您当前的位置是： 服务器安全资讯网>系统安全>Windows Server>Vista安全>

Windows Vista中的新防火墙

来源：服安资讯   时间:2008-12-19  作者：  点击：次  责任编辑：Flyfox
TAG:   防火墙 Windows 配置 流量 例外   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

与当前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火墙一样，新的 Windows 防火墙也是一个基于状态主机的防火墙，它可以根据自己的配置和当前运行的应用程序来允许或阻止网络流量，从而保护网络免遭恶意用户和程序的入侵。

　　新 Windows 防火墙的增强功能

　　与当前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火墙相比，Windows Vista 和 Windows Server "Longhorn" 中的新 Windows 防火墙具有以下增强功能:

    *
      支持传入和传出流量
    *
      用于图形用户界面 (GUI) 配置的新 Microsoft 管理控制台 (MMC) 管理单元
    *
      集成防火墙过滤和 Internet 协议安全 (IPsec) 保护设置
    *
      可以配置 Active Directory 目录服务帐户和组、源和目标 IP 地址、IP 协议号、源和目标传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口、全部或多个 TCP 或 UDP 端口以及特定类型接口的例外，可以根据类型和代码来配置 Internet 控制消息协议 (ICMP) 和 ICMP for IPv6 (ICMPv6) 流量的例外，并且可以配置服务的例外

　　支持传入和传出流量

　　新的 Windows 防火墙支持传入流量的防护/防火墙保护，它能够丢弃所有未经请求的传入流量，即那些不是响应某个计算机请求而发送的流量(请求的流量)，或那些未被指定为 准入流量的未经请求的流量(排除/禁止的流量)。这是计算机上运行的最关键类型的防护，因为它有助于防止网络病毒和蠕虫通过未经请求的流量来传播的方式来 感染计算机。

　　新的 Windows 防火墙支持传入流量和传出流量的防护。 例如，网络管理员可以配置新 Windows 防火墙的一组例外，从而阻止发送到特定端口(例如已知的病毒软件使用的端口)的所有流量或是发送到特定地址的包含敏感内容或不希望内容的所有流量。

　　新 Windows 防火墙的默认行为是:

    *
      阻止所有传入流量，除非是经过请求的流量或是匹配某个已配置例外的流量。
    *
      允许所有传出流量，除非匹配某个已配置的例外。

　　用于 GUI 配置的新 MMC 管理单元

　　对于当前的 Windows 防火墙，用于配置的 GUI 由控制面板中的 Windows 防火墙和组策略编辑器管理单元中的一系列组策略设置组成。

　　您可以使用控制面板中的“Windows 防火墙”项来配置新的 Windows 防火墙，前者包含一组与当前 Windows 防火墙相同的配置选项。 您可以配置新 Windows 防火墙的基本设置，但是不能配置增强功能。

　　因为具有多个高级配置选项，并且具有相同的本地和 Active Directory 组策略配置，新的 Windows 防火墙也可以使用一个名为“带有高级安全性的 Windows 防火墙”的 MMC 管理单元来配置。 在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您必须将“带有高级安全性的 Windows 防火墙”管理单元添加到 MMC 控制台中。当前“管理工具”文件夹中没有预定义的用于“带有高级安全性的 Windows 防火墙”管理单元的控制台。

　　使用新的“带有高级安全性的 Windows 防火墙”管理单元，网络管理员可以在远程计算机上配置新 Windows 防火墙的设置，这是当前的 Windows 防火墙在不使用远程桌面连接的情况下无法实现的。

　　若要采用命令行方式来配置新 Windows 防火墙的高级设置，您可以在 netsh advfirewall 上下文中使用命令。 运行 Windows XP SP2 或 Windows Server 2003 SP1 的计算机中不存在这种上下文。

　　若要采用组策略的方式来配置新的 Windows 防火墙，请在“组策略编辑器”中转到“计算机配置”/“Windows 设置”/“安全设置”/“带有高级安全性的 Windows 防火墙”。新的 Windows 防火墙将会应用“计算机配置”\“管理模板”\“网络”\“网络连接”\“Windows 防火墙”中配置的当前 Windows 防火墙的组策略设置。 运行 Windows XP SP2 或 Windows Server “Longhorn” 的计算机将会忽略新 Windows 防火墙的组策略设置。

　　注意在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您无法查看使用控制面板的“Windows 防火墙”项中的“带有高级安全性的 Windows 防火墙”管理单元创建的例外。

    集成防火墙和 IPsec 设置

　　IPsec 是一组 Internet 标准，用于为 IP 流量提供加密保护。 在 Windows XP 和 Windows Server 2003 中，Windows 防火墙和 IPsec 是分别配置的。 由于在 Windows 中基于主机的防火墙和 IPsec 都能够阻止或允许传入流量，因此创建的防火墙例外和 IPsec 规则有可能会产生重叠或对立的情况。 新的 Windows 防火墙使用相同的 GUI 和命令行命令集成了这两种网络服务的配置。 集成防火墙和 IPsec 设置的另外一项好处是 IPsec 设置的配置变得非常简单。

　　可以配置 Active Directory 帐户和组的例外

　　对于指定了传入流量或传出流量必须使用 IPsec 进行保护的例外，您可以指定有权初始化受保护通讯的计算机帐户和组或用户帐户和组的列表。 例如，您可以指定发送到特定服务器的带有敏感数据的流量必须受到保护，并且这些流量只能来自特定用户或计算机。

　　可以配置源和目标 IP 地址的例外

　　使用当前的 Windows 防火墙，您可以指定传入流量的排除范围。范围定义了排除的流量来自的网络段，实际上就是传入流量的源 IP 地址(包括 IPv4 和 IPv6)。 使用新的 Windows 防火墙，您可以配置传入流量和传出流量的源和目标 IP 地址，从而使您能够更加精确地定义允许的流量或阻止的流量的类型。 例如，如果不允许使用特定 IP 地址的某台计算机给一组服务器发送流量，您可以创建一个阻止出站例外，把本地分配的地址指定为源地址，把服务器地址指定为目标地址。

上一篇：微软为Vista编制的企业梦想(安全篇) 下一篇：没有了