Windows 防火墙探究
2007-05-29 12:25:57 来源:WEB开发网否则,将计算机的配置文件设置为公共。
目标是尽可能选择最具限制性的配置文件。但是,这里有两个明显的副作用。首先,如果您计算机的以太网端口已连接到公司网,而无线 NIC 连接到楼下的星巴克,那么计算机将选用公共配置文件而非域配置文件。其次,如果您的计算机直接连接到 Internet(应用公共配置文件),或连接到您的家庭 LAN(应用专用配置文件),并且您通过 VPN 连接到您的公司网,那么您的计算机将继续应用公共或专用配置文件。
这可能意味着什么?防火墙的域配置文件策略包括有关远程协助、远程管理、文件和打印机共享等内容。如果您依靠这些规则连接远程客户端,而客户端又选择了其他配置文件,那么您将无法与客户端连接。不必绝望,您可以编写防火墙规则,允许您需要的任何入站连接,然后将规则仅应用于 VPN 连接。现在,即使您的客户端没有应用域配置文件,您仍然可以通过 VPN 管理它们。
控制出站连接
我曾说过,客户端防火墙中出站保护的典型形式仅仅是安全性表演。然而,有一种形式的出站控制却十分有用:以管理员身份对您不希望许可的通信类型进行控制。对于服务限制,Windows Vista 防火墙已经采取了这种措施。防火墙只允许服务与其声称需要的端口进行通信,而阻止服务试图进行的任何其他活动。在此基础上,为了符合您组织的安全策略,您可以编写其他规则来允许或阻止特定通信(请参阅图 3)。
图 3 新建入站规则向导
例如,您希望禁止用户运行一种特定的即时消息客户端。您可以创建一个规则(当然是在“组策略”中),阻止该客户端连接到登录服务器。
不过,此方法有实际的局限性。例如,Windows Live™ Messenger(您可能仍然称之为 MSN® Messenger)有多个可以登录的服务器,而且服务器列表一直在变化。此外,如果默认端口 1863/tcp 被阻止,它会回退到端口 80/tcp。一个阻止 Windows Live Messenger 连接到登录服务器的规则将会过于复杂,而且处于不断变化之中。我提到这些是为了说明管理出站控制是有用的,但如果您需要对允许用户安装和运行的软件保持严格控制,它不能代替软件限制策略。
保护您的计算机
外围防护已经消失。现在每个计算机必须承担起自我保护的责任。正如同反恶意软件已从客户端移向边缘,防火墙必须从边缘移向客户端。您可以立即采取行动,即启用已经安装好的防火墙。
不管您的系统正在运行 Windows XP,还是已经转换到了 Windows Vista,Windows 防火墙可供您所有的客户端使用,并且提供在组织内提高安全性所需的保护,即使您的移动员工距办公室几千英里之遥也是如此。
更多精彩
赞助商链接