双向保护 Vista防火墙迷途知返

    XP防火墙最大的问题是单向保护，即只能对进入计算机的数据进行拦截审查，而在Vista中防火墙已经可以实现通信的双向控制了，也就是说你不仅可以控制连入电脑的访问，也可以控制流出的数据，这在很多第三方的防火墙中都是可以实现的，它的好处也是很显而易见的。

    大多数木马或间谍一旦通过某种欺骗手段侵入系统后，肯定会和外部连接，这样如果我们设置了合适的规则，就可以阻挡木马或间谍软件外向的链接，例如可以阻挡数据发给病毒常用的特定端口。

    从系统和维护－管理工具中打开高级Windows安全防火墙设置。

图4 高级Windows安全防火墙

    我们可以看到，在这儿可以设置入站以及出站规则，出站规则明确允许或者明确拒绝来自与规则条件匹配的计算机的通信。例如，可以将规则配置为明确阻止出站通信通过防火墙到达某一台计算机，但允许同样的通信到达其他计算机。默认情况下允许出站通信，因此必须创建出站规则来阻止通信。

图5 设置出站规则

    当然也有朋友表示，我们真的需要对流出的数据进行监控么？一旦木马或间谍软件已经驻留在我们的系统中，它就已经具有了系统管理员的权限，当然可以把自己外出权限打开，而且现在的木马或间谍软件大都采用了保护外壳，很具有欺骗性，很容易让用户认为这是一个合法的外出连接，而实质上当有数据流出的时候弹出的窗口，有多少人认真看呢？

    不过，不管怎么样，Vista中提供了双向保护的确是一种进步，因为毕竟给了用户一种选择的权力。