史萊姆論壇 - 查看單個文章

psac · 2006-07-26, 12:57 AM

Windows Vista中的新 Windows 防火牆
　與當前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火牆一樣，新的 Windows 防火牆也是一個關於狀態主機的防火牆，它可以根據自己的組態和當前執行的應用程式來允許或阻止網路流量，從而保護網路免遭惡意用戶和程序的入侵。

　　新 Windows 防火牆的增強功能

　　與當前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火牆相比，Windows Vista 和 Windows Server "Longhorn" 中的新 Windows 防火牆具有以下增強功能:

　　•支持傳入和傳出流量
　　•用於圖形用戶介面 (GUI) 組態的新 Microsoft 管理控制台 (MMC) 管理單元
　　•整合防火牆過濾和 Internet 傳輸協定安全 (IPsec) 保護設定
　　•可以組態 Active Directory 目錄服務帳戶和組、源和目標 IP 位址、IP 傳輸協定號、源和目標傳輸控制傳輸協定 (TCP) 和用戶資料報傳輸協定 (UDP) 連接阜、全部或多個 TCP 或 UDP 連接阜以及特定檔案類型接頭的例外，可以根據檔案類型和程式碼來組態 Internet 控制消息傳輸協定 (ICMP) 和 ICMP for IPv6 (ICMPv6) 流量的例外，並且可以組態服務的例外
　　支持傳入和傳出流量

　　新的 Windows 防火牆支持傳入流量的防護/防火牆保護，它能夠丟棄所有未經請求的傳入流量，即那些不是回應某個電腦請求而傳送的流量(請求的流量)，或那些未被指定為準入流量的未經請求的流量(排除/禁止的流量)。這是電腦上執行的最關鍵檔案類型的防護，因為它有助於防止網路病毒和蠕蟲通過未經請求的流量來傳播的方式來感染電腦。

　　新的 Windows 防火牆支持傳入流量和傳出流量的防護。例如，網路管理員可以組態新 Windows 防火牆的一組例外，從而阻止傳送到特定連接阜(例如已知的病毒軟體使用的連接阜)的所有流量或是傳送到特定位址的包含敏感內容或不希望內容的所有流量。

　　新 Windows 防火牆的預設值行為是:

　　•阻止所有傳入流量，除非是經過請求的流量或是匹配某個已組態例外的流量。
　　•允許所有傳出流量，除非匹配某個已組態的例外。
　　用於 GUI 組態的新 MMC 管理單元

　　對於現用的 Windows 防火牆，用於組態的 GUI 由控制台中的 Windows 防火牆和群組原則編輯器管理單元中的一系列群組原則設定組成。

　　您可以使用控制台中的「Windows 防火牆」項來組態新的 Windows 防火牆，前者包含一組與當前 Windows 防火牆相同的組態選項。您可以組態新 Windows 防火牆的基本設定，但是不能組態增強功能。

　　因為具有多個進階組態選項，並且具有相同的本機和 Active Directory 群組原則組態，新的 Windows 防火牆也可以使用一個名為「帶有進階安全性的 Windows 防火牆」的 MMC 管理單元來組態。在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您必須將「帶有進階安全性的 Windows 防火牆」管理單元增加到 MMC 控制台中。當前「系統管理工具」資料夾中沒有預定義的用於「帶有進階安全性的 Windows 防火牆」管理單元的控制台。

　　使用新的「帶有進階安全性的 Windows 防火牆」管理單元，網路管理員可以在遠端電腦上組態新 Windows 防火牆的設定，這是現用的 Windows 防火牆在不使用遠端桌面連接的情況下無法實現的。

　　若要採用指令行方式來組態新 Windows 防火牆的進階設定，您可以在 netsh advfirewall 上下文中使用指令。執行 Windows XP SP2 或 Windows Server 2003 SP1 的電腦中不存在這種上下文。

　　若要採用群組原則的方式來組態新的 Windows 防火牆，請在「群組原則編輯器」中轉到「電腦設定」/「Windows 設定」/「安全性設定」/「帶有進階安全性的 Windows 防火牆」。新的 Windows 防火牆將會套用「電腦設定」\「管理範本」\「網路」\「網路連接」\「Windows 防火牆」中組態的當前 Windows 防火牆的群組原則設定。執行 Windows XP SP2 或 Windows Server 「Longhorn」的電腦將會忽略新 Windows 防火牆的群組原則設定。

　　注意在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您無法檢視使用控制台的「Windows 防火牆」項中的「帶有進階安全性的 Windows 防火牆」管理單元新增的例外。

　　整合防火牆和 IPsec 設定

　　IPsec 是一組 Internet 標準，用於為 IP 流量提供加密保護。在 Windows XP 和 Windows Server 2003 中，Windows 防火牆和 IPsec 是分別組態的。由於在 Windows 中關於主機的防火牆和 IPsec 都能夠阻止或允許傳入流量，因此新增的防火牆例外和 IPsec 規則有可能會產生重疊或對立的情況。新的 Windows 防火牆使用相同的 GUI 和指令行指令整合了這兩種網路服務的組態。整合防火牆和 IPsec 設定的另外一項好處是 IPsec 設定的組態變得非常簡單。

2006-07-26, 12:57 AM	#48 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Windows Vista中的新 Windows 防火牆　與當前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火牆一樣，新的 Windows 防火牆也是一個關於狀態主機的防火牆，它可以根據自己的組態和當前執行的應用程式來允許或阻止網路流量，從而保護網路免遭惡意用戶和程序的入侵。　　新 Windows 防火牆的增強功能　　與當前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火牆相比，Windows Vista 和 Windows Server "Longhorn" 中的新 Windows 防火牆具有以下增強功能: 　　•支持傳入和傳出流量　　•用於圖形用戶介面 (GUI) 組態的新 Microsoft 管理控制台 (MMC) 管理單元　　•整合防火牆過濾和 Internet 傳輸協定安全 (IPsec) 保護設定　　•可以組態 Active Directory 目錄服務帳戶和組、源和目標 IP 位址、IP 傳輸協定號、源和目標傳輸控制傳輸協定 (TCP) 和用戶資料報傳輸協定 (UDP) 連接阜、全部或多個 TCP 或 UDP 連接阜以及特定檔案類型接頭的例外，可以根據檔案類型和程式碼來組態 Internet 控制消息傳輸協定 (ICMP) 和 ICMP for IPv6 (ICMPv6) 流量的例外，並且可以組態服務的例外　　支持傳入和傳出流量　　新的 Windows 防火牆支持傳入流量的防護/防火牆保護，它能夠丟棄所有未經請求的傳入流量，即那些不是回應某個電腦請求而傳送的流量(請求的流量)，或那些未被指定為準入流量的未經請求的流量(排除/禁止的流量)。這是電腦上執行的最關鍵檔案類型的防護，因為它有助於防止網路病毒和蠕蟲通過未經請求的流量來傳播的方式來感染電腦。　　新的 Windows 防火牆支持傳入流量和傳出流量的防護。例如，網路管理員可以組態新 Windows 防火牆的一組例外，從而阻止傳送到特定連接阜(例如已知的病毒軟體使用的連接阜)的所有流量或是傳送到特定位址的包含敏感內容或不希望內容的所有流量。　　新 Windows 防火牆的預設值行為是: 　　•阻止所有傳入流量，除非是經過請求的流量或是匹配某個已組態例外的流量。　　•允許所有傳出流量，除非匹配某個已組態的例外。　　用於 GUI 組態的新 MMC 管理單元　　對於現用的 Windows 防火牆，用於組態的 GUI 由控制台中的 Windows 防火牆和群組原則編輯器管理單元中的一系列群組原則設定組成。　　您可以使用控制台中的「Windows 防火牆」項來組態新的 Windows 防火牆，前者包含一組與當前 Windows 防火牆相同的組態選項。您可以組態新 Windows 防火牆的基本設定，但是不能組態增強功能。　　因為具有多個進階組態選項，並且具有相同的本機和 Active Directory 群組原則組態，新的 Windows 防火牆也可以使用一個名為「帶有進階安全性的 Windows 防火牆」的 MMC 管理單元來組態。在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您必須將「帶有進階安全性的 Windows 防火牆」管理單元增加到 MMC 控制台中。當前「系統管理工具」資料夾中沒有預定義的用於「帶有進階安全性的 Windows 防火牆」管理單元的控制台。　　使用新的「帶有進階安全性的 Windows 防火牆」管理單元，網路管理員可以在遠端電腦上組態新 Windows 防火牆的設定，這是現用的 Windows 防火牆在不使用遠端桌面連接的情況下無法實現的。　　若要採用指令行方式來組態新 Windows 防火牆的進階設定，您可以在 netsh advfirewall 上下文中使用指令。執行 Windows XP SP2 或 Windows Server 2003 SP1 的電腦中不存在這種上下文。　　若要採用群組原則的方式來組態新的 Windows 防火牆，請在「群組原則編輯器」中轉到「電腦設定」/「Windows 設定」/「安全性設定」/「帶有進階安全性的 Windows 防火牆」。新的 Windows 防火牆將會套用「電腦設定」\「管理範本」\「網路」\「網路連接」\「Windows 防火牆」中組態的當前 Windows 防火牆的群組原則設定。執行 Windows XP SP2 或 Windows Server 「Longhorn」的電腦將會忽略新 Windows 防火牆的群組原則設定。　　注意在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您無法檢視使用控制台的「Windows 防火牆」項中的「帶有進階安全性的 Windows 防火牆」管理單元新增的例外。　　整合防火牆和 IPsec 設定　　IPsec 是一組 Internet 標準，用於為 IP 流量提供加密保護。在 Windows XP 和 Windows Server 2003 中，Windows 防火牆和 IPsec 是分別組態的。由於在 Windows 中關於主機的防火牆和 IPsec 都能夠阻止或允許傳入流量，因此新增的防火牆例外和 IPsec 規則有可能會產生重疊或對立的情況。新的 Windows 防火牆使用相同的 GUI 和指令行指令整合了這兩種網路服務的組態。整合防火牆和 IPsec 設定的另外一項好處是 IPsec 設定的組態變得非常簡單。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次