教你设置Vista防火墙(图文教程).doc-道客多多

资源描述

1、学讯网最有实力的在线学习平台教你设置 Vista 防火墙（图文教程）Windows Vista 的开发花费了很长的时间，而在其他操作系统中凡是看得到的功能，几乎都改头换面出现在了 Vista 之中。在 Vista 之中的 Windows 防火墙就是这个变化部分的其中之一，提供了很多先前技术所不曾提供过的功能。在 Windows XP Service Pack 2 之中，微软放出了改进巨大的就当时而言基于客户的防火墙解决方案。在 SP2 之中的 Windows XP 防火墙默认是启用的，这意味着电脑立刻就获得了对付攻击的更好防护措施。不过，在 XP SP2 之中的防火墙，还是缺少了一些

2、 Windows 防火墙所能提供的关键功能。尽管改进其实很多，但是其中对防火墙的改进主要是集中于两个方面，而这两个方面使之成为了 Vista 用户的良好解决方案： Windows 防火墙现在提供了应用程序相关的外向过滤，对所有进出你的电脑，以及你用户电脑的通讯，提供了直接的控制手段。微软提供了一个高级的管理接口，以便让系统管理员针对工作站实施非常细微的不同规则。另外，Windows 防火墙可以通过组策略进行管理，这意味着公司的 IT 人员可以更好的执行强制性公司计算策略，从而对特定的活动进行禁止，比如禁止即时通讯软件，以及 P2P 的文件共享等。管理 Windows 防火墙在 Vi

3、sta 中，微软提供了两个完全不同的接口来对 Windows 防火墙进行配置：传统或者基础的控制面板方式这是一个相对简化的，Windows 防火墙的配置工具。它看起来非常类似 Windows XP 防火墙管理工具。使用高级安全设置小程序的 Windows 防火墙意图更多的偏向于技术方面，这个高级接口提供了非常细微的防火墙配置选项。学讯网最有实力的在线学习平台在本文中，对上述两个接口都会有所涉及。使用基本的控制面板接口第一种方式，也就是你可能认为是“传统”或者基本的管理方式，对那些曾经管理过 XP 下 Windows 防火墙的人来说将感觉很熟悉，因为它本来就是首先出现在Wi

4、ndows XP 之中的。在 Vista 中，这个管理接口可以通过“Start （启动）-Control Panel（控制面板）-Security（安全）-Windows Firewall（Window 防火墙）”，按下“Change Settings（改变设定）”按钮，从而找到该接口，不过它并不总是这样的步骤。如果你是在 Vista 安装中使用了控制面板的经典视图，那么就是“Start （启动）-Control Panel（控制面板）-Windows Firewall（Window 防火墙）”，然后，再选择“Change Settings（修改设定）”选项。图 1 就是初始化 Wind

5、ows 防火墙信息窗口的视图。图 1这个窗口给你提供了一些关于 Windows 防火墙的普通信息，比如是否启用了防火墙，是否进入连接被阻挡了，和防火墙相关的警告是如何处理的，以及你的网络位置。 Windows Vista 防火墙使用网络位置参数来确认电脑的正确防火墙设置。我在后文将会对合理的位置设定进行更多的讲述。要修改你的防火墙设定，就选择“Change Settings（修改设置）”选项。这个选项会打开 Windows 防火墙的设定窗口。当你打开这个窗口时，首先被选择的是 General（综合）页面，如图 2 所示。学讯网最有实力的在线学习平台在这个屏幕上，共有 3 个选

6、项。主要选项，On（开）和 Off（关）是很简单的“启用”或者“禁用”Windows 防火墙。而屏幕中间的选择框，“Block All Incoming Connections（阻挡所有进入的连接）”，在你将电脑带到某些特定的地方时会很有用处，比如在某些公共场合的无线接入点，此时你肯定不希望有任何连接连入你的电脑。当你选中这个复选框后，即使你已经在 Windows 防火墙中设定了相关例外的服务也会被阻止掉，从而为你在低安全的环境中提供了很高级别的安全防护。而如图 3 所示的页面“Exceptions（例外）”，则提供了一个途径，让你指定某些特定的服务，或者指定某些 TCP/UDP 端

7、口，从而避免它们被 Windows 防火墙所阻挡。图 3这个页面上的主窗口显示了一个服务的列表，你可以进行选择，从而让 Windows 防火墙对之另行处理。在这个屏幕截图之中的电脑是一个全新的 Vista 安装，显示了作为 Vista 安装的一部分，有哪些服务会被作为例外处理。要想允许某个特定的程序或者端口能够通过防火墙，需要选中该特定服务旁边的复选学讯网最有实力的在线学习平台框，然后按下“OK（确定）”按钮。如果你想要指定的程序没有出现在列表之中，则点击屏幕底部的“Add Program（添加程序）”按钮。如图 4 所示，“Add A Program（添加一个程序）”屏幕，被弹了出

8、来。图 4选择所期望的程序，如果你的程序没有被列出来的话，按下“Browse（浏览）”按钮，然后在Windows 防火墙中，找到对应的可执行程序。在此页面底部的“Change Scope（修改范围）”按钮，则提供了你一个方法，让你限制电脑或者程序具体可以使用的端口。这个屏幕（图 5）有 3 个选项： Any Computer（including those on the Internet)：（任何电脑，包括互联网上的电脑）允许从任何位置发起的通信到达此服务。 My Network (subnet) Only：仅允许我的网络（包括子网）仅允许从本地电脑发起的通信到达此服务。 Custo

9、m List：自定义列表可以指定某个 IP 地址，或者指定一个子网范围。仅允许在特定范围内的电脑可以被允许访问此服务。所指定的 IP 地址可以是 Ipv4 或者 Ipv6 的格式。图 5 现在回过头来看一下图 3。在“Add Program（添加程序）”旁边的下一个按钮，写着“Add Port（添加端口）”。点击这个按钮，将会出现类似图 6 所示的窗口，这个窗口允许你添加一个基于TCP 或者 UDP 端口号的防火墙例外处理规则。在“Add Port（添加端口）”页面上，为特定的端口或者学讯网最有实力的在线学习平台服务指定一个描述性的名字，实际的端口号，以及具体指定该例外是用于

10、TCP 端口，或者是一个 UDP 端口。而下边这里就是你必须单独提供的每个端口，如果你有很多端口需要打开的话，这个工作会非常的无聊乏味。图 6再重申一下，你可以使用“Chagne Scope（修改范围）”按钮来限制使用这个例外的通信发出点。具体的信息和图 5 所示是一样的图 2回到 Windows 防火墙的属性页面，注意一下“Properties（属性）”以及“Delete（删除）”按钮。如果你已经添加了自定义的程序，以及具体服务的相应端口，可以在必要时，使用“Delete（删除）”按钮来删除掉相应的入口。而“Properties（属性）”按钮，则提供给你有关具体选中的服务的相应说明

11、。最后，要注意一下 Exceptions（例外）页面底部的复选框。 “Notify Me When Windows Firewall Blocks A New Program（当 Windows 阻止某个程序时通知我）”的复选框，可以让你在一个新程序或者新服务试图通过防火墙时让你获得相应的通知。在 Windows 防火墙设定屏幕上的最后一个页面，则很明显是提供了某些“高级”配置设定选项的。实际上，其实选项并不多。可用部分如图 7 所示。图 7学讯网最有实力的在线学习平台在这个页面上的选项基本上都是一看就明白的，所以我这里就不一一赘述了。到了这里，你可能会问你自己下面这几个问题：

12、我该在哪里对 ICMP 设定进行配置呢？为什么我看不到任何有关通往防火墙外部的配置规则？这就是图片中高级配置接口的所在。 Windows 防火墙的高级安全在 Windows Vista 之中的新东西是第二接口，被叫做“高级安全的 Windows 防火墙”（Windows Firewall with Advanced Security）。这个接口不是为了传统的家庭用户准备的，但是相对来说更具弹性，为一些水平较高的用户提供了相关的能力，以便执行特别细微的 Windows 防火墙配置任务。这个高级接口可以通过几个不同的方法进行访问：通过控制面板： Start（开始）-Control P

13、anel（控制面板）-Class View（传统视图）-Administrative Tools（管理工具）-Windows Firewall with Advanced Security（高级安全的 Windows防火墙）。或者，执行下述步骤： 1. 进入“Start（启动）-All Programs（所有程序）-Accessories（附件）”，然后选择“Run（运行）”。 2. 在“Run（运行）”框中，输入“MMC”，然后按下回车键。 3. 在微软的管理控制台窗口中，找到“File（文件）-Add/Remove Snap-in（添加/删除快照）。” 4. 在“Add/Remove S

14、nap-in（添加/删除快照）”对话框中，如图 8 所示，在可用的快照面板中，卷动窗口，直到“Windows Firewall with Advanced Security（高级安全的 Windows 防火墙）”。图 85. 点击“Add（添加）”按钮。学讯网最有实力的在线学习平台6. 当被询问要求选择被快照所应当管理的电脑时，选择本地电脑选项，然后按下“Finish（结束）”。 7. 按下“OK（确定）”。这会将你带回 MMC。8、按下 Windows Firewall with Advanced Security（高级安全的 Windows 防火墙）旁边的向下箭头。这会打开防火墙

15、的配置选项，并显示当前的防火墙状态。这个屏幕如图 9 所示。在这个主要的配置窗口，有大量的配置选项可用。我将在本文中对主要的几点进行一下讲述。首先，要注意 Overview（概要）区域，这里提供给你很多和 Windows 防火墙相关的信息。高级安全的 Windows 防火墙属性窗口第一个要留心的地方，就是防火墙的属性窗口，可以通过 Actions（动作）面板中的 Properties（属性）链接进行访问。注意这一点，在图 10 中，Domain Profile（域文件）页面被选中了。另外，也要注意 Public Profile（公共文件）和 Private Profile（私人

16、文件）页面都有和 Domain Profile（域文件）页面同样的选项。学讯网最有实力的在线学习平台图 10 在继续朝下讲之前，现在是解释一下不同 Profile 之间区别的好时候。 Domain Profile：（域文件）在这个 Profile 中提供的选项，是当电脑连接某个共同域时所强制执行的选项。 Private Profile：（私人文件）在这个 Profile 中提供的选项，是当电脑连接某个私人网络时所强制执行的选项。 Public Profile：（公共文件）在这个 Profile 中提供的选项，是当电脑连接某个公共网络时所强制执行的选项。在任何一个 Profile

17、文件页面，都可以执行很多任务：通过点击“Firewal state（防火墙状态）”按钮，启用或者禁止防火墙。确认进入方向的连接应当被如何处理。你的选择有： 1. Block（禁止，这是默认的）：根据你预先定义好的通信规则，对进入方向的通信进行阻挡。 2. Block all connections（阻挡所有连接）：阻挡所有进入的通信，而不管防火墙规则如何。 3. Allow（允许）：允许所有的通讯都穿越防火墙。确定如何处理外出的连接；你的选择是允许或者阻挡。这里没有阻挡所有（blocking all）的选项。通过按下 Settings（设定）旁边的“Customize”（自定

18、义）按钮，来自定义 Windows 防火墙的行为。通过按下 Logging（记录）旁边的“Customize”（自定义）按钮，来自定义 Windows 防火墙该如何处理记录。在图 11 中所示的屏幕，展示了当你按下属性页面中的 Setting（设定）区域的 Customize（自定义）按钮之后是怎样的。在这个屏幕上，决定了你将如何处理防火墙的通知，以及是否在多播/广播通信允许的情况下进行回应。学讯网最有实力的在线学习平台图 11如果你想修改记录选项（logging），点击窗户底部的“Customize（自定义）”按钮。你会看到类似图 12 这样的一个窗口。在这个窗口中，使用“B

19、rowse（浏览）”按钮来选择防火墙记录文件的存放路径以及文件名。这里也可以定义最大的记录文件尺寸，并指出是否打算记录丢弃的数据包以及（或者）成功的连接。如果你记录了太多信息的话，你的记录文件可能会迅速变得很笨重而难以处理。回到属性页面，唯一和其他不一样的页面，是 IPsec 设定页面，如图 13 所示。学讯网最有实力的在线学习平台这个屏幕上没多少东西。在这里，你可以呼出更多的 IPsec 实质配置窗口，如图 14 所示。你也可以选择是否从 Ipsec 中排除 ICMP 数据包。这么做，可以简化你的网络调试，因为它将 IPsec 的层面从等式中去除了。图 14 在图 N 中所

20、示的选项是真实的，在 IPsec 的配置之下的东西。在这里，你可以对你的 key 交换模式，数据保护模式，以及认证方式等进行配置。注意，每一个选项都提供了“默认（Default）”的一个设置，学讯网最有实力的在线学习平台就像其他可以选择的选项一样。每一个选项同样也提供了一个“Advanced（高级）”选择。当你选择了一个高级选项时，相关的“Customize（自定义）”按钮就可用了。当你按下其中的一个自定义按钮之后，你看到的选项，将允许对 IPsec 配置进行非常细微的配置。每一个高级选项窗口都如下面的图 15，图16，和图 17 所示。图 15图 16学讯网最有实力的在

21、线学习平台Windows Vista 的开发花费了很长的时间，而在其他操作系统中凡是看得到的功能，几乎都改头换面出现在了 Vista 之中。在 Vista 中的 Windows 防火墙就是这个变化部分的其中之一。其他 Windows 防火墙配置设定注意，你现在已经看过了 Windows 防火墙属性页面，让我们来看一些其他用户接口的成分。看一眼图 I。我将从主配置窗口左手边的选项来开始。 Inbound Rules：进入规则允许你设定规则，以控制 Windows 防火墙到底如何处理进入方向的通信。Outbound Rules：外出规则允许你设定规则，以控制 Windows 防火墙到底

22、如何处理外出方向的通信。 Connection Security Rules：连接安全性规则使用 IPsec 来对同样使用 Windows 防火墙的两台电脑之间的通信进行加密，或者对使用一个兼容 IPsec 策略的两台电脑通信进行加密。我在本文中不会对这些种类的规则说的太多。 Monitoring：监控监控选项给了你一种方法，让你可以查看你的防火墙正在做什么。本文中我也不会对监控方面讲述太多。 Inbound Rules（进入规则） Windows 防火墙一般总是有能力对进入的通信进行阻挡。不过，在高级配置视图之中，Windows 防火墙对那些了解如何配置服务的人们来说，显然更具有弹

23、性。图 18 让你可以看一下防火墙管理接口的进入规则部分。学讯网最有实力的在线学习平台图 18注意，在窗口的中间列出的每一个规则旁边，都有一个灰色或者绿色的选中标记。一个绿色的选中标记，表明该规则是被启用的，而一个灰色的选中标记则表明该规则被定义了，但是没有被启用。要启用或者禁止一个现存的规则，右键点击该规则，然后选择“Enable Rule（启用规则）”或者“Disable Rule（禁用规则）”。在 Windows 防火墙中，有一定数量的重要进入规则可以使用。要注意，如图 J 所示，每一个单独的规则仅管理一个特定的服务方面。举例来说，有很多的规则名字都以“Core Net

24、working（核心网络）”作为开头。每一个规则都管理着一个非常特定的程序或者协议；举例来说，一个规则可能仅允许通过TCP25 端口进入的 SMTP 连接。所有的核心网络管理规则都是启用的，因为没有了他们，你的电脑可能都不能正常工作。如果你打算特别加强你的 Vista 工作站，你也可以禁用某些规则。规则中的许多是特定版本的传输协议。这就是说，某些规则是为了 Ipv4，某些规则则是特别为了 Ipv6 的，而不是一个规则同时为两者服务的。如果你在你的网络中没有使用 Ipv6，你可以禁用所有面向 Ipv6 的规则。 Outbound Rules：外出规则外出规则选项看起来和图 J 所示

25、的进入规则屏幕差不多，工作方式也是一样的。我们很快会看一下如何建立新规则。 Windows 防火墙给予你相应的能力来根据许多规范建立的进入和外出的规则，包括通过特定程序的管理，或者基于 TCP/UDP 端口的管理。要添加一个新规则，要么选择进入规则，或者外出规则（根据你自己的需要），然后在 MMC 中选择新规则选项（New Rule option）。这会开始一个精灵，然后带你进入规则建立进程。如图 19 所示，精灵的第一个屏幕，要求你决定打算建立何种规则。就本例而言，我将建立一个自定义规则，以示范最普遍的可能性。学讯网最有实力的在线学习平台图 19在精灵的第二个页面，选择新规则

26、需要限制的程序和服务。你可以选择新规则对所有运行的程序和服务有效（这意味着该规则对所有的连接都有效，而不是仅仅针对特定程序或者服务的连接），或者，仅对某个特定的程序或者服务生效。图 20 显示了如何对特定的程序限定相应的规则。如果你打算对某个特定的服务限定规则，点击“Customize（自定义）”按钮。在图 21 中所示的屏幕，显示了你可以对所有的程序和服务都应用该规则，或者仅对服务应用，或者对从列表中选择的某个服务应用，或者是对你在窗口底部的对话框中所输入简短名称的某个服务生效。学讯网最有实力的在线学习平台图 20 图 21就我的示例而言，我将该规则应用于所有的程序和服务。

27、精灵的第三个页面，如图 22 所示，要求你提供应当被用于本规则的具体协议和端口。学讯网最有实力的在线学习平台图 22 这个屏幕在以下区域中要求提供相应信息。协议种类可用的协议类型如下所示： HOPOPT (IPv6 Hop-by-Hop Option) ICMPv4 ICMPv6 IGMP TCP UDP IPv6 IPv6-Route IPv6-Frag IPv6-NoNxt IPv6-Opts GRE VRRP PGM 学讯网最有实力的在线学习平台L2TP 本地端口本地端口选项仅当你在为协议种类选择了 TCP 或者 UDP 之后才可以使用。一个本地端口是在运行Windows

28、防火墙的电脑上所使用的端口。本地端口可用的选项有： All ports（所有端口） Specific ports（特定端口） Dynamic RPC（动态 RPC） RPC Endpoint Mapper（RPC 端点映射） Edge Traversal（边缘穿越）远程端口远程端口选项仅当你在为协议种类选择了 TCP 或者 UDP 之后才可以使用。一个远程端口，指的是试图和你本地电脑进行通信的远方电脑上所用的端口。对远程端口，你可以使用“All Ports（所有端口）”，也可以使用“Specific Ports（特定端口）”。互联网控制信息协议（ICMP）设定如果你在协议类型中

29、选择了 ICMP 选项之一，那么该选项旁边的 Customize（自定义）按钮就会变得可用。点击此按钮，会打开如图 23 所示的 ICMP 自定义设置窗口。在该屏幕上，你可以选择将该规则适用于所有的 ICMP 类型，或者仅仅适用于特定的 ICMP 类型。精灵的下一个页面，如图 24 所示，将询问你新规则的本地和远程 IP 地址（范围）。而范围可以被适用于进出的所有通讯规则，这样满足了预先定义范围的通讯都将被适用该规则，就像其他规则所做的那样。学讯网最有实力的在线学习平台一旦你已经在一个将要生效的规则下定义了具体参数，就需要决定当有事件满足条件时应当做些什么。如图 25 所示，你有

30、3 个选项： Allow The Connection（允许连接），无论该连接是否启用了 IPsec。 Allow The Connection Only If It Is Secured By IPsec（仅允许被 IPsec 保护的连接）. 你也可以在这里为了额外的安全而选择子选项。如果你选择了它，你必须同时指定用户或者电脑如何确定可信任的连接。 Block The Connection（阻止该连接）。学讯网整理学讯网最有实力的在线学习平台图 25 对于最后的精灵页面，我这里就不放出屏幕图形了。最后倒数一二个页面，Profile，会要求你选择具体哪个 Profiledomai

31、n（域），Private（私人），或者 Public（公共）将被应用新规则？精灵的最后一个屏幕要求你为新规则命令，另外，也可以输入一个说明性的详细描述。当你完成了建立新规则后，它将会显示在主要防火墙配置窗口的规则列表中。缺点毫无疑问，说到客户级别的保护方面，Windows 防火墙，从能力方面而言，足以和那些大人物们同行。但是，还有两点值得提起，因为它们让 Vista 的新防火墙还不够完美。外出监控默认状态下是不启用的：这意味着用户可能会被误导，认为他们现在的电脑和使用Windows XP 的时期相比，“得到了更好的保护”。一个相当复杂的高级管理接口：一般的家庭用户将没有能力来管理这个服务。的确，一个家庭用户在使用基本接口时将很少有困难，但是基本接口并没有提供一个启用外出监控的方法，也没有提供任何在高级配置中所提供的细微管理功能。除非微软可以特别简化高级防火墙接口，否则家庭用户将享受不到防火墙中所提供的全新技术功能。一次主要升级在 Windows Vista 之中所提供的防火墙，和微软先前声称要努力建立的牢固防火墙而言，还存在相当的距离。但就它的双向保护能力，超级细微的管理选项，以及很宽的配置参数而言，它同样也不能被算做一无是处。

展开阅读全文