Vista防火墙使用的10个注意事项

Microsoft Vista中的Windows防火墙进行了重大更改，从而增强了安全性，使高级用户更容易配置和自定义，同时保留了新手用户所需的简单性。

首先，采用两种接口来满足不同的需求。

Vista防火墙有两个独立的图形化配置界面:一个是基本配置界面，可以通过“安全中心”和“控制面板”访问；第二个是高级配置界面，用户创建自定义MMC后可以作为插件访问。这可以防止新手用户无意更改而导致的连接中断，并为高级用户提供了一种更详细地自定义防火墙设置和控制出站和入站流量的方法。用户也可以使用netsh advfirewall上下文中的命令从命令行配置Vista防火墙；您也可以编写脚本来自动为一组计算机配置防火墙；您也可以通过组策略控制Vista防火墙的设置。

二、默认设置下的安全性

Vista中的Windows防火墙默认采用安全配置，同时仍然支持易用性。默认情况下，大多数入站流量被阻止，出站连接被允许。Vista防火墙可以与Vista的Windows服务强化新功能一起工作，因此如果防火墙检测到Windows服务强化网络规则禁止的行为，它将阻止该行为。该防火墙还完全支持纯IPv6网络环境。

三。基本配置选项

使用基本配置界面，用户可以启动或关闭防火墙，或者设置防火墙完全阻止所有程序；您还可以允许例外(您可以指定不阻止哪些程序、服务或端口)，并指定每个例外的范围(它是否适用于来自所有计算机的流量，包括Internet上的计算机、局域网/子网中的计算机或具有您指定的IP地址或子网的计算机)；您还可以指定希望防火墙保护的连接，并配置安全日志和ICMP设置。

四。ICMP消息阻止

默认情况下，入站ICMP回应请求可以通过防火墙，而所有其他ICMP消息都被阻止。这是因为Ping工具通常用于发送故障排除响应请求消息。但是，黑客也可以发送响应请求消息来锁定目标主机。用户可以通过基本配置界面的“高级”选项卡阻止响应请求消息。

动词 （verb的缩写）多个防火墙配置文件

具有高级安全性的Vista防火墙MMC插件允许用户在其计算机上创建多个防火墙配置文件，以便他们可以针对不同的环境使用不同的防火墙配置。这对于便携式计算机尤其有用。例如，当用户连接到公共无线热点时，可能需要比连接到家庭网络更安全的配置。用户最多可以创建三个防火墙配置文件:一个用于连接到Windows域，一个用于连接到专用网络，一个用于连接到公共网络。

第六，IPSec功能

通过高级配置界面，用户可以自定义IPSec设置，指定用于加密和完整性的安全方法，确定密钥生命周期是按时间还是按会话计算，选择所需的Diffie-Hellman密钥交换算法。默认情况下，IPSec连接的数据加密功能是禁用的，但可以启用它，并且可以选择哪些算法用于数据加密和完整性。

七。安全规则

通过该向导，用户可以逐步创建安全规则，从而控制单台计算机或一组计算机如何以及何时建立安全连接。您也可以根据标准(如域成员身份或安全状态)限制连接，但允许指定的计算机不满足连接验证要求。您还可以创建规则，要求两台特定的计算机(服务器到服务器)在连接时进行身份验证，或者使用隧道规则来验证网关之间的连接。

八。用户定义的验证规则

创建自定义身份验证规则时，应该将一台计算机或一组计算机(按IP地址或地址范围)指定为连接端点。用户可以请求或要求对入站连接和/或出站连接进行身份验证。

九。入站和出站规则

用户可以创建入站和出站规则来阻止或允许特定程序或端口进行连接；您可以使用预设规则或创建自定义规则。新建规则向导可以帮助用户逐步完成创建规则的步骤。用户可以将规则应用于一组程序、端口或服务，或者将规则应用于所有程序或特定程序；可以阻止某些软件进行所有连接，允许所有连接，或者只允许安全连接，并要求加密以保护通过此连接发送的数据的安全性；您可以为入站和出站流量配置源IP地址和目标IP地址，还可以为源TCP和UDP端口以及目标TCP和UPD端口配置规则。

X.基于Active Directory的规则

用户可以创建规则来阻止或允许基于Active Directory用户、计算机或组帐户的连接，只要这些连接是由带有Kerberos v5(包含Active Directory帐户信息)的IPSec保护的。用户还可以使用具有高级安全功能的Windows防火墙来实施NAP策略。

Windows会议室(WMS)是Windows Vista中内置的一个新程序。多达10个协作者可以方便地共享桌面、文件和演示文档，并通过网络相互发送个人消息。