了解高级安全设置

    进入控制面板－系统和维护－管理工具，我们可以双击打开“高级安全Windows防火墙”，也可以直接输入“wf.msc”命令，回车打开。除了上文提到的双向控制外，Windows防火墙高级特性还比较多，限于篇幅，在此笔者只简单的介绍一下各个特性，详细设置请大家自己去研究了。

    1、Vista防火墙集成IPSec确保通信安全

    IPSec是一系列为IP通信提供加密保护的Internet标准，在Windows XP和2003中，防火墙和IPSec是分开单独设置的，不过由于基于主机的防火墙和IPSec都可以阻止或允许入站的通信数据，因此在以前防火墙设置和IPSec设置有可能造成设置的重复或者相反的现象。

    新的Vista防火墙把这两部分设置整合到一起，你可以使用同一个图形界面来配置它们，也可以通过命令行方式来配置它们。把防火墙和IPSec整合在一起的好处还有一个，就是使得IPSec的配置非常简单了。

图10 整合IPSec设置

    通过使用密钥交换、身份验证、数据完整性和数据加密等来实现供计算机到计算机的连接安全。使您可以对通信要求身份验证和数据保护，可以请求或要求计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或数据加密。

图11 设置身份验证方法

    2、多个配置文件满足不同需要

    通过Vista防火墙的高级安全设置，你可以为你创建的安全规则选择不同的配置文件，这样在不同的情况可以自动启用或禁用该安全规则。这对使用移动笔记本的用户来说是一个非常好的功能。例如，当你使用无线网络连接到一些热点网络（例如在机场或咖啡馆）的时候，更高安全性的安全规则就会被启用。而在局域网内的时候，可以选择一个安全性稍低的防火墙配置文件。在Vista防火墙中有三个配置文件，分别是域配置文件、专用配置文件和公用配置文件。

图12 三种配置文件

    当计算机连接到其域帐户所在的网络时，应用域配置文件；当计算机连接到不存在其域帐户的网络时，应用专用配置文件，专用配置文件设置一般应该比域配置文件设置更为严格；当计算机通过公用网络（如机场和咖啡店中的可用网络）连接到域时应用公用配置文件，公用配置文件设置应该最为严格。

    规则被创建后，也可以根据需要调整这些设置，在入站规则和出站规则节点的“防火墙规则属性”对话框中更改配置文件。

    3、详细的日志文件

    可将具有高级安全性的 Windows 防火墙配置为记录表明进程成功和失败的事件。日志记录设置包括两组设置：日志文件自身的设置和确定文件将记录哪些事件的设置。

图13 日志记录设置

    您可以指定创建日志文件（或可以使用现有文件）的位置、文件可以增长到多大，以及是否希望日志文件记录有关丢弃的数据包、成功的连接（或两者）的信息。

    记录丢弃的数据包，使用此选项记录具有高级安全性的 Windows 防火墙由于任何原因丢弃入站数据包的时间。日志将详细说明丢弃数据包的原因和时间。

    记录成功的连接，使用此选项记录具有高级安全性的 Windows 防火墙允许入站连接的时间。日志将详细说明形成连接的原因和时间。

    另外，总体来说高级安全Windows防火墙从功能上来说已经具备了以前在专业级别的防火墙软件中才能见到的功能，如果再配合使用组策略的话，其功能就更显强大了。