網(wǎng)絡(luò)安全已經(jīng)被越來越多的人重視起來，而在保證自己的計(jì)算機(jī)安全方面，最主要的一個(gè)手段就是安裝殺毒軟件、網(wǎng)絡(luò)防火墻以及反間諜軟件等各種程序。微軟自然不會(huì)忽略這一點(diǎn)，在Windows XP的早期版本中就推出過免費(fèi)的Internet連接防火墻，但是該軟件的功能非常有限，只有簡(jiǎn)單的入站訪問限制（也就是說，只能對(duì)主動(dòng)從網(wǎng)絡(luò)向本機(jī)發(fā)起的網(wǎng)絡(luò)連接進(jìn)行限制）。雖然在Windows XP SP2中該防火墻改名為Windows防火墻，但是功能上并沒有太大改進(jìn)。那么在微軟下一代操作系統(tǒng)Windows Vista中，系統(tǒng)自帶的防火墻有沒有什么創(chuàng)新？粗看之下，你可能會(huì)覺得失望，因?yàn)閂ista中的防火墻在界面上和Windows XP SP2沒有任何區(qū)別，不過別著急，Vista中的防火墻功能可謂大大地提高了，不過大部分功能需要靠安全策略（組策略的一部分）來設(shè)置，一起來感受一下吧。本文以測(cè)試版的Windows Vista 2005年12月CTP版本為例，版本號(hào)為5270。當(dāng)然，正式版中該功能在細(xì)節(jié)上可能會(huì)有所不同，希望大家能夠留意。在功能上，Vista中的防火墻（下文統(tǒng)一簡(jiǎn)稱為防火墻）主要增加了對(duì)內(nèi)部程序訪問網(wǎng)絡(luò)（也就是出站連接）的限制，以及和其他計(jì)算機(jī)之間的連接限制。為了向你演示該防火墻的使用，我們會(huì)按照實(shí)際使用情況模擬兩種不同的場(chǎng)景。啟用防火墻首先運(yùn)行secpol.msc，打開“Local Security Settings（本地安全設(shè)置）”窗口，接著在左側(cè)的樹形圖中定位到“Security Settings（安全設(shè)置）”|“Windows Firewall with Advanced Security（具有高級(jí)安全功能的Windows防火墻）”|“ Windows Firewall with Advanced Security on Local Computer（本地計(jì)算機(jī)上具有高級(jí)安全功能的Windows防火墻）”節(jié)點(diǎn)，你將能看到類似圖1的界面，下文所介紹的所有功能都將在這里設(shè)置。圖1

在“OvervIEw（概述）”選項(xiàng)下我們可以看到，防火墻具有兩個(gè)配置文件（Profile），分別用于域環(huán)境和單機(jī)/工作組環(huán)境，其實(shí)這個(gè)功能在Windows XP SP2中的Windows防火墻上就已經(jīng)提供了，不過這里得到了更明顯的改進(jìn)。下文將以單機(jī)環(huán)境下的操作為例。因?yàn)槟J(rèn)情況下防火墻還沒有啟用，因此我們首先需要將其打開。點(diǎn)擊“Windows Firewall Properties（Windows防火墻屬性）”鏈接，你將能看到圖2所示的對(duì)話框，該對(duì)話框有兩個(gè)選項(xiàng)卡，分別對(duì)應(yīng)域環(huán)境和單機(jī)/工作組環(huán)境的配置文件，因此我們打開代表單機(jī)環(huán)境的“Standard Profile”選項(xiàng)卡，點(diǎn)擊“On（啟用）”選項(xiàng)。

同時(shí)請(qǐng)注意該選項(xiàng)下方的“Inbound connections（入站連接）”和“Outbound connections（出站連接）”這兩個(gè)選項(xiàng)，這里的設(shè)置需要注意。默認(rèn)情況下，我們?cè)谶@里設(shè)置的“允許”或“禁止”將會(huì)影響到所有程序，假設(shè)我們?cè)谶@里禁止了所有入站連接，但又需要開放對(duì)某個(gè)端口的出站連接（例如本機(jī)打開了FTP服務(wù)），那么才需要在隨后的例外設(shè)置中進(jìn)行設(shè)置。因此，如果你是一般用戶，建議打開防火墻之后，將入站連接設(shè)置為“Block（阻止）”，將出站連接設(shè)置為“Allow（允許）”，這樣設(shè)置后，自己平時(shí)的瀏覽網(wǎng)頁(yè)、下載等活動(dòng)（屬于出站連接）將不會(huì)受到任何影響，但是外界的主動(dòng)連接（入站連接，例如本機(jī)運(yùn)行的網(wǎng)絡(luò)服務(wù)）都將被禁止。隨后則可以通過設(shè)置例外規(guī)則來完善防火墻的設(shè)置。場(chǎng)景一：入站連接的限制第一個(gè)環(huán)境，我們打算模擬對(duì)入站連接進(jìn)行設(shè)置。假設(shè)我們?cè)谇懊嬉呀?jīng)設(shè)置了禁止所有入站連接，但是自己的電腦上開放了FTP服務(wù)（假設(shè)使用默認(rèn)的21端口），那么如何能夠在盡量保證安全的前提下允許別人來訪問呢？在圖1所示的界面上進(jìn)入“Inbound Exceptions（入站例外）”節(jié)點(diǎn)，并在該節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，選擇“New Exception（新建例外規(guī)則）”選項(xiàng)，你將能看到一個(gè)圖3所示的向?qū)В械脑O(shè)置都將在這里進(jìn)行。

讓我們首先考慮一下FTP服務(wù)器的一些網(wǎng)絡(luò)特征吧：FTP服務(wù)通常使用TCP協(xié)議的固定端口，例如本文以及默認(rèn)情況都將使用21端口；同時(shí)FTP服務(wù)需要有一個(gè)監(jiān)聽的程序，也就是FTP服務(wù)器端；同時(shí)我們還需要允許這樣的連接。

確定下來之后就好做多了。首先在圖3所示的界面上選擇例外類型為“Port（端口）”，點(diǎn)擊Next，在隨后的頁(yè)面上指定連接所用的協(xié)議為“TCP”，同時(shí)所用的端口為“21”（圖4）。隨后就需要設(shè)置采取的操作了，因?yàn)槲覀兿Ｍ丝梢酝ㄟ^FTP客戶端軟件訪問我們的21端口，因此可以選擇“Allow all connections（允許所有連接）”。接著則需要選擇該例外規(guī)則適用的配置文件。如果你建立了多個(gè)配置文件，那么這里就會(huì)將其全部列出。遺憾的是，我們只能選擇將該規(guī)則應(yīng)用于全部的配置文件，或者只能應(yīng)用于某個(gè)特定的配置文件，而無(wú)法選擇性應(yīng)用于特定的幾個(gè)配置文件中。最后為該規(guī)則指定好名稱和描述之后就算完成了。場(chǎng)景二：出站連接的限制這可能是Windows防火墻最不足的地方，以前該防火墻一直無(wú)法對(duì)系統(tǒng)中已經(jīng)安裝的程序主動(dòng)對(duì)外界的連接進(jìn)行限制，在Vista中，該功能和市面上其他第三方的防火墻產(chǎn)品相比毫不遜色。

在這里，我們要通過設(shè)置讓IE不能訪問特定的網(wǎng)站，看看是如何操作的。首先在“Outbound Exceptions（出站例外）”節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，選擇“New Exception（新建例外規(guī)則）”選項(xiàng)，接下來在例外類型中選擇“Custom（自定義）”，并為該例外規(guī)則命名。這里的設(shè)置有些奇怪，如果我們選擇了Custom，那么就要首先將規(guī)則創(chuàng)建好，然后打開規(guī)則的屬性頁(yè)面，進(jìn)行設(shè)置。因此我們需要關(guān)閉創(chuàng)建規(guī)則的對(duì)話框，并在窗口右側(cè)的列表中找到這個(gè)新建的規(guī)則，點(diǎn)擊鼠標(biāo)右鍵，選擇“Properties（屬性）”，接著可以看到類似圖5的對(duì)話框。我們可以這樣操作：首先在圖5所示的對(duì)話框上點(diǎn)擊“Specific Program（特定應(yīng)用程序）”選項(xiàng)，并點(diǎn)擊“Browse（瀏覽）”按鈕定位IE主程序的位置；接著在“Action（操作）”選項(xiàng)下選擇“Block（阻止）”。接著打開“Scope（范圍）”選項(xiàng)卡，點(diǎn)擊“Remote Address（遠(yuǎn)程地址）”選項(xiàng)下的“Custom（自定義）”，接著點(diǎn)擊右側(cè)的“Add（添加）”按鈕，在隨后出現(xiàn)的對(duì)話框中指定不許訪問的站點(diǎn)的地址（可以是IP地址或者IP地址段，見圖6），設(shè)置好之后點(diǎn)擊OK按鈕即可。

經(jīng)過簡(jiǎn)單的試用，Vista中的防火墻功能確實(shí)得到了提高，本文所舉的例子只是其中很小的一部分，相信經(jīng)過恰當(dāng)?shù)呐渲茫F(xiàn)有這些選項(xiàng)還可以產(chǎn)生很多不錯(cuò)的設(shè)置方案。但是所有這些功能都有一個(gè)不足，那就是沒有完整的集成在防火墻的圖形界面中，雖然在本地安全策略控制臺(tái)下的設(shè)置也有很簡(jiǎn)明的圖形界面為輔助，不過如果能將這些選項(xiàng)集成到防火墻自己的界面中，應(yīng)該可以收到更好的效果。