在本文中，我将详细说明 Windows Vista® 防火墙中专为简化企业管理而设计的一些功能，并针对如何利用这些功能来简化任务和确保用户安全提供一些建议。

随着近期 Windows Vista SP1 的发布，您可能预料企业也将随之部署 Windows Vista。（通常企业会等待第一个 Service Pack 发布之后，再迁移到新的操作系统。）如果您是一位要针对企业环境认真了解 Windows Vista 的 IT 专业人员，就应该好好研究一下防火墙。了解 Windows Vista 防火墙的功能之后，您可能会重新协商第三方安全套件的协议以从软件包中删除防火墙。

虽然最初的 Windows® XP 版本中的防火墙有很多需要改善的地方，但足以应付当时基于商务主机的防火墙的安全性功能需求，所以并未进行任何新增或创新。

然而到了 Windows XP SP2，防火墙就已经全面改观了，此时的防火墙专门针对简化企业管理而设计。Windows XP SP2 防火墙是一种反入侵的轻型高效防火墙，并可进行集中管理，因此相当吸引人。不过最吸引人的可能还是：Windows XP SP2 防火墙能够在启动时保护系统。

最后这一点非常关键。过去我见过许多系统在启动时中毒，即使已经打开防火墙也无法幸免。实际上，在 Blaster（冲击波）病毒传播的高峰期，攻击率高达每四分钟一次。换句话说，如果将一台未采取保护措施的计算机暴露在 Internet 中，那么平均每隔四分钟该计算机就会被感染一次。如果您所依赖的防火墙未能在启动时保护系统，那么重新启动时，每 12 个系统中就会有一个被感染。面对这么严峻的形势，Microsoft 推出了可确保在启动时保护系统的 Windows XP SP2 防火墙。

到了 Windows Vista，防火墙又进行了一次全面革新。从管理角度来看，最明显的改变是将 Internet 协议安全 (IPsec) 和防火墙的管理界面合而为一。这是一项颇具逻辑性的更改。IPsec 和防火墙的用途都是将不允许的内容阻止在外。二者的区别在于，防火墙中负责定义允许内容的参数不够严密，而通过 IPsec 阻止或允许大量地址空间也相当麻烦。

将两种功能放在同一个管理界面中之后，管理员就可以无缝地使用这两种技术，而无需考虑某个部分是需要应用 IPsec 规则，还是应该应用防火墙筛选器。也就是说，您只有一个系统网络攻击面视图，这可以将犯错的风险降到最低。

Windows Vista SP1 在防火墙功能中添加了一些可靠性增强功能，同时也为 IPsec 添加了一些新算法，特别是 Suite B 算法。这是一组与加密相关的算法，包括高级加密系统 (AES)、椭圆曲线密码 (ECC) 以及安全哈希算法 (SHA) 256 和 384。

但最重要的是，Service Pack 1 添加了对网络访问保护 (NAP) 的支持。NAP 是一种策略实施工具，它可以在托管客户端和尚未泄露的客户端获准连接网络之前，利用最新的安全策略、更新和反恶意软件定义确保它们保持最新状态。虽然 NAP 无法阻止恶意主机连接到网络，但只要所有托管主机没有被主动泄露，就可以确保它们完全受到保护。

Windows Server® 2008 也采用了 Windows Vista 防火墙，即称为具有高级安全性的 Windows 防火墙。所有功能都可以实现远程管理，而且可以使用组策略进行跨网络配置。

在管理界面中合并防火墙和 IPsec 功能意味着现在有两种不同类型的规则：定向规则和连接规则。定向规则是标准的防火墙规则，用于定义允许哪些流量通往适当的方向。连接规则用于为计算机之间的连接定义保护参数。如果要画出相似关系图的话，方向规则有点类似您所熟悉的旧版防火墙规则，而连接规则比较类似与 Windows XP SP2 防火墙一起使用的 IPsec 规则。

将防火墙和 IPsec 合并到同一界面后，发生了许多有趣的情况。例如，将网络上的系统彼此隔离是目前最有用的安全性观念之一。Microsoft 称之为“服务器和域隔离”。

服务器和域隔离同时使用 IPsec 和防火墙功能。认识到这一点后，新的防火墙管理界面中即包含了针对隔离规则的特定功能。如果您希望根据源系统或目标系统的属性（如域成员身份）限制连接，则这些规则会很适用。

如图 1 所示，“新建连接安全规则向导”首先询问要创建的规则类型。如果选择“隔离”，向导会预先配置适合隔离规则的特定设置。

您可能会发现图 1 中的隔离规则涉及到了运行状态。服务器和域隔离所用的规则实际上与您在 NAP 中使用的规则相同。

对于某些类型的流量，您无法强制执行身份验证。例如，您可能不希望对 DNS 解析进行身份验证。对于此类流量的端点，您需要一个身份验证例外规则。顾名思义，身份验证例外规则可让流量免受 IPsec 要求的限制。

服务器到服务器规则就有点名不符实了。此规则虽然较常用于服务器，但也适用于客户端。服务器到服务器规则只配置一个要求身份验证的连接。这与隔离规则不同，因为隔离规则不仅要求身份验证，还需要满足一些额外的条件，如域成员身份或运行状态。

隧道规则主要定义网关之间的站点对站点虚拟专用网络 (VPN) 和隧道。隧道规则很少与 Windows Vista 一起使用，因为您不可能在网关容量中使用 Windows Vista。您可以创建完全自定义的规则，从而自定义规则的各个参数。