Windows Vista的防火墙新功能解析

导读：安装防火墙已经成为保障安全的重要手段之一。在Windows XP中微软就曾提供了Windows防火墙，但它的功能仅限于对进入连接的限制，也就是只能对主动从网络向本机发起的网络连接进行限制。在微软新一代操作系统Windows Vista中，Windows防火墙的功能可谓大大提高了。本文以2006年2月CTP版本的Vista为例，带您体验Windows防火墙的最新功能。

 

       Vista附带的Windows防火墙版本有许多新功能，能够以多种不同方式限制对您的机器的访问。

在过去的几年中，利用易受攻击的软件安全漏洞，或者使用电子邮件诱导用户运行恶意软件，造成对周围公众信息的攻击，因此信息安全已经占据了核心的地位。过去，攻击者通常攻击软件的特定漏洞，需要远程访问易受攻击的系统。适当地管理外围防火墙有助于阻挡许多来自因特网的攻击。

目前，攻击更倾向于发生在内部。员工不一定是攻击者，更普遍的情况是被信任的计算机可能由于带病毒的邮件附件而被感染，进而又被连接到局域网。攻击者通过社交工程和技术的巧妙结合来诱导受害者安装间谍软件、木马程序或蠕虫。一旦安装了这些东西，恶意软件就可以自由传播到其它计算机上了。在单独的计算机上安装基于主机的防火墙软件，有助于阻止未知的和不信任的数据通讯对您网络中计算机的访问。

 

       在Windows XP中微软包含了一个基本的防火墙，它最初被称作Internet Connection Firewall，最近已被重新命名为Windows防火墙。Windows防火墙的最初版本实现了许多不错的功能，诸如：同时支持命令行和组策略对象（Group Policy Object，GPO）配置方法，但是它在强规则定制和向外通讯过滤方面有所欠缺。将同Windows Vista一起发布的Windows防火墙版本使您能够通过服务配置限制，并配置向外的连接。让我们来看一看目前在Vista中微软对Windows防火墙做了哪些改进。请记住这些功能到Vista正式推出时可能还会有所改动。

 

       评论：Windows XP中的Windows防火墙只支持对进入连接的限制，不免给人以“严于待人，宽以律己”的感觉。不过在Windows Vista中的Windows防火墙已经实现了对向外连接的限制，从而使防火墙的功能更加完整。（译者）

 

 

       Vista的Windows防火墙支持强大的集中管理功能，同时又保持易用性，从而兼顾了个人用户和企业工作站环境。乍一看，您甚至不会发现有什么变化，因为微软将新功能隐藏在被称作Windows Firewall with Advanced Security的新的微软管理控制台（Microsoft Management Console，MMC）管理单元中，如图1所示。您还可以集中配置新功能，通过组策略或在本地使用Netsh命令行工具。像其它管理单元一样，Windows Firewall with Advanced Security支持远程选项，使您能够管理本地和远程计算机上的防火墙功能。

需要注意的是：虽然在控制面板中创建的规则能显示在管理单元中，但是在管理单元中创建或修改的规则一般不会显示在控制面板中。例如，如果您使用管理单元来编辑一个在控制面板中创建的基本规则，您就不能再在控制面板中看到或编辑这个规则了。

 

       Vista的防火墙默认阻止进入的通讯，所以如果您想在自己的计算机上运行网络应用程序，您就需要立即配置例外（例外是微软对规则的称谓——或者更专业点儿，叫做访问控制列表ACL）。

许多第三方基于主机的防火墙会警告您有向外的连接在等待，询问您是否允许该连接。根据您的反应，防火墙会为随后的活动创建规则。但是，Vista的防火墙默认允许所有向外的通讯。创建阻止向外通讯的例外很简单，但是您需要使用新的管理单元。绝大多数最终用户可能不会受到影响，但是作为系统管理员，您就需要熟悉Windows Firewall with Advanced Security管理单元，以便能够配置其必要功能。

 

       大多数新的防火墙功能在2005年12月的Vista CTP版本中就已经有了，虽然微软在今年2月的CTP版本中做了些微小的调整。您会发现增加Windows Firewall with Advanced Security管理单元是一个很熟悉的过程，单击“开始”图标，然后在搜索框中键入mmc并敲回车键。出现提示界面时，单击“Allow”，使MMC在特权模式下操作。从“File”菜单单击“Add/Remove Snap-in”，选择Windows Firewall with Advanced Security，单击“Add”。选择您想要管理的计算机，单击“Finish”，然后再单击“OK”。

       管理单元使您能够管理所有的防火墙功能。您可以从树型结构控件窗格中选择Inbound Exceptions、Outbound Exceptions、Computer Connection Security或Firewall Monitoring，双击某个项目可以在中央窗格中看到额外的选项。在右边窗格中是一个选中节点的所有可用操作的列表。这种布局使防火墙的配置更为直观，例如：您可以通过单击鼠标右键来启用和禁用某个规则，或者选择一个规则在右边窗格中显示一个可用操作的列表。多数操作都是即刻生效的，能够快捷简便地进行故障排除。要查看和配置防火墙的属性，右键单击树型结构窗格中的Windows Firewall with Advanced Security，选择Properties。

       如果您熟悉Windows防火墙的早期版本，您会注意到新版本保留了域和标准配置的概念。您可以为每一个配置设置单独的规则，Windows会自动决定使用哪个配置。当计算机连接到它所在域中的网络，如内部局域网时，会用到域配置。标准配置将被用到所有其它实例中，如当计算机连接到外部网络时。您可以为不同的域和标准配置设置不同的防火墙属性——例如：您可以创建这样一个规则，当连接到局域网时允许进入通讯访问您的计算机,而在未连接到局域网时不允许。您也可以配置防火墙的默认行为（如：阻止或允许出入连接）和IPsec设置（如:加密和完整性算法要用到的密钥交换，以及认证方法）。

 

       微软在Windows防火墙中包含了许多预先配置的规则，这些规则默认为禁用，从而使得遵照微软比较偏爱的方法创建或配置例外变得更容易。通常所有的防火墙都支持通过允许或限制特定协议（如：TCP，UDP）和端口的使用来配置规则。但是Windows防火墙还支持限制特定的程序和服务访问协议或端口。

       为了说明Windows防火墙的规则有多么灵活、细致，让我们来看一看针对后台智能传输服务（Background Intelligent Transfer Service，BITS）——一个用于从远程计算机上下载更新的服务的规则。这个规则使您能够按照如下的方法通过指定父应用程序和网络端口达到只封锁后台智能传输服务的效果。在Windows Firewall with Advanced Security管理单元中，单击左边窗格中的Inbound Exceptions，双击中间窗格中的BITS Service规则来显示出规则的属性。在General标签页上，您可以命名这个规则，启用它，并指定是所有程序都使用该规则还是只有指定的程序使用。如图2所示，我已指定只有svchost.exe（为底层运行提供服务的执行包）可以使用这个规则。当我单击OK时，所有其它程序就会立即被限制使用这个规则。在Actions部分我可以允许或阻止所有的连接，或者选择Allow only secure connections。安全的连接依靠IPsec来配置加密和网络通讯的的完整性，并让您指定一个用户或一台计算机来认证连接。

 

通过协议和端口限制。Windows防火墙的第一个版本只支持配置TCP和UDP这两个协议的远程端口。例如，如果您想允许进入的HTTP连接，就得为连接指定协议和端口号（如：TCP 80）。Vista的防火墙支持指定超过20个预先定义的协议或者自己定义协议，还支持指定本地端口和远程端口。您还可以在一个规则中指定多个端口。例如，要覆盖加密和未加密的网络通讯，您可以定义一个叫做Web Traffic的规则，允许80和443端口上的TCP通讯。在后台智能传输服务规则的Protocols and Ports标签页上，微软将其通讯定义为在本地2126端口上的TCP通讯。您还可以指定预先定义的因特网控制消息协议（Internet Control Message Protocol，ICMP）设置，如回显请求和路由应答或一个定制的ICMP类型和代码。

 

通过网络地址限制。您可以在Scope标签页中定义规则作用到的本地和远程网络地址。可以指定一个IP地址或子网（如10.0.0.10，192.168.0.0/24）或一个地址范围（如192.168.0.0到192.168.0.10）。对于远程地址，您可以选择一个预先定义的地址，如默认网关或DHCP服务器，如图3所示。选择预先定义的地址使得在环境变化时重新配置规则很容易。例如：您可以让文件传输协议只能访问本地子网中的计算机。动态规则使您无需为每一个网络配置单独的规则来限制通讯。

 

通过接口类型限制。您可以在Advanced标签页中将一个例外应用到指定的接口类型：Local Area Network、Remote Access或Wireless。当一个已连接到您公司网络的用户还需要连接到远程网络，而您又不想冒险让远程网络访问您本地网络的数据时，您可以配置一个例外，阻止所有的进入连接，并将它应用到远程访问接口上。用户们仍然可以接受来自局域网的新的连接，但是不接受来自远程网络的连接。

 

通过服务限制。您可能会回想起来预先配置的后台智能传输服务规则通过svchost.exe程序允许在TCP端口2126上的进入连接。微软在Services对话框中进一步限制了通讯仅限于后台智能传输服务。您可以通过单击BITS Service Properties对话框中的Advanced标签页，然后单击Services部分旁边的Settings来配置哪些服务将应用该规则。在多数情况下您只想将通讯限制在某些协议和端口。但是在其它情况下，您也可以通过指定您想要允许或阻止的网络通讯的服务而进行更加细致的配置。

评论：Windows Vista中的Windows防火墙对于进入连接的限制真是花样繁多啊，既有通过应用程序、协议和端口的限制，又有通过网络地址、接口类型和服务的限制，可谓“条条大路通罗马”。如此细致周全的考虑让我们不得不慨叹设计者的良苦用心，系统管理员乃至我们普通用户对这些设置进行深入研究，还愁不能营造出一个安全的通讯环境吗？（译者）

 

       在Vista防火墙中配置向外的连接的方法和配置进入的连接的方法是大致相同的。识别和过滤向外连接的功能是该防火墙最好的功能之一，因为它支持对一台计算机如何使用网络进行十分细微的控制。向外连接的例外使您能够允许微软的IE浏览器、Outlook和其它知名的网络程序访问网络，但是禁止所有其它向外的通讯。

 

       例如，如果您的公司需要使用一台认证的代理服务器，该代理服务器默认使用TCP端口8080，您可以记录日志，并阻止所有的TCP端口80（标准的HTTP）上的向外的通讯，以防止恶意程序绕过代理服务器试图与外部的Web服务器通讯。用户经常不知不觉就安装了间谍软件或未获准的访问Web的软件，您可以在主机上创建一个例外以防止发生这样的情况。

 

       与一些第三方的基于主机的防火墙不同，Vista beta版的防火墙在阻止向外的连接时不提示警告。但是，如果您配置了防火墙日志，您在日志文件中就可以查看到被阻止的连接了。

 

       将向外连接过滤和Windows防火墙的远程连接功能相结合，您可以远程封锁可疑的计算机，如一台您怀疑可能感染了病毒或蠕虫的计算机。在早期的Windows防火墙版本中您仅有的选择就是要么拔掉计算机的网线，要么禁用网络接口。Vista的防火墙使您能够使用管理控制台（MMC）远程连接到可疑的计算机上，阻止向外的连接，并在只允许指定的计算机进行端口访问的前提下打开日志。这个方法使您能够抑制住威胁，并且始终能够远程管理计算机。

 

       微软还在Netsh中新增了上下文，用于管理Windows防火墙的额外功能，如向外的连接规则等。您可以交互地运行Netsh或者把上下文连贯起来成为一个单独的命令。例如，命令：

netsh advfirewall outbound show all会启动Netsh，转到advfirewall的上下文，再到outbound的上下文，并运行Show All命令。命令输出会显示针对防火墙的向外连接所配置的例外。在任何命令中，您都可以键入一个问号（即?）来列出其支持的命令和上下文。Netsh还支持导出配置，并将它们拷贝到其它计算机上，或者使用一个脚本从命令行增加新的规则。使用Show命令列出规则，使用Add命令创建新的规则。

 

       像早期的Windows防火墙版本一样，Vista防火墙默认还是将日志数据记录到“c:\windows\pfirewall.log”文件中。您还可以选择记录被阻止的包或成功连接的日志。

 

       Vista的防火墙将IPsec配置集成到防火墙规则中。微软大大提升了IPsec，但是以我的经验恐怕没有什么用户会用到它。部署IPsec的障碍是现实的、可以看得到的，包括：正确设置的困难、如果策略发生错误就会造成无法访问计算机的危险，以及不能使用传统的网络工具来监控或管理IPsec通讯。新的防火墙并没有规避这些风险，但是访问IPsec配置变得更容易了。微软还重写了IPsec向导，试图使IPsec的实施更容易进行。

 

       安全专家会想要检查Vista附带的防火墙的新功能。创建双向访问控制列表的功能会吸引许多公司。第三方基于主机的防火墙软件会提供更多的功能，但是您无法抵御Windows防火墙价格的诱惑，它被包含在Vista的每一个版本中，使您只安装操作系统就能保护计算机了。此外，防火墙继续支持使用Netsh和组策略对象进行配置。使用组策略和Vista的公司能够很顺利地部署一个有效的、集中管理的、基于主机的防火墙解决方案。

 

评论：Windows Vista中的Windows防火墙已经成功地实现了对进出连接的双向限制，在成为一款成熟的防火墙软件的道路上迈出了坚实的一步。更为可贵的是：它包含在操作系统中，消费者无需再单独为它付出金钱，这无疑使它在与其它第三方商业的防火墙软件相比时有了一定的优势。这会不会对广大第三方防火墙软件供应商构成很大威胁呢？还是让我们拭目以待吧。（译者）

 

Jeff Fellinge，Windows IT Pro的特约编辑，aQuantive公司主管安全和工程的副总裁，《IT Administrator"s Top 10 Introductory Scripts for Windows》一书（Charles River Media）的作者。

您可以通过邮件jeff@blackstatic.com和他联系。

 

徐瑾，IT业资深人士，MCSE，天津神州浩天软件技术有限公司品质保证部SQA。

您可以通过邮件jenny_xu@eyou.com和她联系。