Windows Vista 防火墙的10大特点

在Windows Vista中，微软大力加强了Windows Firewall的安全性能，除了保留了通过控制面板访问Windows Firewall的GUI界面的特性外，还为高级用户准备了通过MMC控制台对防火墙进行高级配置的能力。下面我就来介绍一下Windows Vista中的Windows Firewall的几个特点。
对于Vista中的Windows Firewall，微软进行了大量的开发工作，不但让这款防火墙具备了更强的可配置性和定制能力，还为初级用户保留了简单的访问模式。以下就是Vista中的防火墙的主要变化。

针对不同需求采用两种界面
Vista的防火墙具有两种独立的配置界面：基本的配置界面可以通过控制面板中的安全中心来开启，高级配置界面则需要用户建立定制的MMC。这种独立的配置界面设计可以避免初级用户由于配置不当导致系统安全性降低，同时也为高级用户提供了更多的控制流入和流出数据的能力。另外，用户还可以通过netsh advfirewall中的命令在命令行模式配置Vista的防火墙，或者通过创建脚本的方式在多台电脑上进行防火墙自动配置。此外，用户还可以通过组策略来控制Vista防火墙的配置。

基本配置选项
在基本配置界面，用户可以启动或关闭防火墙，设定防火墙阻拦全部程序访问网络，或者将特定的内容（程序、服务或特定端口）加入到例外列表，并可以设定每个例外的访问限制（是否可以接受来自所有计算机的数据，比如互联网上的电脑、局域网中的电脑，或者是用户指定的IP地址）。在这个基本配置界面，用户还可以指定针对哪个连接进行保护，并配置安全日志以及ICMP设定。

默认安全性
Vista中的Windows Firewall在默认情况下提供了足够的安全性和可用性。在默认情况下，大部分流入数据被阻挡，而大部分流出数据则被允许。Vista防火墙是与Vista新的Windows Service Hardening功能协同工作的，因此当防火墙发现某个程序的行为被Windows Service Hardening网络规则所禁止，则会阻止该行为继续工作。另外，防火墙完全支持IPv6网络环境。

ICMP消息阻挡
在默认情况下，防火墙允许输入的ICMP回应请求，而其他的ICMP信息则被阻挡。因为在正常情况下， Ping工具会发送ICMP回应请求，从而对系统的网络连接状态进行检查。不过，还可也可以通过发送ICMP回应请求来锁定目标主机。因此，用户可以在基本配置界面的Advanced选项卡中阻挡ICMP回应请求（或者根据用户需求开启其它ICMP信息的接收和发送功能）。

多种防火墙配置
Vista Firewall With Advanced Security MMC可以让用户在电脑中实现多重防火墙配置，当用户的系统处在不同环境下时，就可以使用不同的防火墙配置文件了。这对于笔记本电脑来说尤为重要。比如，当用户通过公用的Wi-Fi热点接入网络时，可能希望拥有更高的安全防护能力，而通过家庭网络接入互联网时，则可以适当放松防火墙的限制。通过MMC，用户可以建立最多三种不同的防火墙配置：一个用于连接Windows域，一个用来连接专用网络，另一个用来连接公众网络。

IPSec功能
通过高级配置界面，用户可以自行配置IPSec设置，设定用于完整性和加密功能的安全方式，决定密钥的生命周期是按时间计算还是按会话线程计算，并且选择合适的Diffie-Hellman密钥交换算法。在默认情况下，IPSec连接的数据加密功能是关闭的，用户可以手动开启这一功能并设定用于数据加密和完整性的适当的算法。最后，用户还可以选择通过Kerberos方式对用户、计算机进行身份验证，要求计算机提供用户指定的CA证书，或者创建自定义的认证方式。

安全规则
通过向导，用户可以逐步建立自己的安全规则，从而控制电脑何时以及如何与另一台电脑或另一组电脑进行安全连接。通过设定规则，用户可以限制电脑与某些电脑连接，比如限制某些域成员连接，或者限制未经验证的电脑进行连接等。用户可以建立适当的规则，当两台特定的电脑（如服务器到服务器）连接时要求进行认证，或者在网关间使用隧道规则进行验证。如果认为向导中预定规则都不合适，用户还可以自己设定安全规则。

定制的验证规则
在建立定制的验证规则时，用户需要指定一台或多台电脑（通过IP或IP地址段）作为连接端。对于接收和/或发送的连接，用户也可以请求对方提供认证或自身发送验证信息。比如，用户可以要求接收的连接必须提供验证，而对于发送的连接则只是请求验证。当验证请求被对方接受后，连接即被验证，而就算没有被对方验证，连接也可以建立。

流入和流出的连接规则
用户可以针对流入或流出的连接来设定规则，从而阻止或允许特定的程序或端口。用户可以采用系统预先设定的规则，也可以自行设定规则。New Rule Wizard向导可以帮助用户建立相应的规则。用户可以将规则应用于程序、端口或服务，同时还可以将规则应用于全部程序或特定程序。用户可以阻止某个软件的全部连接，允许全部连接或者仅允许安全的连接并要求以加密方式确保该连接上的数据的安全性。用户可以针对流入或流出的数据配置数据源或目的地的IP地址，还可以配置他们的TCP和UDP端口号。

基于活动目录的规则
用户可以创建规则阻止或允许基于活动目录用户、计算机或组账户与电脑进行连接，同时可以通过带有Kerberos v5（包含活动目录账户信息）的IPSec对连接进行加密。另外，通过Windows Firewall With Advanced Security，用户还可以强制实施Network Access Protection (NAP)策略。