相信很多朋友都已经用上了Windows Vista,这个新的操作系统不仅提供了UAC的权限保护,而且默认设置下还会自动启用Windows防火墙,这个防火墙可以帮助阻止黑客或恶意软件通过Internet访问你的计算机,同时会对出站连接进行审核,较之Windows XP的防火墙更为强大。
Windows Vista的防火墙窗口与XP系统相比有了较大变动。
Windows Vista的防火墙窗口与XP系统相比较有了较大变动,保留了直接对Windows防火墙是否已启用的状态显示,同时还可以设置为阻止程序时显示通知。网络位置是“专用网络”,如果需要更改设置的话,可以单击“更改设置”按钮,然后会设置窗口,我们可以根据自己的需要进行更改。
根据需要更改Windows防火墙设置。
常规设置
可以设置是否需要暂时关闭防火墙的保护,假如希望防火墙阻止所有程序,请勾选“阻止所有传入连接”复选框,此时系统将阻止所有主动连接本机的尝试,这个设置在连接到机场或旅馆的公用网络时比较实用,当然此时你仍然可以浏览大多数网页、发送和接收电子邮件、发送和接收即时消息。
例外
可以添加允许通过防火墙进行通信的例外控制程序,系统提供了网络共享服务、远程管理、SNMP等常用的网络服务程序,如果需要运行程序或服务,只要在列表中勾选相应项目就可以了。
虽然列表中提供了一些常用的服务和网络程序,但更多的网络程序并没有在这个列表中显示出来,如果需要添加新的项目,可以单击“添加程序”按钮,在这里通过“浏览”按钮指定需要添加的程序。默认设置下,所添加的程序被设置为任何计算机都可以使用,如果你需要进行适当的限制,那么可以单击“更改范围”按钮,在这里选择“仅我的网络(子网)(M)”或者“自定义列表”,设置完成后单击两次“确定”按钮返回“例外”选项卡。
添加允许通过防火墙进行通信的例外控制程序。
点击“添加端口”按钮,可以分别设定端口名称、端口号和采用的协议,例如FTP服务的端口号为21,采用的协议为TCP,设置之后能够开启FTP协议所使用的21端口,让FTP文件传输服务得以顺利运行。
高级
如果你的计算机上设置了多个网络连接,那么可以在“高级”选项卡选择希望Windows防火墙保护的某个连接,取消“本地连接”前面的对勾就可以了。如果希望将入站连接的防火墙规则恢复至初始安装时的状态,可以单击“还原为默认值”按钮,然后会弹出一个提示框,确认后即可生效。 如果你觉得Vista内置的Windows防火墙属于鸡肋功能,那么可就大错特错了。只要稍稍动一些脑筋,我们可以让Windows防火墙发挥更大的作用。
禁用P2P下载
对于局域网用户而言,可能有一些不自觉的用户会使用BT之类的P2P下载工具,这种情况下势必会占用大量的网络带宽。其实,如果局域网采用Vista作为共享服务器,那么可以借助Windows防火墙解决这个问题:
进入“例外”选项卡,在这里取消“Windows Media Player共享服务”复选框,这个服务将允许用户通过网络共享媒体,包括使用UPnP、SSDP和qWave,取消之后Vista系统将禁止使用UPnP协议,即使网络中有用户使用P2P软件,也不会对网络性能造成太大的影响。
让防火墙智能起来
按下“Win”键激活“开始搜索”框,或者按下“Win+R”组合键打开运行对话框,在这里手工输入“gpedit.msc”进入组策略对象编辑器,依次展开到“计算机配置”|“管理模板”|“Windows组件”|“Windows Defender”,然后双击“启用记录已知的正确检测”,在这里选择“已启用”,可以让Windows Defender检测已知的正确文件,防火墙在实时保护期间会启用记录检测数据;接下来再次双击打开“启用记录未知检测”对话框,同样将其设置为“已启用”。
启用记录已知的正确检测。
启用上述两项设置后,系统日志中会出现大量的事件记录,你可千万别认为这些事件记录是多余的,如果系统中出现异常文件,或者系统出现严重问题时,我们可以通过这些事件记录获得有用的信息,从而作出有效的处理。 前面介绍的Windows防火墙,不过只是一个功能比较简陋的防火墙,我们姑且可以将其称为“边界防火墙”,对于有着更高安全需求的用户来说,恐怕这个防火墙是远远不能满足他们需要的。其实,Vista还为我们提供了一个高级安全Windows防火墙,这是一种“状态防火墙”,启用后会检查并复选IP版本4(IPv4)和IP版本6(IPV6)流量的所有数据包,默认情况下会阻止传入流量,除非是对主机请示的响应,或者被特别允许(即创建了防火墙规则并得到了允许),同时还可以请示或要求计算机在通信之前互相进行身份验证,并在通信时使用数据完整性或加密。
启用高级安全Windows防火墙
既然是高级安全防火墙,自然不能轻易地提供给普通用户使用,你会发现无论是在‘开始’菜单还是在控制面板中,都不会找到这个组件。
在“开始搜索”框或“运行”对话框中输入“mmc”,运行后会进入控制台窗口,从“文件”菜单中执行“添加/删除管理单元”,或者按下“Ctrl+M”组合键,从弹出对话框的“可用的管理单元”列表中中找到“高级安全Windows防火墙”,选中后单击中间的“添加”按钮,或者直接双击,此时会弹出一个对话框,在这里直接选择“本地计算机(运行此控制台的计算机)”,然后单击右下角的“完成”按钮,高级安全Windows防火墙即可进入控制台根节点。
启用高级安全Windows防火墙。
了解高级安全Windows防火墙
返回主界面,展开“本地计算机上的高级安全Windows防火墙”,或者我们也可以在‘开始’菜单的“开始搜索”框输入“防火墙”,然后在搜索结果栏直接单击“高级安全Windows防火墙”,就可以进入管理单元窗口,这是一个我们非常熟悉的MMC 3.0窗口,共分为三个窗格:
进入高级防火墙的管理单元窗口。
控制台树 功能类别,每个类别都可以进一步展开。
详细窗格 列出每个功能类别及其分支的详细信息,“专用配置文件是活动的”表示当前连接的网络是“专用”网络。
操作窗格 可以对每个功能类别及其分支进行具体的操作。
认识三个配置文件
Windows XP的配置文件只有两个,分别是域配置文件和标准配置文件,而Windows Vista的防火墙配置文件一共有三个,分别是域配置文件、专用配置文件和公用配置文件,这样我们可以根据不同的网络位置,选择相应的配置,从而为用户提供了更多的选择。
右击“本地计算机上的高级安全Windows防火墙”,从快捷菜单中打开“属性”窗口。这里提供了三种不同的防火墙配置文件,分别用于域环境、单机和公用环境,请根据实际情况进行选择。
从快捷菜单中打开高级安全Windows防火墙的“属性”窗口。
域配置文件 计算机连接到其帐户所在的网络时的行为。
专用配置文件 计算机连接到不包括其域帐户的网络时,例如家庭网络。从本质上来说,专用配置文件设置应该比域配置文件设置更为严格。
公用配置文件 当计算机通过公用网络时,例如机场、星巴克或麦当劳,由于计算机所连接的公用网络无法像IE环境中一样严格控制安全,因此从这个意义上来说,公用配置文件的设置应该最为严格。 默认设置下,前面所提到的三种防火墙的配置文件都是允许出站连接、阻止入站连接,这样自己平时的浏览网页、下载等出站连接活动将不会受到任何影响,但是外界的主动入站连接都将被禁用。如果没有更改配置文件的设置,只要具有高级安全性的Windows防火墙使用这些配置文件,都会应用其默认值。
在尽可能的情况下,建议全部选择“启用”,当然你对于控制Windows防火墙的行为,可以通过“自定义”进行设置,具体选项这里就不多介绍了,感兴趣的朋友可以查看有关的技术文档或帮助文件。Windows防火墙默认阻止所有的入站连接,便默认允许所有的出站连接,如果我们需要阻止Windows Live Messenger登录到服务器,可以按照下面的步骤进行设置。
第1步:在左侧的控制台树定位到“出站规则”,在右侧的“操作”窗格中单击“新规则”,此时会打开“新建出站规则向导”的对话框,选择“程序”,单击“下一步”按钮继续。
第2步:选择“此程序路径”,单击后面的“浏览”按钮,指定Windows Live Messenger可执行程序所在的路径,单击“下一步”按钮继续。
第3步:接下来,规则向导会询问符合指定条件时所选择的操作,请选择“阻止连接”,单击“下一步”按钮继续。
规则向导会询问符合指定条件时所选择的操作。
第4步:选择配置文件,我们可以只选择域、专用、公用三种位置中的一种,考虑到网络安全性,建议全部选择,然后单击“下一步”按钮继续。
第5步:接下来,我们需要指定这条规则的名称和描述信息,用户可以依习惯规则任意填写,最后单击“完成”按钮。
现在,我们如果试图运行Windows Live Messenger,系统会出现无法登录的错误信息。单击“疑难解答”按钮,Windows Live Messenger会执行错误诊断,最后的结果当然与防火墙有关。
在左侧的控制台树中选择“监视”,我们可以在中间的“详细窗格”中查看到监视设置的具体内容,例如程序被阻止时会显示通知、本地防火墙规则和本地连接安全规则都已经被应用。当然,由于本文的篇幅有限,关于防火墙的更多功能这里无法一一展开,感兴趣的朋友不妨自行研究
|