自推出Windows XP系統(tǒng)內(nèi)置的第一個防火墻(Internet Connection防火墻)以來，微軟公司一直在穩(wěn)步改善其后推出的系統(tǒng)的防火墻功能。而在最新客戶端操作系統(tǒng)Windows 7中的Windows防火墻，進行了革命化的改進，提供了更加用戶友好的功能，并且為移動用戶的防火墻方面有明顯的改善。在本文中，我們將介紹Windows7中的Windows Firewall，以及如何與多個防火墻政策配置的問題。

Windows防火墻的發(fā)展史

Windows XP中的防火墻軟件僅提供簡單和基本的功能，且只能保護入站流量，阻止任何非本機啟動的入站連接，默認(rèn)情況下，該防火墻是關(guān)閉的。SP2系統(tǒng)默認(rèn)情況下則為開啟，使系統(tǒng)管理員可以通過組策略來啟用防火墻軟件。Vista的防火墻是建立在新的Windows過濾平臺(WFP)上的，該防火墻添加了通過高級安全MMC管理單元過濾出站流量的功能。在Windows 7中，微軟公司已經(jīng)進一步調(diào)整了防火墻的功能，讓防火墻更加便于用戶使用，特別是移動計算機中，并且能夠支持多種防火墻政策。

Windows 7防火墻

在Vista中，Windows7防火墻的基本設(shè)置是通過控制面板程序設(shè)置的，與Vista不同的是，你也可以通過控制面板訪問高級設(shè)置(包括配置出站連接過濾)，而不需要創(chuàng)建空的MMC并添加一個管理單元。只需要點擊左側(cè)面板中的高級設(shè)置連接即可，如圖1所示。



圖1：在Windows 7中，你可以通過控制面板程序進入高級防火墻設(shè)置

更多網(wǎng)絡(luò)選項

Vista防火墻允許用戶選擇公共網(wǎng)絡(luò)或者私人網(wǎng)絡(luò)，而在Windows 7中，你有三個選擇：公共網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)或者工作網(wǎng)絡(luò)，后兩者都被視為私人網(wǎng)絡(luò)。

如果你選擇“家庭網(wǎng)絡(luò)”選項，你可以建立一個Homegroup。在這種情況下，網(wǎng)絡(luò)發(fā)現(xiàn)(network discovery)是自動開啟的，這樣你就能夠看到網(wǎng)絡(luò)中的其他計算機和設(shè)備，他們也能夠看到你的計算機。屬于Homegroup的計算機可以共享圖片、音樂、視頻和文檔庫，也可以共享硬件設(shè)備，如打印機等。如果你的文件夾中有不想共享的文件，也可以排除它們。

如果你選擇“工作網(wǎng)絡(luò)”，網(wǎng)絡(luò)發(fā)現(xiàn)默認(rèn)情況下是開啟的，但是你將無法創(chuàng)建或者加入Homegroup，如果你將計算機加入到Windows域(通過Control Panel | System | Advanced System Settings | Computer Name tab)并通過域控制器的驗證，防火墻將會自動將網(wǎng)絡(luò)視為域網(wǎng)絡(luò)。

當(dāng)你在機場、酒店或者咖啡館等位置連接到公共無線網(wǎng)絡(luò)或者使用移動寬帶網(wǎng)絡(luò)時，應(yīng)該選擇“公共網(wǎng)絡(luò)”，網(wǎng)絡(luò)發(fā)現(xiàn)將會默認(rèn)為關(guān)閉，這樣網(wǎng)絡(luò)中的其他計算機就不能看到你的計算機，你也不能川劇或者歸屬于Homegroup。

對于所有網(wǎng)絡(luò)類型，默認(rèn)情況下，windows 7防火墻都會阻止對不在可允許程序名單上的程序的連接，Windows7允許你為每種網(wǎng)絡(luò)類型分別配置設(shè)置，如圖2所示。

圖2：Windows7允許你為每種網(wǎng)絡(luò)類型分別配置設(shè)置

多個有效模式

在Vista中，即使你已經(jīng)為公共網(wǎng)絡(luò)和私人網(wǎng)絡(luò)配置了情景模式，在特定時間內(nèi)只有一種是有效的。如果你的計算機同時連接到兩個不同的網(wǎng)絡(luò)，那事情就不妙了，這時將會采用最嚴(yán)格的模式來使用所有連接，這意味著在本地網(wǎng)絡(luò)你可能無法進行所有需要的操作，因為此時使用的是公共網(wǎng)絡(luò)模式的規(guī)則。在Windows7(和Server 2008 R2中)，可以同時為每個網(wǎng)絡(luò)適配器使用不同的模式，對私人網(wǎng)絡(luò)的連接使用私人網(wǎng)絡(luò)規(guī)則，而來自公共網(wǎng)絡(luò)的流量則使用公共網(wǎng)絡(luò)規(guī)則。

重要的小功能

在很多情況下，細(xì)小的變化可能帶來更高的可用性，微軟公司一直積極聽取來自用戶的意見，他們在Windows 7防火墻中加入了一些重要的小功能。例如，在Vista中，當(dāng)你創(chuàng)建防火墻規(guī)則時，你需要分別列出端口號和IP地址，而現(xiàn)在你只需要指定范圍，這樣就為這項常見的管理任務(wù)節(jié)省了很多時間。

你也可以創(chuàng)建連接安全規(guī)則來指定哪些端口或者協(xié)議受到防火墻控制臺中Ipsec要求的支配，而不需要使用netsh命令。對于那些更愿意使用GUI的人而言，這是個很方便的改進。

連接安全規(guī)則還支持動態(tài)加密，這意味著，如果服務(wù)器獲取一條來自客戶端計算機的未加密(但通過驗證)的信息，可以通過要求加密來獲得更安全的通信。

使用高級設(shè)置配置文件

使用高級設(shè)置控制臺，你可以為每種網(wǎng)絡(luò)類型的配置文件進行設(shè)置，如圖3所示。



圖3：你可以使用高級設(shè)置控制臺為每種網(wǎng)絡(luò)類型設(shè)置配置文件

對于每個配置文件，你可以進行以下配置：

·Windows防火墻的開關(guān)狀態(tài)

·入站連接(阻止、阻止所有連接，或者允許)

·出站連接(允許或者阻止)

·顯示通知(當(dāng)程序被阻止時是否進行通知顯示)

·對于組播或者廣播流量是否允許單播響應(yīng)

·除使用組策略防火墻規(guī)則外，還使用由本地管理員創(chuàng)建的本地防火墻規(guī)則

·除使用組策略連接安全規(guī)則外，還使用由本地管理員創(chuàng)建的本地連接安全規(guī)則

日志

Vista防火墻可以配置為記錄事件日志到一個文件中(默認(rèn)情況下為Windows\System32\LogFiles\Firewall\pfirewall.log)。在windows 7中，事件日志也可以記錄在Event Viewer的Applications 和Services部分，這樣更加容易訪問。要查看此日志，可以打開Event Viewer，在左窗格中，點擊Applications and Services Log | Microsoft | Windows | Windows Firewall中的高級安全選項，如圖4所示。



圖4：Windows 7中的事件查看器中的防火墻事件日志

在事件查看日志中，你可以創(chuàng)建一個自定義視圖，過濾日志，搜索日志或者啟用詳細(xì)日志記錄。

Netsh 命令

Windows 7包含向后兼容的netsh防火墻，但是如果你運行改命令，你會收到消息顯示，“重要，‘netsh防火墻’已經(jīng)過時，請使用netsh advfirewall防火墻”，如果想了解更多關(guān)于該新命令的信息，請點擊http://support.microsoft.com/kb/947709。

總結(jié)

Windows 7防火墻是對Vista防火墻進行廣泛改善后的產(chǎn)物，并且將其隱藏的先進功能公開化了。很多用戶(包括一些IT專業(yè)人士)以前可能并不知道Vista防火墻可以過濾出站流量、檢測和執(zhí)行高級配置任務(wù)，因為這些功能都沒有在控制面板中的防火墻程序中明顯地顯示出來，在Windows 7中，微軟創(chuàng)建了一個內(nèi)置的防火墻，比Vista更加完善，并且成為了第三方托管防火墻的有效的替代產(chǎn)品。