系統防火牆的兩種獨立的圖形配置
知道系統防火牆有兩種獨立的圖形配置介面是什麼嗎?在這裡就來說說防火牆有兩種獨立的圖形配置介面!下面是小編跟大家分享的是,歡迎大家來閱讀學習~
一、採用兩種介面來滿足不同需求
Vista防火牆有兩種獨立的圖形配置介面: 一是基本的配置介面,可以通過“安全中心”和“控制面板”來訪問; 二是高階配置介面,使用者在建立自定義的MMC後,可作為外掛來訪問。
這可以防止新手使用者無意中的改變而導致連線中斷,又為高階使用者對防火牆設定進行更細化地定製以及控制出站和入站流量提供了一種方法。使用者還可以 在netsh advfirewall上下文中使用命令,從命令列對Vista防火牆進行配置; 也可以編寫指令碼,針對一組計算機自動對防火牆進行配置; 還可以通過組策略來控制Vista防火牆的設定。
二、預設設定下的安全
Vista中的 Windows防火牆在預設狀態下采用安全配置,同時仍支援最佳易用性。預設狀態下,大多數入站流量被阻擋,出站連線被允許。Vista防火牆可與 Vista的Windows服務加固這項新功能協同工作,所以如果防火牆檢測到被Windows服務加固網路規則禁止的行為,它就會阻擋該行為。防火牆還 完全支援純IPv6的網路環境。
三、基本配置選項
利用基本配置介面,使用者可以啟動或者關閉防火牆,或者設定防火牆完全阻擋所有程式; 還可以允許有例外情況存在***可以指定不阻擋哪些程式、服務或者埠***,並且指定每種例外情況的範圍***是否適用於來自所有計算機的流量,包括網際網路上的計算 機、區域網/子網上的計算機,或者是你指定了IP地址或者子網的計算機***; 還可以指定希望防火牆保護哪些連線,並且配置安全日誌和ICMP設定。
四、ICMP訊息阻擋
預設狀態下,入站ICMP迴應請求可以通過防火牆,而其他所有ICMP資訊被阻擋在外。這是因為,Ping工具定期用來發送回應請求訊息,用於 故障診斷。不過,黑客也可以傳送迴應請求訊息來鎖定目標主機。使用者可以通過基本配置介面上的“高階”選項卡,阻擋回應請求訊息。
五、多個防火牆配置檔案
附帶高階安全MMC外掛的Vista防火牆可以讓使用者在計算機上建立多個防火牆配置檔案,那樣就可以針對不同環境使用不同的防火牆配置。這對便 攜式計算機來說特別有用。譬如說,當用戶連線到公共無線熱點時,可能需要比連線到家庭網路時更安全的配置。使用者最多可以建立三個防火牆配置檔案: 一個用於連線到Windows域、一個用於連線到專用網路,另一個用於連線到公共網路。
六、IPSec功能
通過高階配置介面,使用者可以定製IPSec設定,指定用於加密和完整性的安全方法、確定金鑰的生命週期按時間計算還是按會話計算,並且選擇所需 的Diffie-Hellman金鑰交換演算法。預設狀態下,IPSec連線的資料加密功能是禁用的,但可以啟用它,並且選擇哪些演算法用於資料加密和完整 性。
七、安全規則
通過嚮導程式,使用者可以逐步建立安全規則,從而控制單臺計算機或者一組計算機之間如何及何時建立安全連線; 也可以根據域成員或者安全狀況等標準來限制連線,但允許指定的計算機可以不符合連線驗證要求; 還可以建立規則,要求兩臺特定的計算機***伺服器到伺服器***連線時需要驗證,或者使用隧道規則對閘道器之間的連線進行驗證。
八、自定義的驗證規則
在建立自定義的驗證規則時,要指定單臺計算機或者一組計算機***通過IP地址或者地址範圍***成為連線端點。使用者可以請求或者要求對入站連線、出站連線或者兩者進行驗證。
九、入站和出站規則
使用者可以建立入站和出站規則,從而阻擋或者允許特定程式或者埠進行連線; 可以使用預先設定的規則,也可以建立自定義規則,“新建規則嚮導”可以幫使用者逐步完成建立規則的步驟;使用者可以將規則應用於一組程式、埠或者服務,也可 將規則應用於所有程式或者某個特定程式;可以阻擋某個軟體進行所有連線、允許所有連線,或者只允許安全連線,並要求使用加密來保護通過該連線傳送的資料的 安全性; 可以為入站和出站流量配置源IP地址及目的地IP地址,同樣還可以為源TCP和UDP埠及目的地TCP和UPD埠配置規則。
十、基於活動目錄的規則
使用者可以建立規則來阻擋或者允許基於活動目錄使用者、計算機或者組賬戶的連線,只要連線通過帶有Kerberos v5***包含活動目錄賬戶資訊***的IPSec來保護安全。使用者還可以使用具有高階安全功能的Windows防火牆,執行網路訪問保護***NAP***策略。
Windows Meeting Space***WMS***是Windows Vista內建的一個新程式,它便於最多10個協作者共享桌面、檔案和演示文件,並通過網路傳送個人訊息給對方。