早在Windows 2000系统的扩展工具包中就出现了ICF(Internet Connection Firewall)工具,通过它可以配置网络数据包的传入规则,但是在Windows 2000中这个ICF工具没有内置到系统中。因此说起Windows系统自带的防火墙要追溯到XP系统,在XP和XP SP1系统中内置了一个名为Internet Connection Firewall的组件,它提供了基本的包过滤功能,这就是系统防火墙的前身。
$ G3 I% _9 P3 T; w6 h. i# Z
4 U* s$ V/ y% \( ]8 ~+ M 到了XP SP2发布后这个ICF就名正言顺地成为了Windows Firewall,在使用上也有了明显的改进,设置上更加图形化,对进入系统的数据提供了拦截审查的功能。而接下来的Windows Server2003系统中同样提供了内置防火墙功能,在使用和效果上和XP SP2一样。不过这种防火墙只能够对进入系统的数据进行过滤,在防护效果上略显不足。因此,实际使用中,大部分用户依然需要安装其他工具来加强安全防范效果。
% }' |- D$ I/ R# {0 Y; @$ K# j
8 Z* e( f3 J7 I7 b 然而,以上安全问题都随着Vista的诞生而解决。那么,Vista系统中的内置防火墙在功能和安全效果上又有哪些改进呢?首先Vista系统防火墙提供了两种模式以及双向过滤,并在应用规则和应用策略上有了比较明显的改进。可以丝毫不夸张地说,在某种程度上用户已经可以不用安装任何第三方防火墙工具而仅仅使用Vista系统内置的防火墙来实现安全防范功能了。
* l8 Y1 K) V7 D* e, Y, l8 c5 x4 {& B
+ V2 |" u5 B& d6 b% ]7 s Y! G) o
一、双模式:初、高级用户通吃
/ p9 H' r" y9 K& D" K4 d+ l% [: Z6 n+ D9 z6 p/ i/ x+ q
在Vista防火墙中提供了两种设置模式,依次为简单模式和高级模式。这适合两种不同类型的用户。
9 b7 l, s+ z2 O: Q0 u( U0 e& ?0 D; {$ k0 `! c8 g1 l
1.简单模式
2 |2 G1 Q) i1 K8 l6 w1 i
1 O1 a/ j3 x& o" f [7 v Vista防火墙在简单模式下和Windows XP SP2的防火墙没有什么区别,这种模式适合初级用户使用的,通过Vista防火墙的简单模式可以在操作者没有任何安全技术知识的情况下实现对系统的有效保护。
0 z: [( s# v5 G; ?( i
* e7 \6 \( e& d) v8 y& Y1 G
防火墙简单模式的打开是通过Vista系统中控制面板来实现的,进入控制面板选择安全选项。接下来在安全设置窗口中点Windows防火墙(见图1)。这样我们就启动了Vista系统防火墙的简
5 f. M+ X+ u* r/ M0 U! i
\9 i T( ?, o) ~
+ f: g. R9 z! E e
: S- u! ?( L0 L* X! ~
6 f; a! z& Q8 C# x. y$ Y, D! }* T7 ]* w9 P
单模式。开启关闭以及添加简单过滤规则的方法和XP SP2中的防火墙一样。
6 a7 _- O) e# G* T0 n9 ?0 u
! W x3 x& ~, A; q; P! p, d/ H1 G 2.高级模式
, w+ ~, [' S& K6 ^/ h; |/ U4 K) ~' [0 B' U# U" I
在简单模式中我们还看不出Vista防火墙的强大,而在高级模式下,它能设置的过滤规则防范手段不输于任何第三方防火墙软件。
( i7 I3 o; ^/ i+ u
" `9 [8 }! Z& X5 y! C' q 进入Vista防火墙高级模式的方法很多,笔者介绍常用的一种。进入Vista系统桌面,通过开始菜单运行gpedit.msc进入到Vista系统的组策略设置窗口。我们依次打开本地计算机策略计算机配置Windows设置安全设置高级安全Windows防火墙高级安全Windows防火墙本地组策略对象。这里就是Vista防火墙的高级模式配置界面了(见图2)。在高级模式中我们可以随意定义防火墙的过滤规则。
K2 q$ V- A2 h& i3 a+ m0 @; ^- Y- e) T9 O' r( u8 g& m
$ g7 [& t% C, ~ g4 g. u s3 T
- H- o* Y& a: u5 S& b( |0 U- F e' K+ Y v
5 Z6 g' r t; [# U0 Q 小提示:在Vista中进入系统关键组件需要通过UAC认证,所以在访问防火墙高级模式时也需要系统管理员允许操作者通过UAC验证。所谓UAC验证就是在Vista系统中添加的针对安全的功能,当进行一些修改系统参数的操作时,Vista会提示输入具备管理员权限的账号和密码进行UAC验证,通过认证才能继续进行修改设置等操作。
1 W) n1 }* u, ]
2 @ A$ L& m: ^! I6 i 双向过滤:没人敢说不专业 1 p# u8 ?" P3 M/ u9 g
6 |/ C6 @; b' \* w1 u" ?
技术点评:Vista防火墙引入的双模式是针对不同用户群的,其中简单模式是方便普通用户使用和配置防火墙的,而高级模式则是给那些对安全要求比较高或者对网络访问流量要求比较苛刻,需要自己定义详细规则的用户。在高级模式下用户可以对防火墙的具体规则进行详细的设置。例如针对某个程序,某个端口以及某个IP地址段进行规则设置。高级模式是Vista防火墙的精华所在,它已具备第三方专业防火墙软件应有的功能。 二、双向过滤:没人敢说不专业
+ a. [' F* s7 L/ J1 N
1 h# @, r" ] [7 p! L6 M 除了上面提到的双模式特色外,在Vista系统防火墙中还首次引入了双向过滤的功能。这也是专业级防火墙的基本特征。 这种双向过滤功能只存在于高级模式中,要设置双向过滤首先要进入Vista防火墙的高级模式。在高级模式中我们会看到对应的出站规则和入站规则选项,其中入站是针对外界到本机的数据包进行的过滤规则,而出站则是针对本机到外界的数据包进行过滤规则。出站方向的过滤在以往的Windows防火墙中是没有的(见图3)。我们还可以像设置入站规则一样针对某个程序、某个端口以及某个IP地址段在出站规则方面进行设置。
* K# ]- S* [' K' N2 w }* @/ R1 L- A4 q8 U8 d
s/ E2 [- [9 W; X
`8 K" C+ |6 S0 L7 b
% C+ c; G) f& D" l. Q7 R% m6 o* L% o
# c; B) z% y, h 小提示:所谓入站和出站都是针对网络数据流向而言的,入站就是网络数据包从外界传输到本机系统的方向,相应的出站就是网络数据包从系统向外部网络传输的方向。
" J. C. V6 U! Y9 ] [; [4 V
# e( B3 ?1 l4 t5 p' D 要知道在以往的系统防火墙中,不管是ICF还是XP SP2的防火墙甚至是Windows Server 2003的防火墙都是基于单方向过滤规则进行设置的,所谓单方向就是指防火墙只能够对从外界到本机的数据包进行过滤,而无法对从本机发送到外界的数据包添加任何过滤规则。
# C7 W$ P$ l# G5 `; t) p3 E
6 H# L+ S9 y' P- a$ i. E 这种单向过滤的特点使得一旦本机系统因为某种原因感染病毒或木马,那么系统防火墙将对这些发自于系统内部的非法连接和非法传播没有任何办法。特别是当系统感染蠕虫病毒后,会发送很多个会话连接进行传播时,单向防火墙将对这种从内到外的数据视而不见,最终造成防火墙在内鬼面前形同虚设。所以说这种单向过滤的特点造成了以前版本的防火墙无法得到用户认同,无法保证系统的真正安全,很多用户都无奈地选择安装另外一款防火墙来抵御攻击。
% e1 q! d: S5 k0 U$ p
& \6 H( S* c4 s 不过这种问题在Vista防火墙高级模式中的双向过滤功能下迎刃而解,我们可以禁止非法程序出站访问,这样即使本机即使感染了病毒也能够将病毒对本机和网络的危害降到最低。
. c" I5 J2 s5 f* D* v1 a& U$ q4 a
技术点评:Vista防火墙的双向过滤功能实际上相当于将其传统防火墙的功能提高了一倍,在安全防范和抵御病毒入侵方面表现得更加出众,正是因为这种双向过滤使得Vista防火墙成为了真正的专业防火墙。
( I0 I2 R7 A/ [, `( _
: J+ m5 s( g# ^( e! ]# I" o& U
- c5 |( s0 N$ n( |/ f s" E' F
5 b- Q4 H$ e0 s! G3 C : \: T6 B9 T$ z- `& p
