(tái)中Ipsec要求的支配,而不需要使用netsh命令。對(duì)于那些更愿意使用GUI的人而言,這是個(gè)很方便的改進(jìn)。
連接安全規(guī)則還支持動(dòng)態(tài)加密,這意味著,如果服務(wù)器獲取一條來(lái)自客戶端計(jì)算機(jī)的未加密(但通過(guò)驗(yàn)證)的信息,可以通過(guò)要求加密來(lái)獲得更安全的通信。使用高級(jí)設(shè)置配置文件
使用高級(jí)設(shè)置控制臺(tái),你可以為每種網(wǎng)絡(luò)類型的配置文件進(jìn)行設(shè)置,如圖3所示。
性能大PK!Vista和Windows7自帶防火墻
圖3:你可以使用高級(jí)設(shè)置控制臺(tái)為每種網(wǎng)絡(luò)類型設(shè)置配置文件
對(duì)于每個(gè)配置文件,你可以進(jìn)行以下配置:
·Windows防火墻的開關(guān)狀態(tài)
·入站連接(阻止、阻止所有連接,或者允許)
·出站連接(允許或者阻止)
·顯示通知(當(dāng)程序被阻止時(shí)是否進(jìn)行通知顯示)
·對(duì)于組播或者廣播流量是否允許單播響應(yīng)
·除使用組策略防火墻規(guī)則外,還使用由本地管理員創(chuàng)建的本地防火墻規(guī)則
·除使用組策略連接安全規(guī)則外,還使用由本地管理員創(chuàng)建的本地連接安全規(guī)則
日志
Vista防火墻可以配置為記錄事件日志到一個(gè)文件中(默認(rèn)情況下為 WindowsSystem32LogFilesFirewallpfirewall.log)。在windows 7中,事件日志也可以記錄在Event Viewer的Applications 和Services部分,這樣更加容易訪問(wèn)。要查看此日志,可以打開Event Viewer,在左窗格中,點(diǎn)擊Applications and Services Log Microsoft Windows Windows Firewall中的高級(jí)安全選項(xiàng),如圖4所示。
性能大PK!Vista和Windows7自帶防火墻
圖4:Windows 7中的事件查看器中的防火墻事件日志
在事件查看日志中,你可以創(chuàng)建一個(gè)自定義視圖,過(guò)濾日志,搜索日志或者啟用詳細(xì)日志記錄。
Netsh 命令
Windows 7包含向后兼容的netsh防火墻,但是如果你運(yùn)行改命令,你會(huì)收到消息顯示,“重要,‘netsh防火墻’已經(jīng)過(guò)時(shí),請(qǐng)使用netsh advfirewall防火墻”,如果想了解更多關(guān)于該新命令的信息,請(qǐng)點(diǎn)擊http://support.microsoft.com/kb /947709。
總結(jié)
Windows 7防火墻是對(duì)Vista防火墻進(jìn)行廣泛改善后的產(chǎn)物,并且將其隱藏的先進(jìn)功能公開化了。很多用戶(包括一些IT專業(yè)人士)以前可能并不知道Vista防火 墻可以過(guò)濾出站流量、檢測(cè)和執(zhí)行高級(jí)配置任務(wù),因?yàn)檫@些功能都沒(méi)有在控制面板中的防火墻程序中明顯地顯示出來(lái),在Windows 7中,微軟創(chuàng)建了一個(gè)內(nèi)置的防火墻,比Vista更加完善,并且成為了第三方托管防火墻的有效的替代產(chǎn)品。
編輯:北京信誠(chéng)IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn |
當(dāng)前位置:
