自從推出Windows XP系統內建的第一個防火牆(Internet Connection防火牆)以來,微軟公司一直在穩步改善其後推出的系統的防火牆功能。而在最新客戶端作業系統Windows 7中的Windows防火牆,進行了革命化的改進,提供了更用戶友善的功能,並且為行動用戶的防火牆方面有明顯的改善。在本文中,我們將介紹Windows7中的Windows Firewall,以及如何與多個防火牆政策配置的問題。
Windows防火牆的發展史
Windows XP中的防火牆軟體僅提供簡單且基本的功能,且只能保護入站流量,阻止任何非本機啟動的入站連接,預設情況下,該防火牆是關閉的。 SP2系統預設為開啟,使系統管理員可以透過群組原則來啟用防火牆軟體。 Vista的防火牆是建立在新的Windows過濾平台(WFP)上的,該防火牆增加了透過進階安全性MMC管理單元過濾出站流量的功能。在Windows 7中,微軟公司已經進一步調整了防火牆的功能,讓防火牆更方便使用者使用,特別是行動電腦中,並且能夠支援多種防火牆政策。
Windows 7防火牆
在Vista中,Windows 7防火牆的基本設定是透過控制面板程式設定的,與Vista不同的是,你也可以透過控制面板存取進階設定(包括配置出站連線過濾),而不需要建立空的MMC並新增一個管理單元。只需要點擊左側面板中的高級設定連接即可
在Windows 7中,你可以透過控制台程式進入進階防火牆設置
更多網路選項
Vista防火牆允許使用者選擇公共網路或私人網絡,而在Windows 7中,你有三個選擇:公共網路、家庭網路或工作網絡,後兩者都被視為私人網路。
如果你選擇「家庭網路」選項,你可以建立一個Homegroup。在這種情況下,網路發現(network discovery)是自動開啟的,這樣你就能夠看到網路中的其他電腦和設備,他們也能夠看到你的電腦。屬於Homegroup的電腦可以共享圖片、音樂、影片和文件庫,也可以共享硬體設備,如印表機等。如果你的資料夾中有不想共享的文件,也可以排除它們。
如果你選擇“工作網路”,網路發現預設是開啟的,但是你將無法建立或加入Homegroup,如果你將電腦加入到Windows網域(透過Control Panel | System | Advanced System Settings | Computer Name tab)並透過網域控制器的驗證,防火牆將會自動將網路視為網域網路。
當你在機場、飯店或咖啡館等位置連接到公共無線網路或使用行動寬頻網路時,應該選擇“公共網路”,網路發現將會預設為關閉,這樣網路中的其他電腦就不能看到你的計算機,你也不能川劇或歸屬於Homegroup。
對於所有網路類型,預設情況下,windows 7防火牆都會阻止對不在可允許程式名單上的程式的連接,Windows7允許你為每種網路類型分別配置設定
Windows7允許你為每種網路類型分別配置設定
多個有效模式
在Vista中,即使你已經為公共網路和私人網路配置了情境模式,在特定時間內只有一種是有效的。如果你的電腦同時連接到兩個不同的網絡,那事情就不妙了,這時將會採用最嚴格的模式來使用所有連接,這意味著在本地網絡你可能無法進行所有需要的操作,因為此時使用的是公共網路模式的規則。在Windows7(和Server 2008 R2中),可以同時為每個網路介面卡使用不同的模式,對私人網路的連線使用私人網路規則,而來自公共網路的流量則使用公共網路規則。
重要的小功能
在許多情況下,細小的變化可能帶來更高的可用性,微軟公司一直積極聽取來自用戶的意見,他們在Windows 7防火牆中加入了一些重要的小功能。例如,在Vista中,當你建立防火牆規則時,你需要分別列出連接埠號碼和IP位址,而現在你只需要指定範圍,這樣就為這項常見的管理任務節省了很多時間。
你也可以建立連線安全規則來指定哪些連接埠或協定受到防火牆控制台中Ipsec要求的支配,而不需要使用netsh指令。對於更願意使用GUI的人而言,這是一個很方便的改進。
連線安全規則也支援動態加密,這意味著,如果伺服器取得一條來自客戶端電腦的未加密(但透過驗證)的訊息,可以透過要求加密來獲得更安全的通訊。
使用進階設定設定檔
使用進階設定控制台,你可以為每種網路類型的設定檔進行設置
你可以使用進階設定控制台為每種網路類型設定設定檔
對於每個配置文件,你可以進行以下配置:
·Windows防火牆的開關狀態
·入站連接(阻止、阻止所有連接,或允許)
·出站連線(允許或阻止)
·顯示通知(當程式被阻止時是否進行通知顯示)
·對於組播或廣播流量是否允許單播回應
·除使用群組原則防火牆規則外,還使用由本機管理員建立的本機防火牆規則
·除使用群組原則連線安全規則外,還使用由本機管理員建立的本機連線安全規則
紀錄
Vista防火牆可以配置為記錄事件日誌到一個檔案(預設為WindowsSystem32LogFilesFirewallpfirewall.log)。在windows 7中,事件日誌也可以記錄在Event Viewer的Applications 和Services部分,這樣更容易存取。若要查看此日誌,可以開啟Event Viewer,在左窗格中,點選Applications and Services Log | Microsoft | Windows | Windows Firewall中的進階安全性選項
Windows 7中的事件檢視器中的防火牆事件日誌
在事件檢視日誌中,你可以建立一個自訂視圖,過濾日誌,搜尋日誌或啟用詳細日誌記錄。
Netsh 指令
Windows 7包含向後相容的netsh防火牆,但如果你執行變更指令,你會收到訊息顯示,「重要,'netsh防火牆'已經過時,請使用netsh advfirewall防火牆」。
總結
Windows 7防火牆是Vista防火牆廣泛改善後的產物,並且將其隱藏的先進功能公開化了。很多用戶(包括一些IT專業人士)以前可能並不知道Vista防火牆可以過濾出站流量、檢測和執行高級配置任務,因為這些功能都沒有在控制面板中的防火牆程序中明顯地顯示出來,在window 7中,微軟創建了一個內建的防火牆,比vista更加完善,並且成為了第三方託管防火牆的有效的替代產品。