配置之后,防火墙将按如下顺序处理规则:
服务限制 Windows Vista 中的某些服务对自身进行限制,以降低受到另一个 Blaster 类型攻击的可能性。其中一项限制是服务需要的端口列表。防火墙将强制实施此限制,防止服务使用(或者被引导使用)任何其他端口。
连接安全性规则 高级安全 MMC 包括了 IPsec 以及防火墙。所有包括 IPsec 策略的规则都将随后得到处理。
身份验证绕行 允许通过指定身份验证的计算机绕过其他规则。
阻止规则 明确阻止指定的传入或传出通信。
允许规则 明确允许指定的传入或传出通信。
防火墙规则存储在注册表中,但是我不准备告诉您具体的位置。噢,好吧,您可以在以下位置找到它们:
HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesSharedAccessDefaultsFirewallPolicyFirewallRule
HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesSharedAccessParametersFirewallPolicyFirewallRules
HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesSharedAccessParametersFirewallPolicyRestrictedServicesStaticSystem
但请不要直接在注册表中编辑这些规则。如果您这么做,我们会找到您,然后把您的宠物拿到 eBay 上卖掉!好吧,也许不卖也行,不过唯一一种受到支持的规则编辑方法就是使用高级安全 MMC。
网络配置文件
Windows Vista 定义了三种网络配置文件:域、专用和公共。如果计算机已加入域并已成功登入域,计算机将自动应用域配置文件 — 您没有机会自己作选择。如果计算机连接到一个没有域的内部网络(例如一个家庭或小型办公室网络),您(或管理员)应当应用专用配置文件。最后,如果计算机直接连接到 Internet,您应当应用公共配置文件。
Windows Vista 如何决定在何处放置您的计算机呢?一旦出现网络变动时(例如,它收到了新的 IP 地址或发现了新的默认网关,或者得到了新的接口),一个名为网络位置感知 (NLA) 的服务将会检测到该变动。它构建一个网络配置文件(其中包括有关现有接口的信息、计算机是否已通过某域控制器的身份验证,网关的 MAC 地址等),并给它分配一个 GUID。NLA 随后通知防火墙,然后防火墙应用相应的策略(这三个配置文件都各自定义了策略)。
如果这是计算机以前从未见过的新接口,而且 NLA 也没有选择域配置文件,那么您将看到一个对话框,要求您指出将要连接到什么类型的网络。不可思议的是,这里有三种选择:“Home”(家庭)、“Work”(工作)和“Public”(公共)。您可能会认为“Work”(工作)意味着域配置文件,但实际上并不是这样。请记住,您永远不会看到域配置文件,因为在计算机登录到某个域时,NLA 会自动选择它。事实上,“Home”(家庭)和“Work”(工作)都对应于专用配置文件。功能上它们是等同的,只有图标不同。(注意:您必须是本地管理员,或能够提升到本地管理员,才能够选择该专用配置文件。)如您所料,公共对应于公共配置文件。
在 Windows Vista 中,网络配置文件应用于计算机中的所有接口。以下是一个 NLA 决策树的概况:
检查所有连接的网络。
有无任何接口连接到分类为公共的网络?如果有,将计算机的配置文件设置为公共,然后退出。
有无任何接口连接到分类为专用的网络?如果有,将计算机的配置文件设置为专用,然后退出。
是否所有接口都看到了域控制器,计算机是否已成功登录?如果是,将计算机的配置文件设置为域,然后退出。
否则,将计算机的配置文件设置为公共。
目标是尽可能选择最具限制性的配置文件。但是,这里有两个明显的副作用。首先,如果您计算机的以太网端口已连接到公司网,而无线 NIC 连接到楼下的星巴克,那么计算机将选用公共配置文件而非域配置文件。其次,如果您的计算机直接连接到 Internet(应用公共配置文件),或连接到您的家庭 LAN(应用专用配置文件),并且您通过 VPN 连接到您的公司网,那么您的计算机将继续应用公共或专用配置文件。
这可能意味着什么?防火墙的域配置文件策略包括有关远程协助、远程管理、文件和打印机共享等内容。如果您依靠这些规则连接远程客户端,而客户端又选择了其他配置文件,那么您将无法与客户端连接。不必绝望,您可以编写防火墙规则,允许您需要的任何入站连接,然后将规则仅应用于 VPN 连接。现在,即使您的客户端没有应用域配置文件,您仍然可以通过 VPN 管理它们。
控制出站连接
我曾说过,客户端防火墙中出站保护的典型形式仅仅是安全性表演。然而,有一种形式的出站控制却十分有用:以管理员身份对您不希望许可的通信类型进行控制。对于服务限制,Windows Vista 防火墙已经采取了这种措施。防火墙只允许服务与其声称需要的端口进行通信,而阻止服务试图进行的任何其他活动。在此基础上,为了符合您组织的安全策略,您可以编写其他规则来允许或阻止特定通信(请参阅图 3)。
图 3 新建入站规则向导
例如,您希望禁止用户运行一种特定的即时消息客户端。您可以创建一个规则(当然是在“组策略”中),阻止该客户端连接到登录服务器。
不过,此方法有实际的局限性。例如,Windows Live™ Messenger(您可能仍然称之为 MSN® Messenger)有多个可以登录的服务器,而且服务器列表一直在变化。此外,如果默认端口 1863/tcp 被阻止,它会回退到端口 80/tcp。一个阻止 Windows Live Messenger 连接到登录服务器的规则将会过于复杂,而且处于不断变化之中。我提到这些是为了说明管理出站控制是有用的,但如果您需要对允许用户安装和运行的软件保持严格控制,它不能代替软件限制策略。
保护您的计算机
外围防护已经消失。现在每个计算机必须承担起自我保护的责任。正如同反恶意软件已从客户端移向边缘,防火墙必须从边缘移向客户端。您可以立即采取行动,即启用已经安装好的防火墙。
不管您的系统正在运行 Windows XP,还是已经转换到了 Windows Vista,Windows 防火墙可供您所有的客户端使用,并且提供在组织内提高安全性所需的保护,即使您的移动员工距办公室几千英里之遥也是如此。
