【IT168 专稿】在<墙中自有墙中首 Vista防火墙详解(上)>一文中笔者为各位读者介绍了在VISTA系统中新版防火墙的独特功能,详细阐述了VISTA防火墙的双模式特色,当然除了双模式外双方向过滤也是VISTA防火墙的一大特色,下面我们就来详细了解下。当然为了方便读者理解,笔者将以案例的形式体现。
一、双向过滤将危害降低到最小:
和传统的单向过滤不同的是VISTA防火墙可以分别对传入和传出两个方向的数据定义过滤规则,要知道在XP系统中防火墙只能对传入方向进行防范过滤,一旦病毒通过U盘或者其他形式甚至是利用防火墙漏洞进入到系统中后就会向外发送数据包,占用系统资源侵占计算机的网络带宽,更有甚者会通过数据包探测网络中其他存在问题的计算机,从而使危害成倍增加。而在VISTA系统下这种问题就会大大减小,我们可以对网络通讯的传入和传出两个方向进行过滤,即使自己的系统感染了恶意程序或病毒,也会因只能传入而无法传出而减少对实际操作的伤害。下面笔者就以两个例子为各位讲解设置传出方向过滤的方法。
二、从传出方向入手禁止QQ程序登录:
下面我们介绍如何在传出方向禁止QQ程序访问网络,从而实现禁止QQ登录的目的。
第一步:正常情况下我们在VISTA系统下登录QQ轻松自如。
&picid=249473.jpg) |
| (点击看大图) |
第二步:接下来准备从防火墙入手禁止QQ程序的登录,首先我们要实现传出方向上的过滤就必须通过VISTA系统内置防火墙的高级模式,打开组策略进入“本地计算机策略->计算机配置->Windows设置->安全设置->高级安全Windows防火墙->高级安全Windows防火墙本地组策略对象->出站规则”。在右边的空白窗口中点鼠标右键选择“新规则”。
&picid=249475.jpg) |
| (点击看大图) |
第三步:接下来的规则类型选择窗口我们点“程序”,准备对QQ程序进行过滤,点“下一步”按钮继续。
&picid=249477.jpg) |
| (点击看大图) |
第四步:然后是选择过滤规则是应用于所有程序还是特定程序,由于我们只想从传出方向过滤QQ程序,因此在“此程序路径”处通过“浏览”按钮找到QQ程序,然后点“下一步”按钮继续。
&picid=249479.jpg) |
| (点击看大图) |
第五步:在接下来的设置“连接方式”时我们选择“阻止连接”,因为我们要实现过滤QQ,禁止QQ程序传输任何数据包到外部网络。点“下一步”按钮继续。
&picid=249481.jpg) |
| (点击看大图) |
第六步:选择“何时应用该规则”,我们根据实际需求设置即可,一般有三种网络类型提供给我们,分别为“域网络”,“专用网络”和“公用网络”,这些网络类型都是要在防火墙的简单模式中进行设置的,方法在以前的文章中已经为各位介绍过,这里就不详细说明了。
&picid=249483.jpg) |
| (点击看大图) |
第七步:最后为我们添加的这个过滤规则起一个名字,例如笔者填写的是“阻止QQ”。
&picid=249485.jpg) |
| (点击看大图) |
第八步:添加完毕后阻止QQ的规则显示在“出站规则”列表中,我们可以看到一个禁止图标。
&picid=249487.jpg) |
| (点击看大图) |
第九步:这时我们再次登录QQ程序,就会出现“连接服务器超时,请检查网络”的提示,而同一时间登录MSN则没有任何问题。
&picid=249490.jpg) |
| (点击看大图) |
第十步:在VISTA防火墙高级模式中将此规则删除后我们的QQ程序又恢复正常登录状态了。
&picid=249493.jpg) |
| (点击看大图) |
三、从传出方向入手禁止MSN程序登录:
如果我们要禁止MSN程序登录的话只需要在选择程序路径处通过“浏览”按钮找到MSN程序的路径即可。
&picid=249495.jpg) |
| (点击看大图) |
按照上面的步骤添加禁止MSN程序登录规则到高级模式的出站规则列表。
&picid=249497.jpg) |
| (点击看大图) |
这样在同一时间我们就不能够登录MSN了,出现的是“抱歉,您现在无法登录到MSN Messenger,请稍后再试,如需我们帮助解决问题,请单击“疑难解答”按钮。”与此同时的QQ程序却因为没有添加阻止规则而顺利等录。
&picid=249499.jpg) |
| (点击看大图) |
小提示:
要对IE浏览器进行规则设置的话,只需要在设置“此程序路径”时选择IE对应路径中的iexplore.exe文件。
&picid=249501.jpg) |
| (点击看大图) |
四、巧设置将病毒危害降到最低:
实际上在VISTA防火墙制订出站规则最大的好处就是可以减少非法程序对网络出方向的访问,以及降低向外传播危害问题的发生。例如假设我们只希望自己的系统中IE浏览器,MSN和QQ程序可以访问网络,而其他程序都禁止访问网络的话,则可以在防火墙高级模式的出站规则中添加容许IE,MSN,QQ三个程序访问网络的规则,并且还需要添加禁止其他程序访问网络的规则。
这样本机的其他网络程序都将无法访问网络,因此非法程序和流氓软件,以及躲在隐蔽角落的病毒也无法实现网络传播功能,一旦他们要访问外部网络则会被防火墙过滤规则禁止掉,从而将病毒危害降到最低。
&picid=249503.jpg) |
| (点击看大图) |
按照上图设置的规则后我们就只能够用IE浏览器访问网页,用QQ和MSN程序和朋友聊天,而其他程序例如Flashget等工具的流量将停滞在零。
&picid=249505.jpg) |
| (点击看大图) |
五、总 结:
不管怎么说VISTA防火墙这种双向过滤的功能确实可以帮助那些具备一定网络技术基础的读者更加轻松方便的管理系统安全,将未知程序对网络的访问全面禁止,阻止流行病毒与恶意程序对网络和本机的危害。
