Windows7 Firewall设置策略

在本篇文章中，我们将了解Windows 7中的Windows Firewall以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。

自从windows XP首次集成防火墙以来，MS就在后续的windows版本中不断的对firewall进行改善。对于在最新的客户端操作系统内嵌的Windows Firewall，Windows 7在创新的基础上更进一步，它提供一些很棒的调整来使其更帖近用户，而最显著的是对移动用户的改进。在本篇文章中，我们将了解Windows 7中的Windows Firewall以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。

    Windows Firewall的演变过程

    Windows XP中的防火墙是一款简单、初级仅保护流入信息，拦截任何不是由你主动发启入站连接的软件－－它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista  Firewall 是建立在一个新的Windows Filtering Platform (WFP、Windows过滤平台)上、并通过Advanced Security MMC嵌入式管理单元 添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调，使其更具可用性，尤其针对移动计算机，更是舔加了对多重作用防火墙策略的支持。

    Windows 7 Firewall简介

    与Vista相同的是，可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是，你还可以通过访问控制面板的方式对其进行高级配置（包括对出站连接过滤器的配置），而不是一定要创建空白MMC并加入嵌入式管理单元来实现。与图1所视一样，只是点击一下左侧面板里的高级配置选项。

图1 在Windows 7中，你可以通过控制面板程序进行防火墙高级配置

    更多的网络配置

    Vista firewall允许你去选择是在公共网格上还是在专用网络中，而在Windows 7中你有三个选择－－公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。

    如果你选择了“家庭网络”选项，你将可以建立一个“家庭组”。在这种环境中，“网路发现”会自动启动，你将可以看到网络中其它的计算机和设备，同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中，你还可以排除它们。

    如果你选择的是“工作网络”，“网路发现”同样会自动启动，但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域（通过控制面板－－系统和安全－－系统－－高级系统配置－－计算机名选项卡）并通过DC验证，那么防火墙将自动识别网络类型为域环境网络。

    而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi网络时的适当选择，“网路发现”将默认关闭，这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。

    在全部的网络模式中，Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。如图２所示，Windows 7允许你对不同网络类型分别配置。

图2 Windows 7允许你对各个网络类型分别配置

    多重作用防火墙策略

    在Vista中，尽管你有公用网络和私用网络两个配置文件，但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况，那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上，这意味着你可能无法在本地（私用）网络中做你想做的事，因为你是在公用网络在规则下操作。而在Windows 7 (和 Server 2008 R2)中，不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配，而与公用网络之间的流量则应用公用网络规则。
    

    起作用的是那些不显眼的小事

    在很多事例中，更好的可用性往往取决于小的改变，MS听取了用户的意见并将一些“不显眼而又起作用小东西”加入了Windows 7 firewall之中。比如，在Vista中当你创建防火墙规则时，必须分别列出各个IP地址和端口。而现在你只需要指定一个范围，这样一来用在执行一般管理任务上的时间就被大大缩短了。

    你还可以在防火墙控制台中创建连接安全规则（Connection Security Rules）来指定哪些端口或协议有使用IPsec的需求，而不必再使用netsh命令，对于那些喜欢GUI的人，这是一个更方便的改进。

    连接安全规则（Connection Security Rules）还支持动态加密。意思是如果服务器收到一个客启端发出的未加密（但是通过了验证）的信息，安全关联会通过已议定的“运行中”来要求加密，以建立更安全的通讯。

    
    在“高级设置”中对配置文件进行配置

    使用“高级设置”控制面板，你可以对每一个网络类型的配置文件进行设置，如图3所标

图3 你可以通过“高级设置”来设置每一个配置文件
 

    对配置文件，你可以进行如下设置：

    * 开启/关闭防火墙
    * （拦截、拦截全部连接或是允许）入站连接
    * （允许或拦截）出部连接
    * （在有程序被拦截后是否通知你）通知显示
    * 允许单播对多播或广播响应
    * 除组策略防火墙规则以外允许本地管理员创建并应用本地防火墙规则
    * 除组策略连接安全规则以外允许本地管理员创建并应用本地连接安全规则

     记录日志

    在Vista firewall里可以为把日志事件设置为记录到文件中（默认路径为Windows\System32\LogFiles\Firewall\pfirewall.log）。而在Windows 7中，为了更容易访问，还可以把日志事件写入“事件查看器”的“应用程序和服务（Applications and Services）”中。并通过打开“事件查看器”，在左边面板，点击高级配置中的“应用程序和服务日志” －－ Microsoft －－Windows －－Windows Firewall with Advanced Security对日志进行访问，如图4所示。
 

图4 Windows 7事件查看器中的防火墙日志

    在事件查看器日志中，你可以通过创建一个自定义查看，对日志进行过滤、搜索或者进行更详细的日志记录。

    Netsh命令

    Windows 7包含了向后兼容的netsh环境，不过，如果你运行它，你将收到一条重要信息提示不赞成使用"netsh firewall"，最好用"netsh advfirewall firewall"代替。

    总结

    Windows 7 Firewall对Windows Vista firewall进行了诸多改进，并将“隐藏的”高级特性都显示了出来。因为没有在防火墙应用程序里显示出来，很多用户，包括一些IT专业人士，都没有发现在Vista firewall中就可以对出站的通讯进行过滤、监控等等性能高级配置。在Windows 7中，MS内置了一个比之以前的版本功能更加强大的防火墙，这也使其替代其它第三方主机防火墙产品成为一种切实的可能。