Windows Vista中的新防火墙

与当前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火墙一样，新的 Windows 防火墙也是一个基于状态主机的防火墙，它可以根据自己的配置和当前运行的应用程序来允许或阻止网络流量，从而保护网络免遭恶意用户和程序的入侵。

　　新 Windows 防火墙的增强功能 网管网www_bitscn_com

　　与当前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火墙相比，Windows Vista 和 Windows Server "Longhorn" 中的新 Windows 防火墙具有以下增强功能: 网管网www_bitscn_com

• 　　•支持传入和传出流量
• 　　•用于图形用户界面 (GUI) 配置的新 Microsoft 管理控制台 (MMC) 管理单元
• 　　•集成防火墙过滤和 Internet 协议安全 (IPsec) 保护设置
• 　　•可以配置 Active Directory 目录服务帐户和组、源和目标 IP 地址、IP 协议号、源和目标传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口、全部或多个 TCP 或 UDP 端口以及特定类型接口的例外，可以根据类型和代码来配置 Internet 控制消息协议 (ICMP) 和 ICMP for IPv6 (ICMPv6) 流量的例外，并且可以配置服务的例外

　　支持传入和传出流量 网管下载dl.bitscn.com

　　新的 Windows 防火墙支持传入流量的防护/防火墙保护，它能够丢弃所有未经请求的传入流量，即那些不是响应某个计算机请求而发送的流量(请求的流量)，或那些未被指定为准入流量的未经请求的流量(排除/禁止的流量)。 这是计算机上运行的最关键类型的防护，因为它有助于防止网络病毒和蠕虫通过未经请求的流量来传播的方式来感染计算机。

网管bitscn_com

　　新的 Windows 防火墙支持传入流量和传出流量的防护。 例如，网络管理员可以配置新 Windows 防火墙的一组例外，从而阻止发送到特定端口(例如已知的病毒软件使用的端口)的所有流量或是发送到特定地址的包含敏感内容或不希望内容的所有流量。

网管u家u.bitsCN.com

　　新 Windows 防火墙的默认行为是: 网管网www.bitscn.com

• 　　•阻止所有传入流量，除非是经过请求的流量或是匹配某个已配置例外的流量。
• 　　•允许所有传出流量，除非匹配某个已配置的例外。

　　用于 GUI 配置的新 MMC 管理单元 网管联盟bitsCN@com

　　对于当前的 Windows 防火墙，用于配置的 GUI 由控制面板中的 Windows 防火墙和组策略编辑器管理单元中的一系列组策略设置组成。 网管下载dl.bitscn.com

　　您可以使用控制面板中的“Windows 防火墙”项来配置新的 Windows 防火墙，前者包含一组与当前 Windows 防火墙相同的配置选项。 您可以配置新 Windows 防火墙的基本设置，但是不能配置增强功能。 网管下载dl.bitscn.com

　　因为具有多个高级配置选项，并且具有相同的本地和 Active Directory 组策略配置，新的 Windows 防火墙也可以使用一个名为“带有高级安全性的 Windows 防火墙”的 MMC 管理单元来配置。 在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您必须将“带有高级安全性的 Windows 防火墙”管理单元添加到 MMC 控制台中。 当前“管理工具”文件夹中没有预定义的用于“带有高级安全性的 Windows 防火墙”管理单元的控制台。

网管联盟bitsCN_com

　　使用新的“带有高级安全性的 Windows 防火墙”管理单元，网络管理员可以在远程计算机上配置新 Windows 防火墙的设置，这是当前的 Windows 防火墙在不使用远程桌面连接的情况下无法实现的。

网管u家u.bitscn@com

　　若要采用命令行方式来配置新 Windows 防火墙的高级设置，您可以在 netsh advfirewall 上下文中使用命令。 运行 Windows XP SP2 或 Windows Server 2003 SP1 的计算机中不存在这种上下文。 中国网管联盟bitsCN.com

　　若要采用组策略的方式来配置新的 Windows 防火墙，请在“组策略编辑器”中转到“计算机配置”/“Windows 设置”/“安全设置”/“带有高级安全性的 Windows 防火墙”。新的 Windows 防火墙将会应用“计算机配置”\“管理模板”\“网络”\“网络连接”\“Windows 防火墙”中配置的当前 Windows 防火墙的组策略设置。 运行 Windows XP SP2 或 Windows Server “Longhorn” 的计算机将会忽略新 Windows 防火墙的组策略设置。

网管下载dl.bitscn.com

　　注意在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您无法查看使用控制面板的“Windows 防火墙”项中的“带有高级安全性的 Windows 防火墙”管理单元创建的例外。

　　集成防火墙和 IPsec 设置

　　IPsec 是一组 Internet 标准，用于为 IP 流量提供加密保护。 在 Windows XP 和 Windows Server 2003 中，Windows 防火墙和 IPsec 是分别配置的。 由于在 Windows 中基于主机的防火墙和 IPsec 都能够阻止或允许传入流量，因此创建的防火墙例外和 IPsec 规则有可能会产生重叠或对立的情况。 新的 Windows 防火墙使用相同的 GUI 和命令行命令集成了这两种网络服务的配置。 集成防火墙和 IPsec 设置的另外一项好处是 IPsec 设置的配置变得非常简单。

 

 

　　可以配置 Active Directory 帐户和组的例外 网管网www_bitscn_com

　　对于指定了传入流量或传出流量必须使用 IPsec 进行保护的例外，您可以指定有权初始化受保护通讯的计算机帐户和组或用户帐户和组的列表。 例如，您可以指定发送到特定服务器的带有敏感数据的流量必须受到保护，并且这些流量只能来自特定用户或计算机。 网管u家u.bitsCN.com

　　可以配置源和目标 IP 地址的例外

　　使用当前的 Windows 防火墙，您可以指定传入流量的排除范围。 范围定义了排除的流量来自的网络段，实际上就是传入流量的源 IP 地址(包括 IPv4 和 IPv6)。 使用新的 Windows 防火墙，您可以配置传入流量和传出流量的源和目标 IP 地址，从而使您能够更加精确地定义允许的流量或阻止的流量的类型。 例如，如果不允许使用特定 IP 地址的某台计算机给一组服务器发送流量，您可以创建一个阻止出站例外，把本地分配的地址指定为源地址，把服务器地址指定为目标地址。 网管bitscn_com

　　对于目标地址，您还可以使用新的 Windows 防火墙指定下列预定义地址: 网管bitscn_com

　　•默认网关、WINS 服务器、DHCP 服务器和 DNS 服务器

网管bitscn_com

　　这些预定义地址会被动态映射到主机当前定义的默认网关、WINS 服务器、DHCP 服务器和 DNS 服务器。 网管u家u.bitsCN.com

　　•本地子网

　　这些预定义地址会被动态映射到根据您的 IPv4 地址和子网掩码或是您的 IPv6 本地子网前缀定义的地址组。 网管bitscn_com

　　可以配置 IP 协议号的例外 网管联盟bitsCN_com

　　新的 Windows 防火墙允许您按名称选择协议，或是手动键入所需流量的“IPv4 协议”字段或“IPv6 下一个标头”字段的值。 新的 Windows 防火墙允许您按名称选择协议，或是手动键入所需流量的“IPv4 协议”字段或“IPv6 下一个标头”字段的值。 网管网www.bitscn.com

　　可以配置源和目标 TCP 和 UDP 端口的例外

　　使用当前的 Windows 防火墙，您可以指定传入流量的目标 TCP 或 UDP 端口。 使用新的 Windows 防火墙，您可以配置传入流量和传出流量的源和目标 TCP 或 UDP 端口，从而使您能够更加精确地定义允许的流量或阻止的 TCP 或 UDP 流量的类型。 例如，如果您希望阻止使用一组已知 TCP 端口的恶意流量或不希望的流量，您可以创建阻止出站和入站例外，指定流量的 TCP 源端口和目标端口。 网管bitscn_com

　　可以配置全部或多个端口的例外

　　在使用当前的 Windows 防火墙配置基于端口的例外时，您只能指定一个 TCP 或 UDP 端口。 但是使用新的 Windows 防火墙，您可以指定全部 TCP 或 UDP 端口(对于所有 TCP 流量或所有 UDP 流量)或多个端口(使用逗号分隔)。 要配置新 Windows 防火墙使用某个端口范围，您必须指定范围中的所有端口。 例如，如果您希望配置端口范围 1090-1095 的例外，您必须配置下列端口: 1090,1091,1092,1093,1094,1095.

　　可以配置特定类型接口的例外

网管联盟bitsCN@com

　　使用当前的 Windows 防火墙，所有启用的例外将应用于所有启用了防护的接口。 而使用新的 Windows 防火墙，您可以指定例外应用于所有接口或是应用于特定类型的接口，这包括 LAN 接口、远程访问接口或无线接口。 例如，如果某个应用程序只能通过远程访问连接访问，而您不希望激活 LAN 和无线连接的例外，那么您可以配置仅应用于远程访问连接的例外。 网管联盟bitsCN@com

　　可以根据类型和代码来配置 ICMP 和 ICMPv6 流量的例外 中国网管联盟bitsCN.com

　　使用当前的 Windows 防火墙，您可以启用一组固定的 ICMP(用于 IPv4)和 ICMPv6 消息的例外。 而使用新的 Windows 防火墙，系统提供了一组常用的预定义排除的 ICMP 和 ICMPv6 消息，同时您可以通过指定 ICMP 或 ICMPv6 消息类型和代码字段值来添加新的 ICMP 或 ICMPv6 消息。 例如，如果要为“ICMPv6 数据包太大”消息创建一个例外，则您可以手动为 ICMPv6 类型 2 和代码 0 创建一个例外。

　　可以配置服务的例外 网管bitscn_com

　　使用当前的 Windows 防火墙，您必须通过指定服务程序文件名路径的方式来配置服务的例外。 使用新的 Windows 防火墙，您可以指定例外仅仅应用于服务或是特定服务(指定它的服务名，或者您可以键入服务的短名称)的任何进程。 例如，如果您想要配置仅应用于“计算机浏览器”服务的例外，您可以在计算机上运行的服务列表中选择“计算机浏览器”服务。