Vista中的防火墙使用10大注意事项

　　【IT168 论坛采风】微软对Vista中的Windows防火墙做了重大改变，从而增强了安全性，让高级用户更容易配置及定制，同时保留了新手用户所需的简洁性。

　　一、采用两种界面来满足不同需求

　　Vista防火墙有两种独立的图形配置界面:一是基本的配置界面，可以通过“安全中心”和“控制面板”来访问;二是高级配置界面，用户在创建自定义的MMC后，可作为插件来访问。这可以防止新手用户无意中的改变而导致连接中断，又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法。用户还可以在netshadvfirewall上下文中使用命令，从命令行对Vista防火墙进行配置;也可以编写脚本，针对一组计算机自动对防火墙进行配置;还可以通过组策略来控制Vista防火墙的设置。

　　二、默认设置下的安全

　　Vista中的Windows防火墙在默认状态下采用安全配置，同时仍支持最佳易用性。默认状态下，大多数入站流量被阻挡，出站连接被允许。Vista防火墙可与Vista的Windows服务加固这项新功能协同工作，所以如果防火墙检测到被Windows服务加固网络规则禁止的行为，它就会阻挡该行为。防火墙还完全支持纯IPv6的网络环境。

　　三、基本配置选项

　　利用基本配置界面，用户可以启动或者关闭防火墙，或者设置防火墙完全阻挡所有程序;还可以允许有例外情况存在(可以指定不阻挡哪些程序、服务或者端口)，并且指定每种例外情况的范围(是否适用于来自所有计算机的流量，包括互联网上的计算机、局域网/子网上的计算机，或者是你指定了IP地址或者子网的计算机);还可以指定希望防火墙保护哪些连接，并且配置安全日志和ICMP设置。

　　四、ICMP消息阻挡

　　默认状态下，入站ICMP回应请求可以通过防火墙，而其他所有ICMP信息被阻挡在外。这是因为，Ping工具定期用来发送回应请求消息，用于故障诊断。不过，黑客也可以发送回应请求消息来锁定目标主机。用户可以通过基本配置界面上的“高级”选项卡，阻挡回应请求消息。

　　五、多个防火墙配置文件

　　附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件，那样就可以针对不同环境使用不同的防火墙配置。这对便携式计算机来说特别有用。譬如说，当用户连接到公共无线热点时，可能需要比连接到家庭网络时更安全的配置。用户最多可以创建三个防火墙配置文件:一个用于连接到Windows域、一个用于连接到专用网络，另一个用于连接到公共网络。

　　六、IPSec功能

　　通过高级配置界面，用户可以定制IPSec设置，指定用于加密和完整性的安全方法、确定密钥的生命周期按时间计算还是按会话计算，并且选择所需的Diffie-Hellman密钥交换算法。默认状态下，IPSec连接的数据加密功能是禁用的，但可以启用它，并且选择哪些算法用于数据加密和完整性。

　　七、安全规则

　　通过向导程序，用户可以逐步创建安全规则，从而控制单台计算机或者一组计算机之间如何及何时建立安全连接;也可以根据域成员或者安全状况等标准来限制连接，但允许指定的计算机可以不符合连接验证要求;还可以创建规则，要求两台特定的计算机(服务器到服务器)连接时需要验证，或者使用隧道规则对网关之间的连接进行验证。

　　八、自定义的验证规则

　　在创建自定义的验证规则时，要指定单台计算机或者一组计算机(通过IP地址或者地址范围)成为连接端点。用户可以请求或者要求对入站连接、出站连接或者两者进行验证。

　　九、入站和出站规则

　　用户可以创建入站和出站规则，从而阻挡或者允许特定程序或者端口进行连接;可以使用预先设置的规则，也可以创建自定义规则，“新建规则向导”可以帮用户逐步完成创建规则的步骤;用户可以将规则应用于一组程序、端口或者服务，也可以将规则应用于所有程序或者某个特定程序;可以阻挡某个软件进行所有连接、允许所有连接，或者只允许安全连接，并要求使用加密来保护通过该连接发送的数据的安全性;可以为入站和出站流量配置源IP地址及目的地IP地址，同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。

　　十、基于活动目录的规则

　　用户可以创建规则来阻挡或者允许基于活动目录用户、计算机或者组账户的连接，只要连接通过带有Kerberosv5(包含活动目录账户信息)的IPSec来保护安全。用户还可以使用具有高级安全功能的Windows防火墙，执行网络访问保护(NAP)策略。

　　Windows Meeting Space(WMS)是Windows Vista内置的一个新程序，它便于最多10个协作者共享桌面、文件和演示文档，并通过网络传送个人消息给对方。

　　原帖链接：http://360.qihoo.com/3210485/2789167.html