双向过滤：没人敢说不专业

　　技术点评：Vista防火墙引入的双模式是针对不同用户群的，其中简单模式是方便普通用户使用和配置防火墙的，而高级模式则是给那些对安全要求比较高或者对网络访问流量要求比较苛刻，需要自己定义详细规则的用户。在高级模式下用户可以对防火墙的具体规则进行详细的设置。例如针对某个程序，某个端口以及某个IP地址段进行规则设置。高级模式是Vista防火墙的精华所在，它已具备第三方专业防火墙软件应有的功能。 二、双向过滤：没人敢说不专业

　　除了上面提到的双模式特色外，在Vista系统防火墙中还首次引入了双向过滤的功能。这也是专业级防火墙的基本特征。 这种双向过滤功能只存在于高级模式中，要设置双向过滤首先要进入Vista防火墙的高级模式。在高级模式中我们会看到对应的“出站规则”和“入站规则”选项，其中“入站”是针对外界到本机的数据包进行的过滤规则，而“出站”则是针对本机到外界的数据包进行过滤规则。“出站”方向的过滤在以往的Windows防火墙中是没有的(见图3)。我们还可以像设置“入站规则”一样针对某个程序、某个端口以及某个IP地址段在“出站”规则方面进行设置。

　　小提示：所谓入站和出站都是针对网络数据流向而言的，入站就是网络数据包从外界传输到本机系统的方向，相应的出站就是网络数据包从系统向外部网络传输的方向。

　　要知道在以往的系统防火墙中，不管是ICF还是XP SP2的防火墙甚至是Windows Server 2003的防火墙都是基于单方向过滤规则进行设置的，所谓单方向就是指防火墙只能够对从外界到本机的数据包进行过滤，而无法对从本机发送到外界的数据包添加任何过滤规则。

　　这种单向过滤的特点使得一旦本机系统因为某种原因感染病毒或木马，那么系统防火墙将对这些发自于系统内部的非法连接和非法传播没有任何办法。特别是当系统感染蠕虫病毒后,会发送很多个会话连接进行传播时，单向防火墙将对这种从内到外的数据视而不见，最终造成防火墙在“内鬼”面前形同虚设。所以说这种单向过滤的特点造成了以前版本的防火墙无法得到用户认同，无法保证系统的真正安全，很多用户都无奈地选择安装另外一款防火墙来抵御攻击。

　　不过这种问题在Vista防火墙高级模式中的双向过滤功能下迎刃而解，我们可以禁止非法程序“出站”访问，这样即使本机即使感染了病毒也能够将病毒对本机和网络的危害降到最低。

　　技术点评：Vista防火墙的双向过滤功能实际上相当于将其传统防火墙的功能提高了一倍，在安全防范和抵御病毒入侵方面表现得更加出众，正是因为这种双向过滤使得Vista防火墙成为了真正的专业防火墙。

上一页  [1] [2] [3] [4] 下一页