到了XP SP2發布後這個ICF就名正言順地成為了Windows Firewall,在使用上也有了明顯的改進,設定上更加圖形化,對進入系統的資料提供了攔截審查的功能。而接下來的Windows Server2003系統中同樣提供了內建防火牆功能,在使用和效果上和XP SP2一樣。不過這種防火牆只能夠對進入系統的資料進行過濾,在防護效果上略顯不足。因此,實際使用中,大部分使用者依然需要安裝其他工具來加強安全防範效果。
然而,以上安全問題都隨著Vista的誕生而解決。那麼,Vista系統中的內建防火牆在功能和安全效果上又有哪些改進呢?首先Vista系統防火牆提供了兩種模式以及雙向過濾,並在應用規則和應用策略上有了比較明顯的改進。可以絲毫不誇張地說,在某種程度上使用者已經可以不用安裝任何第三方防火牆工具而僅僅使用Vista系統內建的防火牆來實現安全防範功能了。
一、雙模式:初、進階使用者通吃
在Vista防火牆中提供了兩種設定模式,依次為簡單模式和進階模式。這適合兩種不同類型的使用者。
1.簡單模式
Vista防火牆在簡單模式下和Windows XP SP2的防火牆沒有什麼區別,這種模式適合初級使用者使用的,通過Vista防火牆的簡單模式可以在操作者沒有任何安全技術知識的情況下實現對系統的有效保護。
防火牆簡單模式的開啟是通過Vista系統中“控制台”來實現的,進入“控制台”選擇“安全”選項。接下來在“安全”設定視窗中點“Windows防火牆”(見圖1)。這樣我們就啟動了Vista系統防火牆的簡
單模式。開啟關閉以及添加簡單過濾規則的方法和XP SP2中的防火牆一樣。
2.進階模式
在簡單模式中我們還看不出Vista防火牆的強大,而在進階模式下,它能設定的過濾規則防範手段不輸於任何第三方防火牆軟體。
進入Vista防火牆進階模式的方法很多,筆者介紹常用的一種。進入Vista系統案頭,通過“開始”菜單運行gpedit.msc進入到Vista系統的組原則設定視窗。我們依次開啟“本機電腦策略→電腦配置→Windows設定→安全設定→進階安全Windows防火牆→進階安全Windows防火牆→本機群組策略對象”。這裡就是Vista防火牆的進階模式配置介面了(見圖2)。在進階模式中我們可以隨意定義防火牆的過濾規則。
小提示:在Vista中進入系統關鍵組件需要通過UAC認證,所以在訪問防火牆進階模式時也需要系統管理員允許操作者通過UAC驗證。所謂UAC驗證就是在Vista系統中添加的針對安全的功能,當進行一些修改系統參數的操作時,Vista會提示輸入具備管理員權限的帳號和密碼進行UAC驗證,通過認證才能繼續進行修改設定等操作。
雙向過濾:沒人敢說不專業
技術點評:Vista防火牆引入的雙模式是針對不同使用者群的,其中簡單模式是方便普通使用者使用和配置防火牆的,而進階模式則是給那些對安全要求比較高或者對網路訪問流量要求比較苛刻,需要自己定義詳細規則的使用者。在進階模式下使用者可以對防火牆的具體規則進行詳細的設定。例如針對某個程式,某個連接埠以及某個IP位址區段進行規則設定。進階模式是Vista防火牆的精華所在,它已具備第三方專業防火牆軟體應有的功能。 二、雙向過濾:沒人敢說不專業
除了上面提到的雙模式特色外,在Vista系統防火牆中還首次引入了雙向過濾的功能。這也是專業級防火牆的基本特徵。 這種雙向過濾功能只存在於進階模式中,要設定雙向過濾首先要進入Vista防火牆的進階模式。在進階模式中我們會看到對應的“出站規則”和“入站規則”選項,其中“入站”是針對外界到原生資料包進行的過濾規則,而“出站”則是針對本機到外界的資料包進行過濾規則。“出站”方向的過濾在以往的Windows防火牆中是沒有的(見圖3)。我們還可以像設定“入站規則”一樣針對某個程式、某個連接埠以及某個IP位址區段在“出站”規則方面進行設定。
小提示:所謂入站和出站都是針對網路資料流向而言的,入站就是網路資料包從外界傳輸到本機系統的方向,相應的出站就是網路資料包從系統向外部網路傳輸的方向。
要知道在以往的系統防火牆中,不管是ICF還是XP SP2的防火牆甚至是Windows Server 2003的防火牆都是基於單方向過濾規則進行設定的,所謂單方向就是指防火牆只能夠對從外界到原生資料包進行過濾,而無法對從本機發送到外界的資料包添加任何過濾規則。
這種單向過濾的特點使得一旦本機系統因為某種原因感染病毒或木馬,那麼系統防火牆將對這些發自於系統內部的非法串連和非法傳播沒有任何辦法。特別是當系統感染蠕蟲後,會發送很多個會話串連進行傳播時,單向防火牆將對這種從內到外的資料視而不見,最終造成防火牆在“內鬼”面前形同虛設。所以說這種單向過濾的特點造成了以前版本的防火牆無法得到使用者認同,無法保證系統的真正安全,很多使用者都無奈地選擇安裝另外一款防火牆來抵禦攻擊。
不過這種問題在Vista防火牆進階模式中的雙向過濾功能下迎刃而解,我們可以禁止非法程式“出站”訪問,這樣即使本機即使感染了病毒也能夠將病毒對本機和網路的危害降到最低。
技術點評:Vista防火牆的雙向過濾功能實際上相當於將其傳統防火牆的功能提高了一倍,在安全防範和抵禦破壞入侵方面表現得更加出眾,正是因為這種雙向過濾使得Vista防火牆成為了真正的專業防火牆。
三、多場合功能:將專業功能智能化
除了雙模式和雙向過濾功能外,Vista防火牆還提出了“防火牆應用的多場合”概念。這個功能大大提高了Vista防火牆的智能化,可以在不同場合協助使用者應用不同層級的過濾規則。所有規則切換都是自動完成的。這種“防火牆應用的多場合”概念同樣需要我們到“進階模式”中進行設定才能體現。
1.安全性通訊協定串連與非安全性通訊協定串連規則的自動切換
在進階模式設定規則中我們會看到在“串連符合指定條件時應該進行什麼操作”設定時可以選擇該規則應用的場合。例如當網路使用IPSEC等安全的協議串連時,可以設定為對這些程式如何操作或者不管什麼情況都阻止該程式的資料通過防火牆,也可以設定“容許串連”讓這些程式可以順利通過防火牆的過濾。這樣我們就可以實現基於安全性通訊協定與非安全性通訊協定串連網路時應用不同過濾規則的功能了。
小提示:所謂IPSEC安全性通訊協定串連是指通過專門的IPSEC協議或者基於IPSEC的VPN加密傳輸機制來實現網路資料包的加密傳輸,通過IPSEC安全性通訊協定加密過的網路連接更加安全,可以讓我們更放心大膽地使用網路。
2.不同網路狀態規則的自動切換
在進階模式設定規則中我們會看到在“何時應用該規則”時有多個網路環境提供給我們選擇,依次是網域網路、專用網路和公用網路。這三種網路環境的共用標準是不同的,需要我們單獨設定。而在防火牆中也可以讓我們實現在不同網路環境下的規則自動切換功能,總之通過此功能可以將一道防火牆當三道來用,每種網路環境有各自的安全規則。
傳統的防火牆無法對不同的網路環境與連線類型採用進行規則的單獨設定,這就造成了使用者使用的膝上型電腦在家中訪問公網和單位訪問私網採用的過濾規則相同的問題,在單位設定好過濾規則後回到家中卻忘記了修改設定,從而造成在公網訪問下容易被病毒等惡意程式入侵的問題。
Vista防火牆這種對不同網路環境和連線類型可以自動採用不同規則的功能更加人性化,可以使使用者的膝上型電腦從單位回到家中訪問公網時實現規則的自動切換,將原本應用於單位私網訪問的安全規則更換為應用於家中公網訪問的安全規則。
技術點評:不同場合自動切換不同規則是Vista防火牆的一大特點,所有更換過濾規則的操作都是在使用者沒有幹預的情況下自動完成的,從而提高了系統的安全性,免去了使用者頻繁修改防火牆設定的繁瑣工作。
四、專家總結
從本文中我們可以看出Vista防火牆在功能和設定上和以往Windows系統的防火牆有很大差別的。兩種模式的引入方便了使用者佈建;雙向過濾功能的引入讓系統防火牆以一敵二;多場合自動切換過濾規則的功能又讓我們的防火牆可以以一當三,從某種意義上我們不得不佩服微軟的技術,通過幾項改進讓原本無法擔當重任的系統防火牆瞬間成為了安全防護的衛士,如今的Vista防火牆名正言順的變成了“銅牆鐵壁”。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
