網絡安全已經被越來越多的人重視起來，而在保證自己的計算機安全方面，最主要的一個手段就是安裝殺毒軟件、網絡防火墻以及反間諜軟件等各種程序。微軟自然不會忽略這一點，在Windows XP的早期版本中就推出過免費的Internet連接防火墻，但是該軟件的功能非常有限，只有簡單的入站訪問限制（也就是說，只能對主動從網絡向本機發起的網絡連接進行限制）。雖然在Windows XP SP2中該防火墻改名為Windows防火墻，但是功能上并沒有太大改進。那么在微軟下一代操作系統Windows Vista中，系統自帶的防火墻有沒有什么創新？粗看之下，你可能會覺得失望，因為Vista中的防火墻在界面上和Windows XP SP2沒有任何區別，不過別著急，Vista中的防火墻功能可謂大大地提高了，不過大部分功能需要靠安全策略（組策略的一部分）來設置，一起來感受一下吧。本文以測試版的Windows Vista 2005年12月CTP版本為例，版本號為5270。當然，正式版中該功能在細節上可能會有所不同，希望大家能夠留意。在功能上，Vista中的防火墻（下文統一簡稱為防火墻）主要增加了對內部程序訪問網絡（也就是出站連接）的限制，以及和其他計算機之間的連接限制。為了向你演示該防火墻的使用，我們會按照實際使用情況模擬兩種不同的場景。啟用防火墻首先運行secpol.msc，打開“Local Security Settings（本地安全設置）”窗口，接著在左側的樹形圖中定位到“Security Settings（安全設置）”|“Windows Firewall with Advanced Security（具有高級安全功能的Windows防火墻）”|“ Windows Firewall with Advanced Security on Local Computer（本地計算機上具有高級安全功能的Windows防火墻）”節點，你將能看到類似圖1的界面，下文所介紹的所有功能都將在這里設置。圖1

在“OvervIEw（概述）”選項下我們可以看到，防火墻具有兩個配置文件（Profile），分別用于域環境和單機/工作組環境，其實這個功能在Windows XP SP2中的Windows防火墻上就已經提供了，不過這里得到了更明顯的改進。下文將以單機環境下的操作為例。因為默認情況下防火墻還沒有啟用，因此我們首先需要將其打開。點擊“Windows Firewall Properties（Windows防火墻屬性）”鏈接，你將能看到圖2所示的對話框，該對話框有兩個選項卡，分別對應域環境和單機/工作組環境的配置文件，因此我們打開代表單機環境的“Standard Profile”選項卡，點擊“On（啟用）”選項。

同時請注意該選項下方的“Inbound connections（入站連接）”和“Outbound connections（出站連接）”這兩個選項，這里的設置需要注意。默認情況下，我們在這里設置的“允許”或“禁止”將會影響到所有程序，假設我們在這里禁止了所有入站連接，但又需要開放對某個端口的出站連接（例如本機打開了FTP服務），那么才需要在隨后的例外設置中進行設置。因此，如果你是一般用戶，建議打開防火墻之后，將入站連接設置為“Block（阻止）”，將出站連接設置為“Allow（允許）”，這樣設置后，自己平時的瀏覽網頁、下載等活動（屬于出站連接）將不會受到任何影響，但是外界的主動連接（入站連接，例如本機運行的網絡服務）都將被禁止。隨后則可以通過設置例外規則來完善防火墻的設置。場景一：入站連接的限制第一個環境，我們打算模擬對入站連接進行設置。假設我們在前面已經設置了禁止所有入站連接，但是自己的電腦上開放了FTP服務（假設使用默認的21端口），那么如何能夠在盡量保證安全的前提下允許別人來訪問呢？在圖1所示的界面上進入“Inbound Exceptions（入站例外）”節點，并在該節點上點擊鼠標右鍵，選擇“New Exception（新建例外規則）”選項，你將能看到一個圖3所示的向導，所有的設置都將在這里進行。

讓我們首先考慮一下FTP服務器的一些網絡特征吧：FTP服務通常使用TCP協議的固定端口，例如本文以及默認情況都將使用21端口；同時FTP服務需要有一個監聽的程序，也就是FTP服務器端；同時我們還需要允許這樣的連接。

確定下來之后就好做多了。首先在圖3所示的界面上選擇例外類型為“Port（端口）”，點擊Next，在隨后的頁面上指定連接所用的協議為“TCP”，同時所用的端口為“21”（圖4）。隨后就需要設置采取的操作了，因為我們希望他人可以通過FTP客戶端軟件訪問我們的21端口，因此可以選擇“Allow all connections（允許所有連接）”。接著則需要選擇該例外規則適用的配置文件。如果你建立了多個配置文件，那么這里就會將其全部列出。遺憾的是，我們只能選擇將該規則應用于全部的配置文件，或者只能應用于某個特定的配置文件，而無法選擇性應用于特定的幾個配置文件中。最后為該規則指定好名稱和描述之后就算完成了。場景二：出站連接的限制這可能是Windows防火墻最不足的地方，以前該防火墻一直無法對系統中已經安裝的程序主動對外界的連接進行限制，在Vista中，該功能和市面上其他第三方的防火墻產品相比毫不遜色。

在這里，我們要通過設置讓IE不能訪問特定的網站，看看是如何操作的。首先在“Outbound Exceptions（出站例外）”節點上點擊鼠標右鍵，選擇“New Exception（新建例外規則）”選項，接下來在例外類型中選擇“Custom（自定義）”，并為該例外規則命名。這里的設置有些奇怪，如果我們選擇了Custom，那么就要首先將規則創建好，然后打開規則的屬性頁面，進行設置。因此我們需要關閉創建規則的對話框，并在窗口右側的列表中找到這個新建的規則，點擊鼠標右鍵，選擇“Properties（屬性）”，接著可以看到類似圖5的對話框。我們可以這樣操作：首先在圖5所示的對話框上點擊“Specific Program（特定應用程序）”選項，并點擊“Browse（瀏覽）”按鈕定位IE主程序的位置；接著在“Action（操作）”選項下選擇“Block（阻止）”。接著打開“Scope（范圍）”選項卡，點擊“Remote Address（遠程地址）”選項下的“Custom（自定義）”，接著點擊右側的“Add（添加）”按鈕，在隨后出現的對話框中指定不許訪問的站點的地址（可以是IP地址或者IP地址段，見圖6），設置好之后點擊OK按鈕即可。

經過簡單的試用，Vista中的防火墻功能確實得到了提高，本文所舉的例子只是其中很小的一部分，相信經過恰當的配置，現有這些選項還可以產生很多不錯的設置方案。但是所有這些功能都有一個不足，那就是沒有完整的集成在防火墻的圖形界面中，雖然在本地安全策略控制臺下的設置也有很簡明的圖形界面為輔助，不過如果能將這些選項集成到防火墻自己的界面中，應該可以收到更好的效果。