对比Vista，探秘Windows 7系统内置的防火墙

自推出Windows XP系统内置的第一个防火墙(Internet Connection防火墙)以来，微软公司一直在稳步改善其后推出的系统的防火墙功能。而在最新客户端操作系统Windows 7中的Windows防火墙，进行了革命化的改进，提供了更加用户友好的功能，并且为移动用户的防火墙方面有明显的改善

自推出Windows XP系统内置的第一个防火墙(Internet Connection防火墙)以来，微软公司一直在稳步改善其后推出的系统的防火墙功能。而在最新客户端操作系统Windows 7中的Windows防火墙，进行了革命化的改进，提供了更加用户友好的功能，并且为移动用户的防火墙方面有明显的改善。在本文中，我们将介绍Windows7中的Windows Firewall，以及如何与多个防火墙政策配置的问题。

Windows防火墙的发展史

Windows XP中的防火墙软件仅提供简单和基本的功能，且只能保护入站流量，阻止任何非本机启动的入站连接，默认情况下，该防火墙是关闭的。SP2系统默认情况下则为开启，使系统管理员可以通过组策略来启用防火墙软件。Vista的防火墙是建立在新的Windows过滤平台(WFP)上的，该防火墙添加了通过高级安全MMC管理单元过滤出站流量的功能。在Windows 7中，微软公司已经进一步调整了防火墙的功能，让防火墙更加便于用户使用，特别是移动计算机中，并且能够支持多种防火墙政策。

Windows 7防火墙

在Vista中，Windows7防火墙的基本设置是通过控制面板程序设置的，与Vista不同的是，你也可以通过控制面板访问高级设置(包括配置出站连接过滤)，而不需要创建空的MMC并添加一个管理单元。只需要点击左侧面板中的高级设置连接即可，如图1所示。



图1：在Windows 7中，你可以通过控制面板程序进入高级防火墙设置

更多网络选项

Vista防火墙允许用户选择公共网络或者私人网络，而在Windows 7中，你有三个选择：公共网络、家庭网络或者工作网络，后两者都被视为私人网络。

如果你选择“家庭网络”选项，你可以建立一个Homegroup。在这种情况下，网络发现(network discovery)是自动开启的，这样你就能够看到网络中的其他计算机和设备，他们也能够看到你的计算机。属于Homegroup的计算机可以共享图片、音乐、视频和文档库，也可以共享硬件设备，如打印机等。如果你的文件夹中有不想共享的文件，也可以排除它们。

如果你选择“工作网络”，网络发现默认情况下是开启的，但是你将无法创建或者加入Homegroup，如果你将计算机加入到Windows域(通过Control Panel | System | Advanced System Settings | Computer Name tab)并通过域控制器的验证，防火墙将会自动将网络视为域网络。

当你在机场、酒店或者咖啡馆等位置连接到公共无线网络或者使用移动宽带网络时，应该选择“公共网络”，网络发现将会默认为关闭，这样网络中的其他计算机就不能看到你的计算机，你也不能川剧或者归属于Homegroup。

对于所有网络类型，默认情况下，windows 7防火墙都会阻止对不在可允许程序名单上的程序的连接，Windows7允许你为每种网络类型分别配置设置，如图2所示。

图2：Windows7允许你为每种网络类型分别配置设置

多个有效模式

在Vista中，即使你已经为公共网络和私人网络配置了情景模式，在特定时间内只有一种是有效的。如果你的计算机同时连接到两个不同的网络，那事情就不妙了，这时将会采用最严格的模式来使用所有连接，这意味着在本地网络你可能无法进行所有需要的操作，因为此时使用的是公共网络模式的规则。在Windows7(和Server 2008 R2中)，可以同时为每个网络适配器使用不同的模式，对私人网络的连接使用私人网络规则，而来自公共网络的流量则使用公共网络规则。

重要的小功能

在很多情况下，细小的变化可能带来更高的可用性，微软公司一直积极听取来自用户的意见，他们在Windows 7防火墙中加入了一些重要的小功能。例如，在Vista中，当你创建防火墙规则时，你需要分别列出端口号和IP地址，而现在你只需要指定范围，这样就为这项常见的管理任务节省了很多时间。

你也可以创建连接安全规则来指定哪些端口或者协议受到防火墙控制台中Ipsec要求的支配，而不需要使用netsh命令。对于那些更愿意使用GUI的人而言，这是个很方便的改进。

连接安全规则还支持动态加密，这意味着，如果服务器获取一条来自客户端计算机的未加密(但通过验证)的信息，可以通过要求加密来获得更安全的通信。

使用高级设置配置文件

使用高级设置控制台，你可以为每种网络类型的配置文件进行设置，如图3所示。



图3：你可以使用高级设置控制台为每种网络类型设置配置文件

对于每个配置文件，你可以进行以下配置：

·Windows防火墙的开关状态

·入站连接(阻止、阻止所有连接，或者允许)

·出站连接(允许或者阻止)

·显示通知(当程序被阻止时是否进行通知显示)

·对于组播或者广播流量是否允许单播响应

·除使用组策略防火墙规则外，还使用由本地管理员创建的本地防火墙规则

·除使用组策略连接安全规则外，还使用由本地管理员创建的本地连接安全规则

日志

Vista防火墙可以配置为记录事件日志到一个文件中(默认情况下为Windows\System32\LogFiles\Firewall\pfirewall.log)。在windows 7中，事件日志也可以记录在Event Viewer的Applications 和Services部分，这样更加容易访问。要查看此日志，可以打开Event Viewer，在左窗格中，点击Applications and Services Log | Microsoft | Windows | Windows Firewall中的高级安全选项，如图4所示。



图4：Windows 7中的事件查看器中的防火墙事件日志

在事件查看日志中，你可以创建一个自定义视图，过滤日志，搜索日志或者启用详细日志记录。

Netsh 命令

Windows 7包含向后兼容的netsh防火墙，但是如果你运行改命令，你会收到消息显示，“重要，‘netsh防火墙’已经过时，请使用netsh advfirewall防火墙”，如果想了解更多关于该新命令的信息，请点击http://support.microsoft.com/kb/947709。

总结

Windows 7防火墙是对Vista防火墙进行广泛改善后的产物，并且将其隐藏的先进功能公开化了。很多用户(包括一些IT专业人士)以前可能并不知道Vista防火墙可以过滤出站流量、检测和执行高级配置任务，因为这些功能都没有在控制面板中的防火墙程序中明显地显示出来，在Windows 7中，微软创建了一个内置的防火墙，比Vista更加完善，并且成为了第三方托管防火墙的有效的替代产品。