Windows 防火墙探究

否则，将计算机的配置文件设置为公共。

目标是尽可能选择最具限制性的配置文件。但是，这里有两个明显的副作用。首先，如果您计算机的以太网端口已连接到公司网，而无线 NIC 连接到楼下的星巴克，那么计算机将选用公共配置文件而非域配置文件。其次，如果您的计算机直接连接到 Internet(应用公共配置文件)，或连接到您的家庭 LAN(应用专用配置文件)，并且您通过 VPN 连接到您的公司网，那么您的计算机将继续应用公共或专用配置文件。

这可能意味着什么?防火墙的域配置文件策略包括有关远程协助、远程管理、文件和打印机共享等内容。如果您依靠这些规则连接远程客户端，而客户端又选择了其他配置文件，那么您将无法与客户端连接。不必绝望，您可以编写防火墙规则，允许您需要的任何入站连接，然后将规则仅应用于 VPN 连接。现在，即使您的客户端没有应用域配置文件，您仍然可以通过 VPN 管理它们。

控制出站连接

我曾说过，客户端防火墙中出站保护的典型形式仅仅是安全性表演。然而，有一种形式的出站控制却十分有用：以管理员身份对您不希望许可的通信类型进行控制。对于服务限制，Windows Vista 防火墙已经采取了这种措施。防火墙只允许服务与其声称需要的端口进行通信，而阻止服务试图进行的任何其他活动。在此基础上，为了符合您组织的安全策略，您可以编写其他规则来允许或阻止特定通信(请参阅图 3)。

图 3 新建入站规则向导

例如，您希望禁止用户运行一种特定的即时消息客户端。您可以创建一个规则(当然是在“组策略”中)，阻止该客户端连接到登录服务器。

不过，此方法有实际的局限性。例如，Windows Live™ Messenger(您可能仍然称之为 MSN® Messenger)有多个可以登录的服务器，而且服务器列表一直在变化。此外，如果默认端口 1863/tcp 被阻止，它会回退到端口 80/tcp。一个阻止 Windows Live Messenger 连接到登录服务器的规则将会过于复杂，而且处于不断变化之中。我提到这些是为了说明管理出站控制是有用的，但如果您需要对允许用户安装和运行的软件保持严格控制，它不能代替软件限制策略。

保护您的计算机

外围防护已经消失。现在每个计算机必须承担起自我保护的责任。正如同反恶意软件已从客户端移向边缘，防火墙必须从边缘移向客户端。您可以立即采取行动，即启用已经安装好的防火墙。

不管您的系统正在运行 Windows XP，还是已经转换到了 Windows Vista，Windows 防火墙可供您所有的客户端使用，并且提供在组织内提高安全性所需的保护，即使您的移动员工距办公室几千英里之遥也是如此。