【IT168 专稿】上网冲浪会不可避免地遭遇网络病毒或网络木马的攻击,为了有效保护上网安全,Vista系统在自带防火墙方面下足了功夫,巧妙地挖掘Vista防火墙的“潜能”,我们可以在没有专业网络防火墙、反间谍软件或杀毒软件的情况下,也能确保上网冲浪更加安全。与旧版系统自带防火墙相比,Vista防火墙既允许普通用户通过控制面板窗口进入防火墙配置界面对其进行简单安全设置,又允许高级用户利用MMC控制台来进行高级安全设置,确保上网工作站远离网络非法攻击。
不一样的需求,不一样的配置
为了尽可能满足更多用户的上网配置需求,Vista防火墙为我们提供了两种完全不同的配置界面,简单的安全配置需求,只要进入防火墙的基本配置界面,通过启用或关闭防火墙功能,就能达到保护上网安全的目的了;而对于复杂的安全配置需求,必须在系统的MMC控制台中打开高级配置界面,通过自定义各种安全访问规则,才能达到有效工作站上网安全的目的。
例如,普通用户要启用本地工作站中的Vista防火墙时,我们可以先依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,依次单击“网络和Internet”/“Windows防火墙”选项,在其后出现的选项设置页面中,单击“启用或关闭Windows防火墙”项目,打开如图1所示的Windows防火墙配置界面,在该界面中我们可以选中“启用”项目,并单击“确定”按钮,就能将Vista防火墙启用成功了,此时上网冲浪行为就会自动受到Windows防火墙的安全保护了。
如果我们暂时要取消防火墙的安全保护功能时,只需要在图1界面中选择“关闭”项目,再单击“确定”按钮就可以了。如果本地工作站处于一个不安全的网络环境中时,我们可以选中这里的“阻止所有传入连接”项目,该功能项目可以让本地工作站暂时禁止“例外”选项页面中规定的任何应用程序访问网络,而当本地工作站处于一个比较安全的局域网环境时,我们可以再将“阻止所有传入连接”功能项目关闭,恢复本地工作站正常的网络访问设置。 与旧版本系统自带防火墙相比,Vista防火墙也允许普通用户在“例外”选项设置页面中,对一些频繁使用的应用程序或网络服务进行安全设置;比方说,我们要想让某个应用程序顺利通过防火墙的限制而直接访问网络,而恰好这个应用程序没有显示在例外列表框中时,那我们可以单击“例外”选项设置页面中的“添加程序”按钮,来将目标应用程序加入到例外列表框中,再将目标应用程序选中就可以了。当然,我们也可以单击“例外”选项设置页面中的“添加端口”按钮,来将本地工作站中特殊的服务端口加入到例外列表框中,确保来自指定端口的通信不受防火墙的限制。在Vista防火墙的基本配置界面中,我们无法对本地工作站的流入和流出流量进行更多的控制,只能通过简单的开启或关闭设置,来保护上网冲浪的安全性,而且这种基本配置界面也能够有效避免普通用户因为配置不正确引起系统安全受到威胁。
为了让高级用户更好地保护工作站上网安全,Vista防火墙还为我们提供了高级安全配置界面。在进入该界面查看防火墙的高级设置参数时,我们必须先以超级管理员权限进入本地Vista工作站系统,并依次单击系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中输入字符串命令“mmc”,单击“确定”按钮后,打开本地工作站的MMC控制台窗口;在该窗口的菜单栏中依次单击“文件”/“添加/删除管理单元”命令,在其后界面的“可用管理单元”列表框中选中“高级安全Windows防火墙”项目,再单击“添加”按钮,这么一来“高级安全Windows防火墙”项目就会自动显示在“所选管理单元”列表框中了(如图2所示);
随后,屏幕上将会弹出提示,询问我们此管理单元用来管理哪台计算机,我们可以选中“本地计算机”项目,再单击“完成”按钮,如此一来我们就能在MMC控制台窗口中打开高级安全防火墙配置界面了;在该界面的左侧列表区域,我们可以用鼠标展开树状列表,选中某一设置项目后,就能在右侧显示区域看到防火墙的高级设置页面了(如图3所示)。
在高级安全配置页面中,我们可以充分挖掘防火墙的“潜能”,随心所欲地定制各种安全配置规则,比方说在出差旅游途中配置适合连接到公开网络环境中的安全访问规则,在家中上网冲浪时配置适合家庭点到点网络环境中的安全访问规则,在登录单位局域网网络时配置适合局域网环境的安全访问规则等,所有这些安全访问规则我们可以一次性将它配置完成,当工作站日后被接入到不同的网络环境中进行工作时,不同的安全访问规则就会自动生效,并且这些安全规则相互之间是不干涉的。所以,当我们处于单位的局域网网络中时,我们几乎可以将Vista防火墙直接关闭掉,毕竟单位局域网中一般都会配置更高级的网络防火墙,而在公众无线网络或家庭网络中上网冲浪时,我们可以将系统防火墙及时启用,以便让它充分发挥作用。
有时,我们对防火墙系统进行了比较复杂的设置后,本地工作站出现了无法解决的网络故障,仔细查找防火墙的各项配置参数后,始终找不到故障原因。此时,我们可以想办法让防火墙的工作状态快速恢复到默认状态,以便将防火墙中的隐性故障快速排除掉;在尝试将Vista防火墙的工作状态恢复到默认设置时,我们可以按照如下步骤来进行:
首先以超级管理员权限进入本地Vista工作站系统,在系统的托盘区域处用鼠标右键单击网络连接图标,从弹出的快捷菜单中执行“网络和共享中心”命令,在弹出的网络和共享中心窗口中单击左侧任务显示区域中的“Windows防火墙”项目,进入Windows防火墙控制界面;
其次在该界面中单击“更改设置”链接,打开Windows防火墙属性设置对话框;单击该对话框中的“高级”标签,打开如图4所示的标签设置页面,单击该页面中的“还原为默认值”按钮,那么Windows防火墙的工作状态就被快速恢复成默认设置了。
除此而外,我们还可以通过DOS命令快速地将Vista防火墙的工作状态恢复成默认设置。我们可以依次单击“开始”/“程序”/“附件”选项,在其后出现的下级菜单中用鼠标右键单击“命令提示符”项目,从弹出的快捷菜单中执行“以管理员身份运行”命令,打开Vista工作站系统的MS-DOS窗口;在该窗口的命令提示符下执行“netsh firewall reset”字符串命令,Vista防火墙的工作状态就被快速恢复成默认设置了。
当Vista工作站系统出现网络故障时,我们常常会使用系统自带的网络命令Ping,来对线路连通性进行测试;不过,在默认状态下,Vista防火墙是禁止我们进行Ping命令测试的,这也是许多朋友通过Ping命令测试本地工作站的IP地址时,也经常失败的主要原因。为了提高网络故障的解决效率,我们有必要进入到Vista防火墙的高级配置界面,启用ICMP的传入和传出的策略,恢复Vista工作站系统中的Ping命令测试功能,下面是恢复Ping测试的具体操作步骤:
首先以超级管理员权限进入本地Vista工作站系统,依次单击系统桌面中的“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中依次选择“系统和维护\管理工具”项目;
在弹出的管理工具列表界面中,用鼠标双击其中的“高级安全的Windows防火墙”选项,打开Windows防火墙的高级安全配置界面;在该配置界面的左侧显示区域,选中“入站规则”项目,并用鼠标右键单击之,从弹出的快捷菜单中单击“新规则”选项,系统屏幕上将出现一个新规则创建向导界面,选中该界面中的“自定义”项目,再单击“下一步”按钮,之后选中其后界面中的“所有程序”项目;
当创建向导弹出提示,询问我们究竟要将新规则应用到哪些通信协议以及网络传输端口中时,我们一定要将“ICMPv4”协议选项选中,之后再单击“下一步”按钮,接着创建向导会提示我们选择合适的连接条件,这个时候我们必须选中如图5所示界面中的“允许连接”项目,同时设置好应用该新规则的具体场合,最后再为新创建的入站规则取一个合适的名称,并且重新启动一下Vista工作站系统,如此一来Vista工作站就会允许我们使用Ping命令进行各种网络连通性测试了。
