VISTA系統(tǒng)已經(jīng)發(fā)布，相信很多讀者已經(jīng)在自己的計(jì)算機(jī)上安裝了他。不管是從媒體還是從普通用戶的使用感受來講，都對VISTA的系統(tǒng)自帶防火墻給予了高度評價(jià)，認(rèn)為其是對XP系統(tǒng)防火墻的大幅度改善。在很多功能上有亮點(diǎn)。而防火墻的作用也是致關(guān)重要的，特別是對家庭用戶上網(wǎng)沖浪來說，很可能系統(tǒng)防火墻是保障計(jì)算機(jī)安全的唯一屏障。因此今天就請各位跟隨筆者進(jìn)入到VISTA中領(lǐng)略新型防火墻帶來的新感受和新安全。  

一、VISTA防火墻功能簡述：

VISTA防火墻具有兩種配置模式，簡單模式下和Windows XP sp2的防火墻沒有什么區(qū)別，而高級模式中防火墻的設(shè)置更加自由隨意，管理網(wǎng)絡(luò)數(shù)據(jù)的輸入輸出更加輕松。當(dāng)然這兩種模式的設(shè)置復(fù)雜程度也是有所區(qū)別的，簡單模式適合初學(xué)者和剛剛從XP系統(tǒng)過度的用戶，而復(fù)雜模式更適合有一定網(wǎng)絡(luò)安全基礎(chǔ)的用戶。

另外在高級模式下的VISTA系統(tǒng)防火墻已經(jīng)不像Windows XP sp2那樣簡單的針對輸入數(shù)據(jù)進(jìn)行過濾，VISTA系統(tǒng)防火墻可以設(shè)置輸入和輸出兩個(gè)方向的過濾規(guī)則，使安全級別成倍提供，也避免了病毒與黑客入侵的二次感染。

正因?yàn)橐陨蟽纱筇厣沟梦覀冞@些家庭菜鳥用戶可以放心的使用VISTA防火墻保護(hù)系統(tǒng)安全，不用再選擇第三方個(gè)人防火墻占用系統(tǒng)資源了。

二、特色一雙配置模式的引入：

專業(yè)的防火墻可以基于程序，端口和業(yè)務(wù)進(jìn)行過濾，防護(hù)級別很高。而這些對于普通初學(xué)者來說比較難上手，所以XP SP2中才將防火墻的設(shè)置簡單化，可以通過“開啟”和“關(guān)閉”兩個(gè)選項(xiàng)來實(shí)現(xiàn)安全防范的目的。但是正因?yàn)檫@種不自由不自主的防范也造成了XP SP2系統(tǒng)下防火墻在一些木馬和病毒的攻擊下名存實(shí)亡。吸取了XP SP2系統(tǒng)中的經(jīng)驗(yàn)后，VISTA系統(tǒng)中采取了雙配置模式的概念。

簡單模式簡介：

VISTA防火墻的簡單模式是給普通菜鳥用戶使用的，他可以在操作者沒有任何安全技術(shù)的情況下實(shí)現(xiàn)對系統(tǒng)的有效保護(hù)。

第一步：防火墻簡單模式的打開是通過VISTA系統(tǒng)中“控制面板”來實(shí)現(xiàn)的，進(jìn)入“控制面板”選擇“安全”選項(xiàng)。

第二步：接下來在“安全”設(shè)置窗口中點(diǎn)“Windows防火墻”。這樣我們就啟動了VISTA系統(tǒng)防火墻的簡單模式。

第三步：通過左上角的“啟用或關(guān)閉Windows防火墻”選項(xiàng)可以實(shí)現(xiàn)開啟或停止防火墻操作。

第四步：由于VISTA系統(tǒng)中有UAC認(rèn)證功能，所以我們點(diǎn)“繼續(xù)”按鈕批準(zhǔn)設(shè)置操作。

第五步：在Windows防火墻設(shè)置窗口的“常規(guī)”標(biāo)簽選擇“啟用”則對本機(jī)進(jìn)行防護(hù)，如果選擇“關(guān)閉”則停止防火墻功能。和XP SP2防火墻一樣默認(rèn)情況下在“例外”標(biāo)簽中都會有很多缺省程序，我們在“常規(guī)”標(biāo)簽中點(diǎn)“阻止所有傳入連接”將禁止這些缺省程序的網(wǎng)絡(luò)傳輸，實(shí)現(xiàn)控制程序訪問網(wǎng)絡(luò)的功能

第六步：“例外”標(biāo)簽是當(dāng)前系統(tǒng)防火墻的設(shè)置信息，一些我們?nèi)菰S的程序都會羅列在此，包括IE，MSN，QQ等。

第七步：通過下面的“添加程序”按鈕和“添加端口”按鈕可以進(jìn)一步管理容許傳輸數(shù)據(jù)的程序和端口。設(shè)置時(shí)也可以基于地址段進(jìn)行操作，由于設(shè)置方法和XP SP2系統(tǒng)防火墻一致，這里就不詳細(xì)說了。

小提示：

當(dāng)然除了針對程序進(jìn)行過濾防火墻還可以對端口的數(shù)據(jù)傳輸進(jìn)行設(shè)置，也可以指定限定的IP地址范圍。

第八步：最后我們通過“高級”標(biāo)簽指定要應(yīng)用的網(wǎng)卡，如果本機(jī)有多個(gè)網(wǎng)卡的話，可以選擇同時(shí)應(yīng)用或者只對某個(gè)網(wǎng)卡開啟防火墻。

高級模式簡介：

看到這里相信很多讀者都會差異，感情VISTA下的防火墻和XP系統(tǒng)一樣啊，從界面到設(shè)置，從功能到效果。實(shí)際上在簡單模式下兩者差不多，畢竟都是給普通用戶使用的，幫助他們起到一定的安全防范效果。然而VISTA防火墻強(qiáng)就強(qiáng)在還引入了另外一個(gè)模式——高級模式，他幫助專業(yè)人員加強(qiáng)自己本機(jī)系統(tǒng)的安全性，在高級模式下設(shè)置的過濾規(guī)則防范手段不輸于任何第三方防火墻軟件。

第一步：進(jìn)入VISTA系統(tǒng)桌面，通過“開始”輸入gpedit.msc進(jìn)入到VISTA系統(tǒng)的組策略設(shè)置窗口。

第二步：當(dāng)然要想正常進(jìn)入組策略也需要UAC驗(yàn)證的通過，進(jìn)入到組策略編輯器后我們依次打開“本地計(jì)算機(jī)策略->計(jì)算機(jī)配置->Windows 設(shè)置->安全設(shè)置->高級安全Windows防火墻->高級安全Windows防火墻-本地組策略對象。這里就是我們VISTA默認(rèn)防火墻的高級模式配置界面了。

第三步：在高級模式下我們可以隨意設(shè)置自己防火墻的過濾規(guī)則，在空白區(qū)域點(diǎn)右鍵選擇“新規(guī)則”。

第四步：在創(chuàng)建的規(guī)則類型處提供給我們四個(gè)選項(xiàng)，從上到下依次為“程序”，“端口”，“預(yù)定義”，“自定義”。

第五步：例如我們準(zhǔn)備從程序入手來設(shè)置過濾規(guī)則，那么選擇程序然后點(diǎn)“下一步”按鈕繼續(xù)?？梢赃x擇對所有程序進(jìn)行過濾，也可以指定某個(gè)程序，通過路徑來選擇。

第六步：再接下來的“連接符合指定條件時(shí)應(yīng)該進(jìn)行什么操作”的設(shè)置就要比簡單模式強(qiáng)大了，我們可以針對當(dāng)前的網(wǎng)絡(luò)連接情況進(jìn)行設(shè)置，例如當(dāng)我們的網(wǎng)絡(luò)使用IPSEC等安全的協(xié)議連接時(shí)，對這些程序如何操作或者不管什么情況都阻止該程序的數(shù)據(jù)通過防火墻，也可以設(shè)置“容許連接”讓這些程序可以順利通過防火墻的過濾。

第七步：接下來的“何時(shí)應(yīng)用該規(guī)則”也是防火墻高級模式特有的，我們可以將之前設(shè)置的過濾規(guī)則指定應(yīng)用的網(wǎng)絡(luò)環(huán)境，是域網(wǎng)絡(luò)還是專用網(wǎng)絡(luò)，又或者是公用網(wǎng)絡(luò)。關(guān)于這三個(gè)網(wǎng)絡(luò)的區(qū)別在以前的文章已經(jīng)向大家介紹，這里就不詳細(xì)說明了，總之通過這個(gè)規(guī)則可以將一個(gè)防火墻當(dāng)三個(gè)用，每種網(wǎng)絡(luò)環(huán)境有各自的安全規(guī)則。

第八步：最后指定安全規(guī)則名稱，點(diǎn)“完成”結(jié)束操作。

第九步：設(shè)置完畢就能夠在“入站”規(guī)則中看到剛剛添加的過濾條目了。

第十步：同樣高級模式下也可以針對“端口”進(jìn)行過濾

第十一步：接下來可以針對通過端口的傳輸層協(xié)議進(jìn)行設(shè)置，可以選擇TCP或UDP，同樣可以指定對所有本地端口過濾也可以指定某幾個(gè)端口。

第十二步：在對端口的過濾設(shè)置中也可以對“連接符合指定條件”進(jìn)行配置，和之前介紹的第六步一樣。

第十三步：而在創(chuàng)建規(guī)則類型中選擇“預(yù)定義”將針對默認(rèn)一些程序進(jìn)行過濾，省去了我們設(shè)置的工作。

小提示：
   另外高級模式還可以對出站規(guī)則進(jìn)行甚至，這在XP SP2防火墻中是不具備的。而且還添加了一個(gè)“機(jī)連接安全規(guī)則”，保證在不同設(shè)備連接的情況下應(yīng)用不同的過濾規(guī)則。

在vista防火墻中添加規(guī)則教程!禁止高危端口.獻(xiàn)給裸奔的朋友

首先運(yùn)行mmc打開你的高級防火墻設(shè)置.

點(diǎn)文件打開選擇你保存的防火墻配置文件

點(diǎn)入站規(guī)則----右邊的新規(guī)則-----選中端口,下一步----選中單選的tcp按鈕，下面選特定本地端口 里面添加 135,137,138，139,1025,1026,445,3389  點(diǎn)下一步 選中阻止連接下一步看你的網(wǎng)絡(luò)情況選擇 域 專用還是公用 下一步名稱和描述可以隨便填 完成就ok了

這里說明下端口
其中135 是svchost.exe進(jìn)程打開的端口，風(fēng)靡一時(shí)的沖擊波，震蕩波。病毒就是利用這個(gè)端口

137  138 139  這3個(gè)端口的主要作用是在局域網(wǎng)中提供計(jì)算機(jī)的名字或IP地址查詢服務(wù)，一般安裝了NetBIOS協(xié)議后，該端口會自動處于開放狀態(tài)。  現(xiàn)在的威金，熊貓燒香，等病毒都可以通過局域網(wǎng)傳播，禁止這些端口可以減少隱患，如果你是在單位，就別把137，138，139端口禁止了，否則別人訪問不了你計(jì)算機(jī)，和看不到你機(jī)器

445端口 去年流行的威金病毒就是利用這個(gè)端口。

3389 也就是遠(yuǎn)程桌面，就是開了這個(gè)端口別人可以遠(yuǎn)程控制你電腦。 個(gè)人用戶如果用不到這個(gè)功能建議關(guān)了

1025 1026 匿名接入該端口后，就可獲取Windows網(wǎng)絡(luò)的服務(wù)器信息與用戶信息等?？赡涿@取用戶名與服務(wù)器信息就意味著入侵者可以輕松地獲得攻擊服務(wù)器的信息。以前人們知道可以通過SMB（139、445端口）獲得同樣的信息，而能夠通過其他端口獲取這些信息的Windows配置還是第一次發(fā)現(xiàn)。更何況如果能夠猜出口令，不用匿名而是偽裝成正式用戶進(jìn)行連接的話，就有可能執(zhí)行任意命令。也就是經(jīng)典的ipc$入侵用到的端口 ，建議如果不是局域網(wǎng)用戶建議添加到規(guī)則里

由于windows的端口太多，我不可能把個(gè)端口都建立規(guī)則。此文獻(xiàn)給想裸奔的朋友關(guān)閉這幾個(gè)端口可以使你裸奔更安全點(diǎn)。