推出Windows XP系統內建的第一個防火牆(Internet Connection防火牆)以來,微軟公司一直在穩步改善其後推出的系統的防火牆功能。而在最新客戶端作業系統Windows 7中的Windows防火牆,進行了革命化的改進,提供了更加使用者友好的功能,並且為移動使用者的防火牆方面有明顯的改善。在本文中,我們將介紹Windows7中的Windows Firewall,以及如何與多個防火牆政策配置的問題。
步驟/方法
Windows防火牆的發展史
Windows XP中的防火牆軟體僅提供簡單和基本的功能,且只能保護入站流量,阻止任何非本機啟動的入站連線,預設情況下,該防火牆是關閉的。SP2系統預設情況下則為開啟,使系統管理員可以通過組策略來啟用防火牆軟體。Vista的防火牆是建立在新的Windows過濾平臺(WFP)上的,該防火牆添加了通過高階安全MMC管理單元過濾出站流量的功能。在Windows 7中,微軟公司已經進一步調整了防火牆的功能,讓防火牆更加便於使用者使用,特別是移動計算機中,並且能夠支援多種防火牆政策。
Windows 7防火牆
在Vista中,Windows7防火牆的基本設定是通過控制面板程式設定的,與Vista不同的是,你也可以通過控制面板訪問高階設定(包括配置出站連線過濾),而不需要建立空的MMC並新增一個管理單元。只需要點選左側面板中的高階設定連線即可,如圖1所示。 圖1:在Windows 7中,你可以通過控制面板程式進入高階防火牆設定
更多網路選項
Vista防火牆允許使用者選擇公共網路或者私人網路,而在Windows 7中,你有三個選擇:公共網路、家庭網路或者工作網路,後兩者都被視為私人網路。
如果你選擇“家庭網路”選項,你可以建立一個Homegroup。在這種情況下,網路發現(network discovery)是自動開啟的,這樣你就能夠看到網路中的其他計算機和裝置,他們也能夠看到你的計算機。屬於Homegroup的計算機可以共享圖片、音樂、視訊和文件庫,也可以共享硬體裝置,如印表機等。如果你的資料夾中有不想共享的檔案,也可以排除它們。
如果你選擇“工作網路”,網路發現預設情況下是開啟的,但是你將無法建立或者加入Homegroup,如果你將計算機加入到Windows域(通過Control Panel System Advanced System Settings Computer Name tab)並通過域控制器的驗證,防火牆將會自動將網路視為域網路。
當你在機場、酒店或者咖啡館等位置連線到公共無線網路或者使用移動寬頻網路時,應該選擇“公共網路”,網路發現將會預設為關閉,這樣網路中的其他計算機就不能看到你的計算機,你也不能川劇或者歸屬於Homegroup。
對於所有網路型別,預設情況下,windows 7防火牆都會阻止對不在可允許程式名單上的程式的連線,Windows7允許你為每種網路型別分別配置設定,如圖2所示。 圖2:Windows7允許你為每種網路型別分別配置設定
多個有效模式
在Vista中,即使你已經為公共網路和私人網路配置了情景模式,在特定時間內只有一種是有效的。如果你的計算機同時連線到兩個不同的網路,那事情就不妙了,這時將會採用最嚴格的模式來使用所有連線,這意味著在本地網路你可能無法進行所有需要的操作,因為此時使用的是公共網路模式的規則。在Windows7(和Server 2008 R2中),可以同時為每個網路介面卡使用不同的模式,對私人網路的連線使用私人網路規則,而來自公共網路的流量則使用公共網路規則。
重要的小功能
在很多情況下,細小的變化可能帶來更高的可用性,微軟公司一直積極聽取來自使用者的意見,他們在Windows 7防火牆中加入了一些重要的小功能。例如,在Vista中,當你建立防火牆規則時,你需要分別列出埠號和IP地址,而現在你只需要指定範圍,這樣就為這項常見的管理任務節省了很多時間。
你也可以建立連線安全規則來指定哪些埠或者協議受到防火牆控制檯中Ipsec要求的支配,而不需要使用netsh命令。對於那些更願意使用GUI的人而言,這是個很方便的改進。
連線安全規則還支援動態加密,這意味著,如果伺服器獲取一條來自客戶端計算機的未加密(但通過驗證)的資訊,可以通過要求加密來獲得更安全的通訊。
使用高階設定配置檔案
使用高階設定控制檯,你可以為每種網路型別的配置檔案進行設定,如圖3所示。
圖3:你可以使用高階設定控制檯為每種網路型別設定配置檔案
對於每個配置檔案,你可以進行以下配置:
·Windows防火牆的開關狀態
·入站連線(阻止、阻止所有連線,或者允許)
·出站連線(允許或者阻止)
·顯示通知(當程式被阻止時是否進行通知顯示)
·對於組播或者廣播流量是否允許單播響應
·除使用組策略防火牆規則外,還使用由本地管理員建立的本地防火牆規則
·除使用組策略連線安全規則外,還使用由本地管理員建立的本地連線安全規則
日誌
Vista防火牆可以配置為記錄事件日誌到一個檔案中(預設情況下為Windows\System32\LogFiles\Firewall\pfirewall.log)。在windows 7中,事件日誌也可以記錄在Event Viewer的Applications 和Services部分,這樣更加容易訪問。要檢視此日誌,可以開啟Event Viewer,在左窗格中,點選Applications and Services Log Microsoft Windows Windows Firewall中的高階安全選項,如圖4所示。
圖4:Windows 7中的事件檢視器中的防火牆事件日誌
在事件檢視日誌中,你可以建立一個自定義檢視,過濾日誌,搜尋日誌或者啟用詳細日誌記錄。
Netsh 命令
Windows 7包含向後相容的netsh防火牆,但是如果你執行改命令,你會收到訊息顯示,“重要,‘netsh防火牆’已經過時,請使用netsh advfirewall防火牆”,如果想了解更多關於該新命令的資訊,請點選
總結
Windows 7防火牆是對Vista防火牆進行廣泛改善後的產物,並且將其隱藏的先進功能公開化了。很多使用者(包括一些IT專業人士)以前可能並不知道Vista防火牆可以過濾出站流量、檢測和執行高階配置任務,因為這些功能都沒有在控制面板中的防火牆程式中明顯地顯示出來,在Windows 7中,微軟建立了一個內建的防火牆,比Vista更加完善,並且成為了第三方託管防火牆的有效的替代產品。