防火墙的高级保护

    虽然现在市场上对于数据安全的重点还集中在终端上，但是基于网络的防火墙依然是防御的第一线。在过去，微软内建了一个只有传入限制的防火墙，而在Longhorn Server 中则是引入了一个全新的Windows 防火墙。在测试中我们看到了这个新的防火墙强有力的安全保障，尤其在定制策略方面的改进更是让人耳目一新。

    在如今这个信息爆炸的年代，人们已经不再局限于自己电子设备上的资源，越来越多来自其他计算机和网络的资源为我们的生活、工作提供了极大的便利，但是在我们浏览或者下载这些资源的时候，病毒和恶意软件也不请自来的侵入了我们的计算机。

    为了有效的防范这些病毒和恶意软件，最有效的工具莫过于各种各样的防火墙产品，而这其中Windows自带的防火墙无疑是我们最容易体验的一款产品，Longhorn Server 中内置的个人防火墙基于 Microsoft Windows XP Service Pack 2 中包含的功能构建。它还包括应用程序相关的出站筛选，该筛选可提供对通信的完全、定向控制。默认情况下，所有的传入请求都是被阻止的，除非它匹配用户制定的策略。例如，Longhorn Server 中的 Windows 防火墙将允许管理员阻止应用程序（例如，对等共享应用程序或即时消息传递应用程序）联系或响应其他计算机。这些限制可以是源或者目标IP地址，活动目录的组或者帐户，源或目标TCP和UDP端口，ICMP通讯和服务等等。此外，Longhorn Server 防火墙设置还可由“组策略”对象进行配置，以简化可管理性。

    我们清楚的看到基于策略的管理功能尤为适合于帮助单一安全设备的配置，管理员可以选择三种基本配置方案：域配置、私有配置和公共配置，而他们将满足不同的网络安全配置。域配置方案适用于已经配置了域环境的企业，私有配置适合于家庭或者小型办公环境，而公共配置则可以帮助我们保护那些直接连接到Internet的用户。

    像Windows Vista中一样，Longhorn Server中的防火墙默认也是开启的，以从一开始就保护计算机。Windows 防火墙现在包括入站和出站两种筛选，以用来限制操作系统的一些不合法的操作，例如当某一个Windows的服务组件被设计用来向其他计算机发送消息时，Windows 防火墙将阻止这些消息，从而阻止可能的病毒传播。Longhorn Server 中的防火墙还可以让IT 管理员有能力阻止例如点对点共享，或者是及时消息软件的安装。

    同时，Longhorn Server的防火墙还提供了与IPSec更加紧密的结合，使得用户更加容易的进行配置。对于IT专业人士来说，他们还可以选择MMC中的高级管理工具，甚至是使用命令行和脚本工具来进行深入、全面的防火墙规则设置。在IPsec整合中，Longhorn Server 还提供了5种简便但足够强大的规则，其中包括：isolation, authentication exemption, server-to-server, tunnel or custom。这些隔离规则用来限定不同授权用户的访问权限。这些工作在原来虽然也可以完成，但是复杂程度却要比现在多上数倍。