网络安全已经被越来越多的人重视起来,而在保证自己的计算机安全方面,最主要的一个手段就是安装杀毒软件、网络防火墙以及反间谍软件等各种程序。
早在Windows XP时代,微软就在系统中加入了内置的防火墙,这就是我们最初见到的Internet Connection Firewall (ICF),它可以提供基本 的包过滤功能。到了XP SP2时,这个内置的防火墙被正式更名为Windows Firewall,并且有了明显的改进,比如提供了启动和关机时的保护能 力,但是依旧是单向的防护,即只能对进入电脑的数据进行拦截审查。因此很多电脑用户仍然选择了第三方的个人防火墙产品,比如 卡巴斯基或ZoneAlarm。
针对不同需求采用两种界面
在Windows vista中,Windows Firewall有了长足进步,它不但可以像XP SP2那样通过控制面板访问防火墙用户界面,还为技术人员提供了通过 MMC控制台配置防火墙高级功能的途经。
Vista的防火墙具有两种独立的配置界面:基本的配置界面可以通过控制面板中的安全中心来开启,高级配置界面则需要用户建立定制的MMC。这种独立的配置界面设计可以避免初级用户由于配置不当导致系统安全性降低,同时也为高级用户提供了更多的控制流入和流出数据的能力。
另外,用户还可以通过netsh advfirewall中的命令在命令行模式配置Vista的防火墙,或者通过创建脚本的方式在多台电脑上进行防火墙自动配置。此外,用户还可以通过组策略来控制Vista防火墙的配置。
通过控制面板的基本配置
跟XP一样,用户可以在“General”选项卡中直接开启或关闭防火墙,并可以同时拦截所有程序,而不需要考虑例外情况。
“Block All Programs”选项是一个很便利的选项,尤其当用户处于一个公开的Wi-Fi网络时。它可以让系统临时禁止“例外”中规定的任何程 序访问网络,而当用户处于一个相对安全的网络环境时,再关闭这个选项,恢复先前设置。
和XP一样,在Vista 防火墙的基本设置中,例外也是在“Exceptions”选项卡中进行设置。用户可以通过选中相应的程序或服务解除防火墙对 他们的阻止。
如果用户希望取消阻止的某个程序,而该程序不在阻止列表中,用户可以通过点击“Add Program”按钮来添加。在添加程序对话框,用户可以 从程序列表或者通过文件浏览器选择该程序。通过“Change Scope”选项,用户可以仅在某个范围允许程序访问网络。其范围包括:
任何计算机,包括互联网上的计算机。
·仅我的局域网络 (子网) 。
·自定义IP地址或者子网范围。
另外,用户还可以选择在防火墙拦截软件后是否要发出报警。
“Advanced”选项卡可以让用户选择需要受到防火墙保护的网络连接。
在这个选项卡中,用户还可以配置日志内容(丢包或者成功连接的记录),设置日志的最大容量。设置系统该如何回应ICMP请求。在默认情况 下,只有响应的ICMP请求包会被接收,其余的ICMP请求均被禁止。
通过恢复到默认设置的按钮,用户可以取消所有修改,将防火墙的设置恢复到系统安装的默认状态。
vista防火墙的高级设置
建立自定义的MMC
要想查看高级设置内容,用户需要建立一个自定义的MMC。以下是建立方法:
1.点击 Start Programs Accessories 然后选择 Run.
2.在运行栏中键入mmc.exe。用户也许需要输入管理权证书或点击进行运行程序认证。
3.进入MMC后,点击File Add/Remove Snap-in.
4.在Available Snap-ins列表中向下动并选择Windows Firewall With Advanced Security。双击或者选中它然后点击Add 按钮。
5.在Select Computer对话框,选择默认(Local Computer)然后点击Finish。
6.在Add/Remove Snap-ins对话框中点击OK。
现在用户扩展左侧的树状列表,就会在右侧看到Vista 防火墙的高级设置页面了。
Vista可定制多种配置
在Vista中,用户可以为防火墙定制多种配置,比如适合企业域的网络配置(用户的笔记本可以在公司域中登录或登出),或者适合家庭的网络 配置(比如家庭点到点的网络),又或者是适合公众网络环境的配置(比如在机场酒店连接到公开的WI-FI网络)。每种配置都是相互独立的。
因此,当用户处于企业网络中时,甚至可以关闭Vista的防火墙,因为企业网络中基本上都带有更高级的防火墙,而在连接到家庭网络或者公众 无线网络时,则可以及时打开防火墙。
要改变各种配置,用户可以通过Windows Firewall Properties进行设置。在其中的Domain, Private, 以及 Public Profile选项卡中,用户可 以开启或关闭防火墙,还可以对发送以及接收到的连接请求进行屏蔽或通过。
在这三种配置中,默认均为发送连接可以通过,接收到的连接请 求则被拒绝(允许例外)。用户也可以将所有连接均设为屏蔽,包括例外列表中的程序。(每种配置选项 卡中的内容都一样)
通过Customize按钮,用户可以对每个配置进行更个性化的调整。比如用户可以设置当接收到的连接请求被拒绝时,系统发出警报信息,还可以 设置是否接收多播或广播时产生的unicast响应。另外,用户还可以在配置项目中设置日志选项(可以对丢包或成功连接等情况进行记录)。
一旦用户设置好每种配置以及IPSec属性,就可以进行下一步有关计算机连接安全方面的设置了,这个设置用来决定何时以及如何在两台电脑间(或一组电脑间)建立安全连接。
要进行相关设置,用户需要右键点击控制台面板左侧的Computer Connections Security并选择New Rule。这一步会开启New Connection Security Rule Wizard,即新连接安全规则向导,用户可以在如下类别中选择规则类型:
·Isol ATI on: 基于域成员或系统健康状态等标准的受限制连接。
·Authentication exemption: 可以指定某些电脑与本机连接不需要认证。
·Server to server: 指定某些电脑之间的连接不需要认证。
·Tunnel: 该规则用于在网关系统间进行连接认证。
·Custom: 如果以上规则没有适合的,用户可以自定义规则。
下一步是提供规则所需的条件。比如当用户建立了一个自定义规则,就需要指定终点,终点包含了一台或者一组电脑。用户可以通过IP地址或 者地址范围对一台以及多台电脑进行设定,用户还可以将一个预先确定的地址作为终点之一,比如默认网关,DNS服务器,DHCP服务器或者本地 子网。
对于一些规则类别,用户需要确立规则条件。比如:
·用户可以要求对全部发送和接收的连接进行验证,这意味着在任何情况下都要使用认证,但这并不是必须的。
用户可以要求对发送的连接进行认证或者对接收的连接请求进行认证。没有通过认证的接收到的请求将被屏蔽,而发送的连接请求也会被 验证。
·用户可以要求同时对接收和发送的连接进行认证。没有认证的连接均被拒绝。
·用户也可以选择对于任何连接均不需要认证。
接下来,用户需要选择认证方式,这一点和上面介绍的IPSec属性配置项目非常类似(取决于用户创建的规则类别)。
Word教程网 | Excel教程网 | Dreamweaver教程网 | Fireworks教程网 | PPT教程网 | FLASH教程网 | PS教程网 |
HTML教程网 | DIV CSS教程网 | FLASH AS教程网 | ACCESS教程网 | SQL SERVER教程网 | C语言教程网 | JAVASCRIPT教程网 |
ASP教程网 | ASP.NET教程网 | CorelDraw教程网 |