欢迎光临 Enjoy IT (ITECN.NET) 登录 | 注册 | 帮助

Windows Vista Firewall初探(一)

在Windows Vista中,Firewall作为其安全体系的重要部分,其功能得到了极大的加强。对比于Windows XP SP2中让人诟病的Firewall,这次真的可以算是鸟枪换炮了。毫不夸张的说,你完全可以控制自己的一切网络连接,真正是我的网络我做主。本系列文章以Windows Vista Beta2(5456)为例,对Windows Vista的Firewall进行一些探讨,欢迎大家指正。

首先,我们来看看Control panel中的Firewall面板,你会发现这里和Windows XP SP2集成的Firewall没有很大差别:

实际上这个防火墙面板是给普通用户准备的,让没有网络知识的用户,可以对安全进行基本的控制。那么真正的防火墙在哪儿那,我们可以通过管理工具下的Windows Firewall with Advanced Security面板或者直接通过MMC来进行访问,让我们来看看他的真面目:

这就是令人耳目一新的Vista Firewall MMC了。作为一款“个人防火墙”(其实这样说并不确切),他能够应对来自周边网络或者源自组织内部网络攻击,同时为计算机之间的通信提供了数据保护和认证功能。

Vista的Windows Firewall按照微软的说法是一个状态防火墙,他支持IPv4和IPv6协议,即可以根据数据包头部的各种信息控制通信,也可以根据当前会话的连接状态判断该通信是否是合法的。比如说:如果收到一个incoming的数据包,那么防火墙可以看看这个数据包在当前的连接中,是属于正常连接的响应还是主动对计算机发起的访问,如果是后者,默认情况下这样的数据包会被丢弃。在Windows Vista的Firewall中,你能够通过port number、 application name、service name等多种标准,来配置防火墙的安全选项。

接下来,一起看看Firewall面板中的详细内容:

面板的左边,列举了防火墙的功能,包括这么两个主要内容:
Firewall rules
Connection Security rules

在Firewall rules中,你可以针对任何与计算机的通信,允许它或者拒绝它。这里有一个重要功能,大多数的个人防火墙只能控制Inbound的数据,但是在Vista中,你可以对Inbound和Outbound的数据进行控制,无疑这是Vista的一个亮点。不过,大家需要注意的是,默认情况下,Vista的防火墙只开了一半,任何入站的访问都是默认拒绝的,但是任何出站的访问都是默认允许的。据说,这是微软为了普通商业用户做出的决定,要知道Outbound的控制可是十分有用的。例如:通过Outbound的控制,我们可以定义IE浏览器不能访问特定的IP地址,这样可以屏蔽一些对站点的访问。

Connection Security rules是Vista Firewall的第二个重要功能,这个实际上就是大名鼎鼎的IPSec了。在Windows家族中,我们也许都习惯使用VPN来进行安全的远程连接,但是IPSec作为一个国际标准,无疑具备有更高的安全性,只是一直以来Windows的IPSec设置并不是十分友好,这次Vista的Connection Security rules可以说有了不少改进。比较有意思的是除了通常的IPSec策略以外,Vista Firewall可以指定特定的通信必须是受到IPSec保护的才能通过,这也是个非常有意思的功能。后面,我们将在实战中进行具体研究。

在整个面板中间,我们可以看到防火墙的具体信息:

在这里我们还可以查看具体的Rules信息:

从这个图中,我们可以看到Firewall的每个规则有相当多的选项,通过这些选项,可以实现对通信十分精确的控制。这些选项中,“profile”选项是Vista Firewall十分有特色的一个。通过他可以实现当你连接到不同网络时,应用不同的安全规则,这一点,后面我们会专门研究。


在整个面板的右边,还提供一些额外的操作,可以实现Rules的导入导出,以及过滤Rules的显示等内容:

 

OK,到这里我们对Vista带的Firewall有了一个overview,应该说这个防火墙具备了很不错的功能,同时结合Vista的其他安全机制UAC、Windows Defender等等,可以看出微软在系统的安全性上下了很大功夫。只要对于网络有较深刻的认识,那么完全可以通过这些安全机制应对网络中的安全威胁。

不过,话说回来,对大多数用户来说,让他们自己去设置一条条的rule是不可能的,这个时候可以将Firewall和Group Policy结合起来,企业管理员就可以将详细的Firewall Rules部署给所有的用户,这样就可以保护企业中的所有电脑了。这个功能是否需要下一带的Windows Longhorn Server的支持,还有待验证。

待续ing...

已发表 2006年8月2日 15:36 作者 zarthur

评论通知

如果您想在帖子更新时接到邮件通知,请先登录。这里

订阅帖子评论使用 RSS

评论

2006年8月2日 18:04 by ahpeng

# re: Windows Vista Firewall初探(一)

Great,终于有了一篇描述Windows Firewall的好文章
2006年8月8日 12:08 by lester

# re: Windows Vista Firewall初探(一)

各位MVP们你们好,最近我发现Windows Vista Firewall无法启动了,到服务里一看,是Windows Firewall服务被关闭了,而且无法启动,每一次试图启动该服务时,都会弹出如下错误信息:
Windows could not start the Windows Firewall service on Local computer.Error 1068:The dependency service or group failed to start.一看,是依存的服务没有开启,可我看了一下Windows Firewall的依存服务只有Pemote Procedure Call(RPC)和DCOM Server Process Launcher两个服务,而且都开启了,还有一个Windows Firewall Authorization Driver,不知道是什么东西.好了,请问各位如何才能开启Windows Firewall?难道还有其他依存服务?我的系统是Vista 5472.5英文版,谢谢各位高手
2006年9月5日 11:39 by zarthur

# re: Windows Vista Firewall初探(一)

应该不是简单的服务没有启动的原因。我没有遇到过这种情况,是否是安装其他软件造成的?
2007年12月4日 5:15 by 梅子风

# re: Windows Vista Firewall初探(一)

my windows firewall not connections

说说您的看法?

(必填) 
必填 
(必填)