到了XP SP2發布后這個ICF就名正言順地成為了Windows Firewall，在使用上也有了明顯的改進，設置上更加圖形化，對進入系統的數據提供了攔截審查的功能。而接下來的Windows Server2003系統中同樣提供了內置防火墻功能，在使用和效果上和XP SP2一樣。不過這種防火墻只能夠對進入系統的數據進行過濾，在防護效果上略顯不足。因此，實際使用中，大部分用戶依然需要安裝其他工具來加強安全防范效果。

　　然而，以上安全問題都隨著Vista的誕生而解決。那么，Vista系統中的內置防火墻在功能和安全效果上又有哪些改進呢?首先Vista系統防火墻提供了兩種模式以及雙向過濾，并在應用規則和應用策略上有了比較明顯的改進。可以絲毫不夸張地說，在某種程度上用戶已經可以不用安裝任何第三方防火墻工具而僅僅使用Vista系統內置的防火墻來實現安全防范功能了。

　　一、雙模式：初、高級用戶通吃

　　在Vista防火墻中提供了兩種設置模式，依次為簡單模式和高級模式。這適合兩種不同類型的用戶。

　　1.簡單模式

　　Vista防火墻在簡單模式下和Windows XP SP2的防火墻沒有什么區別，這種模式適合初級用戶使用的，通過Vista防火墻的簡單模式可以在操作者沒有任何安全技術知識的情況下實現對系統的有效保護。

　　防火墻簡單模式的打開是通過Vista系統中“控制面板”來實現的，進入“控制面板”選擇“安全”選項。接下來在“安全”設置窗口中點“Windows防火墻”(見圖1)。這樣我們就啟動了Vista系統防火墻的簡

　　單模式。開啟關閉以及添加簡單過濾規則的方法和XP SP2中的防火墻一樣。

　　2.高級模式

　　在簡單模式中我們還看不出Vista防火墻的強大，而在高級模式下，它能設置的過濾規則防范手段不輸于任何第三方防火墻軟件。

　　進入Vista防火墻高級模式的方法很多，筆者介紹常用的一種。進入Vista系統桌面，通過“開始”菜單運行gpedit.msc進入到Vista系統的組策略設置窗口。我們依次打開“本地計算機策略→計算機配置→Windows設置→安全設置→高級安全Windows防火墻→高級安全Windows防火墻→本地組策略對象”。這里就是Vista防火墻的高級模式配置界面了(見圖2)。在高級模式中我們可以隨意定義防火墻的過濾規則。

　　小提示：在Vista中進入系統關鍵組件需要通過UAC認證，所以在訪問防火墻高級模式時也需要系統管理員允許操作者通過UAC驗證。所謂UAC驗證就是在Vista系統中添加的針對安全的功能，當進行一些修改系統參數的操作時,Vista會提示輸入具備管理員權限的賬號和密碼進行UAC驗證，通過認證才能繼續進行修改設置等操作。

　　雙向過濾：沒人敢說不專業

　　技術點評：Vista防火墻引入的雙模式是針對不同用戶群的，其中簡單模式是方便普通用戶使用和配置防火墻的，而高級模式則是給那些對安全要求比較高或者對網絡訪問流量要求比較苛刻，需要自己定義詳細規則的用戶。在高級模式下用戶可以對防火墻的具體規則進行詳細的設置。例如針對某個程序，某個端口以及某個IP地址段進行規則設置。高級模式是Vista防火墻的精華所在，它已具備第三方專業防火墻軟件應有的功能。 二、雙向過濾：沒人敢說不專業

　　除了上面提到的雙模式特色外，在Vista系統防火墻中還首次引入了雙向過濾的功能。這也是專業級防火墻的基本特征。 這種雙向過濾功能只存在于高級模式中，要設置雙向過濾首先要進入Vista防火墻的高級模式。在高級模式中我們會看到對應的“出站規則”和“入站規則”選項，其中“入站”是針對外界到本機的數據包進行的過濾規則，而“出站”則是針對本機到外界的數據包進行過濾規則。“出站”方向的過濾在以往的Windows防火墻中是沒有的(見圖3)。我們還可以像設置“入站規則”一樣針對某個程序、某個端口以及某個IP地址段在“出站”規則方面進行設置。

　　小提示：所謂入站和出站都是針對網絡數據流向而言的，入站就是網絡數據包從外界傳輸到本機系統的方向，相應的出站就是網絡數據包從系統向外部網絡傳輸的方向。

　　要知道在以往的系統防火墻中，不管是ICF還是XP SP2的防火墻甚至是Windows Server 2003的防火墻都是基于單方向過濾規則進行設置的，所謂單方向就是指防火墻只能夠對從外界到本機的數據包進行過濾，而無法對從本機發送到外界的數據包添加任何過濾規則。

　　這種單向過濾的特點使得一旦本機系統因為某種原因感染病毒或木馬，那么系統防火墻將對這些發自于系統內部的非法連接和非法傳播沒有任何辦法。特別是當系統感染蠕蟲病毒后,會發送很多個會話連接進行傳播時，單向防火墻將對這種從內到外的數據視而不見，最終造成防火墻在“內鬼”面前形同虛設。所以說這種單向過濾的特點造成了以前版本的防火墻無法得到用戶認同，無法保證系統的真正安全，很多用戶都無奈地選擇安裝另外一款防火墻來抵御攻擊。

　　不過這種問題在Vista防火墻高級模式中的雙向過濾功能下迎刃而解，我們可以禁止非法程序“出站”訪問，這樣即使本機即使感染了病毒也能夠將病毒對本機和網絡的危害降到最低。

　　技術點評：Vista防火墻的雙向過濾功能實際上相當于將其傳統防火墻的功能提高了一倍，在安全防范和抵御病毒入侵方面表現得更加出眾，正是因為這種雙向過濾使得Vista防火墻成為了真正的專業防火墻。

三、多場合功能：將專業功能智能化

　　除了雙模式和雙向過濾功能外，Vista防火墻還提出了“防火墻應用的多場合”概念。這個功能大大提高了Vista防火墻的智能化，可以在不同場合幫助用戶應用不同級別的過濾規則。所有規則切換都是自動完成的。這種“防火墻應用的多場合”概念同樣需要我們到“高級模式”中進行設置才能體現。

　　1.安全協議連接與非安全協議連接規則的自動切換

　　在高級模式設置規則中我們會看到在“連接符合指定條件時應該進行什么操作”設置時可以選擇該規則應用的場合。例如當網絡使用IPSEC等安全的協議連接時，可以設置為對這些程序如何操作或者不管什么情況都阻止該程序的數據通過防火墻，也可以設置“容許連接”讓這些程序可以順利通過防火墻的過濾。這樣我們就可以實現基于安全協議與非安全協議連接網絡時應用不同過濾規則的功能了。

　　小提示：所謂IPSEC安全協議連接是指通過專門的IPSEC協議或者基于IPSEC的VPN加密傳輸機制來實現網絡數據包的加密傳輸，通過IPSEC安全協議加密過的網絡連接更加安全，可以讓我們更放心大膽地使用網絡。

　　2.不同網絡狀態規則的自動切換

　　在高級模式設置規則中我們會看到在“何時應用該規則”時有多個網絡環境提供給我們選擇，依次是域網絡、專用網絡和公用網絡。這三種網絡環境的共享標準是不同的，需要我們單獨設置。而在防火墻中也可以讓我們實現在不同網絡環境下的規則自動切換功能，總之通過此功能可以將一道防火墻當三道來用，每種網絡環境有各自的安全規則。

　　傳統的防火墻無法對不同的網絡環境與連接類型采用進行規則的單獨設置，這就造成了用戶使用的筆記本電腦在家中訪問公網和單位訪問私網采用的過濾規則相同的問題，在單位設置好過濾規則后回到家中卻忘記了修改設置，從而造成在公網訪問下容易被病毒等惡意程序入侵的問題。

　　Vista防火墻這種對不同網絡環境和連接類型可以自動采用不同規則的功能更加人性化，可以使用戶的筆記本電腦從單位回到家中訪問公網時實現規則的自動切換，將原本應用于單位私網訪問的安全規則更換為應用于家中公網訪問的安全規則。

　　技術點評：不同場合自動切換不同規則是Vista防火墻的一大特點，所有更換過濾規則的操作都是在用戶沒有干預的情況下自動完成的，從而提高了系統的安全性，免去了用戶頻繁修改防火墻設置的繁瑣工作。

　　四、專家總結

　　從本文中我們可以看出Vista防火墻在功能和設置上和以往Windows系統的防火墻有很大差別的。兩種模式的引入方便了用戶設置;雙向過濾功能的引入讓系統防火墻以一敵二;多場合自動切換過濾規則的功能又讓我們的防火墻可以以一當三，從某種意義上我們不得不佩服微軟的技術，通過幾項改進讓原本無法擔當重任的系統防火墻瞬間成為了安全防護的衛士，如今的Vista防火墻名正言順的變成了“銅墻鐵壁”。