【IT168 专稿】微软一直在鼓吹Windows Vista提供的安全性远超于它的前任操作系统Windows XP，其中论据之一就是，Vista提供了一个全新的Windows防火墙，具有新的双向过滤的功能，不再是仅仅对入站数据进行过滤。

    一、双向了 Vista防火墙看上去很美
    Windows防火墙的安全保护功能中存在的缺陷曾经一直让连接在互联网上的计算机处于危险之中。XP中的防火墙提供了对进站数据的过滤，但是却不提供出站保护。某些恶意软件可以悄无声息的从内部与黑客建立连接，从而让他们控制这台计算机。

    在某些情况下，被控制的机器可以被用作成为黑客攻击用的“僵尸（zombie）”，不经用户许可就可以悄无声息的向被攻击的对象发动大量的垃圾信息。

    而微软在防火墙方面的其他竞争对手，诸如ZoneAlarm、Norton个人防火墙和McAfee网络安全特警等产品，都提供了用户可以配置的外出数据保护功能，通常也叫做外出过滤功能。当微软在Vista中重新修订了其系统自带的防火墙的时候，增加了对出站数据过滤的功能。

    Vista防火墙的双向化一下子点燃了我们对新系统防火墙的热情，但是如果你真正实际的来用这个防火墙的时候，你所得到却只有失望。

    经过笔者试用后看来，Vista中的新防火墙所能提供的外出数据保护功能非常有限，人们并不能用它来很轻松的配置外出保护功能，以防御来自间谍软件、木马和其他恶意软件的攻击。

    二、用一下 知道它华而不实
    在默认情况下，在Windows Vista中的大多数外出过滤功能是被关闭的。此外，目前还没有比较方便的途径来使用外出过滤功能来阻挡所有不想要的外出连接。

    通常情况下，打开Windows Vista防火墙配置的窗口，如下，选择控制面板－安全－打开或关闭Windows防火墙。你将看到如下图的配置界面。

图1、Windows防火墙配置

    正如你所能看到的，没有一个方式来配置外出过滤功能，你只能对进站过滤功能启用或关闭，通过这儿的不同标签里的功能，你只可以配置进站过滤如何工作。

    为了配置出站过滤功能，你不得不使用微软的管理控制台，使用高级安全Windows防火墙功能，或者通过在搜索框中或命令提示行中输入“wf.msc”，然后按下回车键。配置界面如下。

图2、高级安全Windows防火墙

    如果你仔细观察在概述窗口中的不同配置文件，你会发现对每一个配置文件，有一个“允许与规则不同不匹配的出站连接”。

    但是默认情况下，在Windows防火墙中的每一个规则都允许出站连接。点击屏幕左侧窗口中的出站规则图标，你将看到所有出站规则。从下图你可以看到，每一个规则都允许出站连接。没有阻挡的连接。

图3、出站规则

    更糟糕的是，对于每个人或IT职员来说，没有一个方式可以让他们通过出站连接过滤功能创建一个通用的规则来阻挡恶意软件。你只能创建一个规则来阻挡一个恶意软件。这是一个极端困难任务，要求你了解这个恶意软件的大量信息，包括它在你的计算机上的位置，使用的外出连接的端口等等。

    为了从出站连接中阻止所有恶意软件，你将不得不了解目前存在的数千种恶意软件的这些信息，然后来针对它们逐一设置每一个规则。但是即使这样，你的计算机也有可能得不到全面保护，因为你不会知道还没有被检测到的恶意软件的这些信息。

    简而言之，从实际效果来看，Vista防火墙的出站数据过滤功能是一个不可能完成的任务。

    而市面上其他竞争对手的防火墙通常使用内置的智能功能来允许特定的程序可以发起外出的连接，这样当其他程序发起连接的时候就会弹出警告。并会给用户提供该程序的名称和可执行程序位置，并给出一个推荐建议来决定这个程序是否被允许外出连接。你可以选择暂时或永久阻止和允许该程序发起外向连接。

    三、听一下 微软打的什么算盘
    微软声称Vsita中的防火墙默认也执行一些出战的过滤，但是这些工作对用户来说是不可见的。微软的高级产品经理Jason.LezzLeznek表示，Vsita防火墙的出战规则“对于Windows加固服务器中的一些核心Windows服务是默认启用的，这使Windows防火墙可以知道哪些行为是Windows服务的特定行为，假若他们发生未知的举动，就阻止它们，例如一个被利用的安全缺陷。Windows Firewall还通过阻挡特定的外出信息来保护计算机，以帮助计算机防御特定端口扫描攻击。”

    也就是说，微软认为Vista的防火墙可以阻挡某些恶意软件。但是Leznek承认它不能阻挡所有恶意软件，在Vista中，有一个比出站过滤能功能还更有效的阻挡恶意软件的一个办法，也就是Windows Defender，微软认为Defende可以用来阻挡恶意软件。

    这很好的验证了Vista产品经理Greg Sullivan的说法，他曾经表示，我们认为出站过滤功能是一个
高付出低回报的功能，对我们、合作伙伴和大多数厂商来说，它所产生的支持压力将带来非常高的成本，但是却没有什么收益。

    但是微软还有一个单独的方式来实现出站保护。Leznek曾表示，为了满足用户对出站过滤功能的需要，微软有产品和付费服务来支持这个功能，也就是Windows Live One  Care，目前的收费是每年49.95美元，它将出站过滤功能作为一个服务，这可能是一个具有吸引力的功能。

    因此，及时在Windows防火墙中的双向过滤功能不能被广泛的使用，你可以通过购买微软的附加产品来得到更好用的双向过滤功能。

    当然这意味着，如果你是一个Windows Vista用户，并且想得到一个可以配置的双向过滤功能，你需要或者购买OneCare Live，或者其他可以很好的支持进站、出站功能的安全防火墙。不过你要记得，要确认你购买的产品可以兼容Widnows Vista，因为目前来说，并不是所有的防火墙都支持Vista的。