basket928

全面解讀 Windows Vista 系統防火牆

　微軟從Windows XP開始，就在系統內部增加了防火牆功能，這就是最早的Internet Connection Firewall(ICF)，這個防火牆只提供基本的數據包過濾功能。到了Windows XP SP2時，隨著防火牆功能的逐步提升，這個內置的防火牆被正式更名為Windows Firewall，但功能十分有限。最近，微軟推出了Windows Vista，這個系統防火牆新增了哪些功能，技術上又有什么亮點呢?本文為你一一解答。

　　Windows防火牆可以避免那些利用未請求的傳入流量來攻擊網絡上計算機的惡意用戶和程序。僅就防火牆功能而言，Windows防火牆只阻截所有傳入的未經請求的流量，即只能對進入電腦的數據進行攔截審查，對主動請求傳出的流量不作理會。因此很多計算機用戶仍然選擇第三方個人防火牆來保護自己的網絡安全。

　　Vista防火牆的亮點

　　在Windows Vista系統中，Windows防火牆有了極大地改進，它不但可以通過控制面板訪問防火牆，還可以配置防火牆高級功能。用戶可以通過“基本配置”和“高級配置”窗口進行配置。

　　

　　 防火牆基本配置

　　進入Vista系統的控制面板，雙擊運行“Windows防火牆”，彈出的窗口顯示Windows防火牆的運行情況。如果系統安裝了第三方防火牆，為避免防火牆衝突，Windows防火牆會自動關閉。

　　通過“常規”選項卡中的選項，用戶可以直接開啟或關閉防火牆，並可以設置“阻止所有傳入連接”選項同時攔截所有程序，它可以讓系統臨時禁止所有的程序訪問網絡，而不需要考慮例外情況，從而為用戶創造一個相對安全的網絡環境。

　　在Vista 防火牆的基本設置中，允許訪問網絡的程序也是在“例外”選項卡中進行設置。用戶可以通過複選框取消防火牆對某些程序和服務的阻止狀態。如果用戶希望取消阻止某個程序，但是該程序不在列表中，可以單擊“添加程序”按鈕來允許該程序的網絡訪問。在添加程序對話框中，“更改范圍”功能可以讓該程序在某個范圍里訪問網絡;“高級”選項卡可以讓用戶選擇需要受到防火牆保護的網絡連接，在這個選項卡中還可以配置日志內容，以及設置日志的最大容量。在默認情況下，只有響應的ICMP請求包會被接收，其余的ICMP請求均被禁止。
防火牆高級配置
　　進入Vista系統的控制面板，單擊控制面板“管理工具”中的“高級安全Windows防火牆”選項，在彈出的“高級安全Windows防火牆”窗口進行防火牆的高級設置。
　　Windows防火牆是一種狀態防火牆，可以檢查並篩選IPv4和IPv6流量的所有數據包。在Windows防火牆的高級配置中，通過使用規則配置功能來響應傳入和傳出流量，以便確定允許或阻止哪種數據流量。當傳入數據包到達計算機時，防火牆檢查該數據包並確定它是否符合防火牆規則中指定的標准。如果數據包與規則中的標准匹配，防火牆執行規則中指定的操作，即阻止連接或允許連接;如果數據包與規則中的標准不匹配，防火牆丟棄該數據包，並在防火牆日志文件中創建條目。
　　對規則進行配置時，可以從各種標准中進行選擇，包括應用程序名稱、系統服務名稱、系統端口、IP地址等。規則中的標准添加的越多，防火牆匹配傳入流量就越精細，從而滿足不同的需求。Windows防火牆的高級配置包括:入站規則、出站規則、連接安全規則、監視等不同的規則。下面就通以不同的實例，為大家分別介紹不同規則的使用方法。
　　

　　 入站規則
　　“入站規則”明確允許或阻止與規則條件匹配的通信，比如可以將規則配置為明確允許受IPSec保護的遠程桌面通信通過防火牆，但阻止不受IPSec保護的遠程桌面通信。首次安裝Windows系統時將阻止入站通信，若要允許通信，必須創建一個入站規則。
　　單擊“入站規則”選項，在中間列表可以看到系統自帶的一些網絡規則。任意選擇其中的一條，就可以在右側的操作區域對該規則進行配置。單擊操作區域中的“新規則”按鈕，在彈出的“新建入站規則向導”窗口進行配置。
　　

　　 出站規則
　　由于很多惡意病毒都是經過135端口進行傳播的，所以新建一條規則阻止135端口的數據。在“規則類型”中選擇“端口”，單擊“下一步”，在“協議和端口”中選擇“TCP協議”，並且在“特定本地端口”中設置為“135”(如果用戶需要設置多個端口，可以在端口之間用逗號隔開)，單擊“下一步”，在“操作”中選擇“阻止連接”選項，單擊“下一步”，在“配置文件”中選擇所有選項，包括域、專用、公用等，最后單擊“下一步”進行規則名稱的設置，這樣“入站規則”就創建完成了。由于剛剛創建的規則使用的是TCP協議，所以還需要按照同樣步驟新建一條UDP協議的規則，這樣才能全面阻止通過135端口的入侵行為。
　　“出站規則”明確允許或者明確拒絕與規則條件匹配的通信，比如可以將規則配置為明確阻止出站通信通過防火牆到達某台計算機，但允許同樣的通信到達其他計算機。默認情況下允許全部出站通信，因此必須創建出站規則來限制通信。無論在默認情況下是允許或是阻止連接，都可以配置網絡規則進行操作。
　　

　　 連接安全規則
　　單擊“出站規則”選項，同樣可以在中間的列表看到系統自帶的一些網絡規則，單擊操作區域中的“新規則”按鈕。由于微軟自帶的IE瀏覽器很容易被惡意程序所利用，再加上很多用戶現在都使用第三方瀏覽器，所以新建一條阻止IE瀏覽器訪問網絡的規則。
　　在“規則類型”中選擇“程序”，在“程序”中選擇“此程序路徑”，單擊“瀏覽”設置IE瀏覽器的路徑，同樣在“操作”中選擇“阻止連接”選項，在“配置文件”中選擇所有選項后設置規則名稱即可。
　　連接安全包括在兩台計算機開始通信之前對它們進行身份驗證，並確保在兩台計算機間正在發送信息的安全。由于系統防火牆的高級設置包含了Internet協議安全技術，可以使用該規則來評估網絡的通信情況，然后根據該規則中所建立的標准阻止或允許消息。
　　如果要求連接安全，可以通過使用密鑰交換、身份驗證、數據完整性和數據加密來實現，當兩台計算機無法互相進行身份驗證時將阻止連接。與單方面操作的防火牆規則不同，連接安全規則要求通訊雙方計算機都具有采用連接安全規則的策略或其他兼容的IPSec策略。
　　防火牆規則允許通信通過防火牆，但不確保這些通信的安全。若要通過IPSec確保通信安全，可以創建計算機連接安全規則，但是創建連接安全規則不允許通信通過防火牆。如果防火牆的默認行為不允許該通信通過，則必須創建防火牆規則來實現。連接安全規則不應用于程序或服務，僅在構成兩個終結點的計算機之間應用。
　　

　　 監視
　　監視是高級防火牆配置的一個最有用的功能，也是建立防火牆控制台最主要的原因，用戶可以查看各種規則和當前的屬性狀態。若要查找ICMP和日志記錄設置，在“公用配置文件”下單擊“Windows防火牆屬性”，單擊要更改的配置文件選項卡。在“日志記錄”下，單擊“自定義”，在出現的對話框中，修改想要更改的設置，然后單擊“確定”。可以使用ICMPv4或 ICMPv6 協議創建入站或出站規則，指定ICMP設置。通過控制台右側的可用功能列表，用戶還可以將防火牆規則導出為文本文件，也可以導出以逗號分隔的數據庫文件

Vista防火牆的不足
　　雖然Vista防火牆有了明顯的改進，但還存在一些不足之處。任何網絡防火牆都是依靠網絡規則進行數據判斷的，但是Vista防火牆偏偏就在這里出現問題。
　　Vista防火牆中的所有設置以及規則，都是保存在本地系統的注冊表中，黑客只需編寫簡單的腳本程序等惡意代碼，通過修改注冊表中的相關內容，就可以輕松穿越Vista防火牆的攔截，其中包括對程序進程和端口數據的攔截。
　　比如在“例外”標簽中單擊“添加端口”按鈕，在彈出的窗口中任意設置一個名稱，在“端口號”中設置需要使用的端口。接著單擊開始菜單中的“運行”命令，打開注冊表編輯器，依次展開到如下鍵值信息：[HKLM\SYSTEM\ControlSet001\Services\
　　SharedAccess\Parameters\FirewallPolicy\Fi
　　-rewallRules]，在其中找到剛剛配置的防火牆規則信息。現在單擊“文件”菜單中的“導出”命令，將該配置信息的注冊表內容導出。以后只要在其它系統中運行該注冊表，就會在遠程系統開啟設置的端口。
　　那么應該如何防范這個不足呢?除了定時對防火牆配置規則進行檢測，發現可疑的內容應該立即刪除或進行修複以外，還可以對修改的注冊表信息的權限進行設定。
　　打開注冊表編輯器，展開到配置信息保存路徑，單擊鼠標右鍵中的“權限”命令，在彈出的窗口中單擊“添加”按鈕，接著在“輸入對象名稱”選項中中輸入Everyone，然后單擊“檢查名稱”按鈕並確定退出。現在選中“Everyone”，在“Everyone的權限”中選擇“完全控制”選項下的“拒絕”，單擊“應用”按鈕。設置完成后，黑客通過任何方法，都無法篡改Vista防火牆的配置規則，可以進一步保護系統的安全。
　　Vista防火牆的功能和配置是Windows XP SP2防火牆遠遠不能相比的。Vista防火牆不但可以對發送和接收的數據進行攔截和審查，還可以讓用戶自定義規則，所以用戶只要靈活的進行配置使用，完全可以滿足不同的需求。從上面的介紹我們可以看出，Windows Vista防火牆完全能夠滿足個人用戶的基本要求。
　　但是也不是說Windows Vista的防火牆就百毒不侵，沒有一點不足之處的。首先系統防火牆沒有提示功能，雖然系統日志可以記錄下相應的信息，但是很難讓用戶在第一時間得到提示;其次由于Windows防火牆存在“任人唯親”的問題，所以當它遇見微軟自身的進程后並不會詢問就放行，所以很多利用IE瀏覽器進行線程插入的木馬程序可以輕易地穿透防火牆的攔截。因此Windows系統防火牆需要改進的方面還有很多，希望這些問題在Vista SP1的時候能夠得到解決。