Windows 防火墙探究

核心提示： 更大的阻碍是其他客户端防火墙生产商所做的安全性表演，有些人相信 Windows XP 防火墙的设计(即允许所有的出站通信不受阻碍地离开)对于客户端防火墙来说功能上是不够的，Windows 防火墙探究(3)，这种观点认为，一个能够胜任的客户端防火墙应该阻止所有未经用户专门许可的通信，这就是为

更大的阻碍是其他客户端防火墙生产商所做的安全性表演。有些人相信 Windows XP 防火墙的设计(即允许所有的出站通信不受阻碍地离开)对于客户端防火墙来说功能上是不够的。这种观点认为，一个能够胜任的客户端防火墙应该阻止所有未经用户专门许可的通信，不论是入站还是出站。

现在，让我们认真考虑一下这种观点。现在出现了两种情形：

如果您以本地管理员身份运行，而又感染了恶意软件，该恶意软件将直接使防火墙失效。您将彻底被打垮。

如果您不是以本地管理员身份运行，而您感染了恶意软件，恶意软件将导致一个第三方防火墙引发一个对话框，其中充满了有关端口和 IP 地址的怪异文字，以及一个非常严肃的问题：“您要允许这些通过么?”当然，唯一的答案就是：“是的，您这个愚蠢的计算机，不要再骚扰我了!”一旦该对话框消失，您的安全性也就荡然无存。或者，更常见的情况是，恶意软件直接劫持了您已经授权的现有程序会话，您甚至都无法看到该对话框。您再次被彻底打垮。

您必须了解一个关于安全性的重要原则。保护措施针对的是您希望保护的资产，而不是您希望防备的东西。正确的方法是在您的企业内每台计算机上运行精益但有效的 Windows 防火墙，以保护每一台计算机免受世界上任何其他计算机的威胁。如果您试图阻止一台已经被攻击的计算机的出站连接，那么如何确保该计算机真的在按您的指示工作?答案是：您不能。出站保护是安全性表演 — 这是一个花招，只给您一个改善安全性的印象，但却不做任何提高安全性的实质工作。这就是为什么 Windows XP 防火墙中没有出站保护，也是它为什么不存在于 Windows Vista™ 防火墙中的原因。(稍后我将进一步探讨有关 Windows Vista 中的出站控制。)