[技巧] 激发潜能 逼出Vista防火墙无限能量

mimisky

　Vista系统吸人眼球的地方有很多，它的超强安全功能就是其中的一项，而很多时候Vista系统超强的安全功能往往是通过系统自带防火墙来体现出来的。这不，平时看上去平淡无华的Vista系统防火墙，其实隐藏着无限的潜能，我们只要善于深入挖掘，就能让Vista系统防火墙为我们的上网冲浪以及网络管理提供全方位的安全防护。
　　1、为网络打印提供保护

　　在默认状态下，Vista系统内置防火墙不会自动运行，即使它处于启用运行状态，也不会自动对局域网中的网络打印机提供安全保护。可是在实际工作中，很多单位常常都有保护网络打印机使用安全的需求，这是因为一些不自觉的单位员工往往会利用下班或放假休息的时间偷偷使用单位的网络打印机打印与工作无关的材料，最终造成单位的打印成本不断攀高。为了有效控制单位的打印成本，我们可以利用Vista系统内置防火墙来保护网络打印机，让单位员工无法在下班或放假休息的时间偷偷使用网络打印机;例如，到了下班或休息的时间时，我们只要按照如下步骤修改一下Vista系统内置防火墙参数，就能让Vista防火墙自动拒绝任何员工的网络打印请求了：

　　首先以系统管理员身份登录进入网络打印机所在的Vista计算机系统，依次单击“开始”/“设置”/“控制面板”命令，在弹出的Vista系统控制面板窗口中，逐一点击“安全”、“Windows防火墙”功能图标，在其后窗口中我们就能清楚地看到此时此刻Windows防火墙是否处于运行状态了;

　　一旦发现Vista系统内置防火墙还没有启用时，我们可以单击对应窗口中的“启用或关闭Windows防火墙”选项，之后单击“更改设置”链接，当屏幕上弹出用户账户控制提示信息时，单击对应提示窗口中的“继续”按钮，进入Windows防火墙基本配置界面;

　　单击该基本配置界面中的“例外”标签，打开如图1所示的标签页面，检查“文件和打印机共享”选项有没有被选中，如果发现该选项已经被选中时，我们必须及时取消它的选中状态，再单击“确定”按钮保存好上述设置操作，如此一来任何访问网络打印机的请求，都会被Vista系统自带防火墙自动拒绝掉。日后，要想让用户重新访问网络打印机时，我们只要再次进入如图1所示的配置界面，重新选中“文件和打印机共享”选项就可以了。




　　　2、为网络故障解除制约
　　为了有效保护系统安全，我们有时会对Vista系统内置防火墙进行一些非常复杂的安全设置，以便期望这些安全设置能给系统提供多层安全保护。可是，设置了复杂的防火墙参数后，Vista系统有时发生了稀奇古怪的网络故障，在排除了各种可能因素后，网络故障始终不能被有效解决。遇到这种情况时，多半是复杂的防火墙参数设置制约了Vista系统正常上网;在找不到具体的设置因素时，我们可以尝试按照如下步骤来将

　　Vista系统内置防火墙参数快速恢复到默认状态，以便为网络故障解除安全制约：

　　首先打开Vista系统的“开始”菜单，从中依次点选“设置”、“控制面板”、“安全”、“Windows防火墙”选项，打开Windows防火墙控制窗口;

　　其次单击该控制窗口中的“更改设置”链接，进入Windows防火墙基本配置界面;单击该基本配置界面中的“高级”标签，打开Windows防火墙的高级标签页面，在该标签页面中单击“还原为默认值”按钮，如此一来Windows防火墙的各项设置参数全部被快速恢复到原始状态了，此时Vista系统的上网连接限制也就能取消了，这样的话网络故障说不定也就能立即消除了。

　　当然，要是我们对DOS命令比较熟悉时，也可以在MS-DOS工作窗口中快速将Vista系统防火墙的所有参数全部恢复成默认设置。我们只要先打开Vista系统的“开始”菜单，选中“程序”/“附件”下面的“命令提示符”菜单选项，并用鼠标右键单击该选项，再点选右键菜单中的“以管理员身份运行”命令，进入Vista系统的MS-DOS命令行工作窗口;在该窗口的DOS提示符下输入字符串命令“netsh firewall reset”，单击回车键后，如果屏幕上返回如图2所示的结果信息时，那么Vista系统防火墙的参数设置就被恢复到原始状态了。



   


　　  3、为Ping攻击做挡箭牌
　　每次遇到网络故障的时候，用户总会下意识地使用Ping命令测试物理线路的连通性，目标主机接受到Ping命令测试请求后，也会消耗一定的系统资源来回复测试请求。在某一个时刻，要是目标主机同时收到了若干个Ping命令测试请求时，它就需要消耗更多的系统资源来进行回复，到达某一个程度之后，目标主机的宝贵资源可能完全被消耗掉，这样一来目标主机的运行状态就会受到Ping命令的影响，严重时还可能发生瘫痪现象。实际上，很多木马或黑客程序就喜欢通过Ping命令攻击方式来破坏局域网重要主机的运行状态;为了避免安装了Vista系统的重要主机遭遇Ping命令攻击，我们可以利用Vista系统自带的高级防火墙，来为Ping命令攻击做挡箭牌，以便让目标重要主机对Ping命令测试请求不进行应答回复，下面就是具体的设置步骤：


    首先以系统管理员权限登录进入安装了Vista系统的重要主机中，打开该系统的“开始”菜单，从中依次点选“设置”、“控制面板”选项，进入Vista系统的控制面板窗口，从该窗口中逐一点选“系统和维护”、“管理工具”选项，打开Vista系统的管理工具显示界面;

　　其次用鼠标双击该显示界面中的“高级安全Windows防火墙”图标，当屏幕上出现用户帐户控制提示信息时，单击对应提示界面中的“继续”按钮，打开Vista主机系统的Windows防火墙高级设置窗口;

　　单击Windows防火墙高级设置窗口左侧子窗格中的“入站规则”选项，同时用鼠标右键单击该选项，再执行右键菜单中的“新规则”命令，在其后出现的创建新规则向导设置界面中，选中其中的“自定义”选项，再单击“下一步”按钮;

　　之后按照向导提示依次选中“所有程序”、“ICMPv4”选项，再单击“下一步”按钮，打开如图3所示的设置窗口，该设置窗口会询问我们究竟要选择什么样的连接条件，在这里我们必须选中“阻止连接”项目，并且要指定好应用这个新安全规则的具体场合，最后还需要为这个新安全规则设置一个合适的名称;

   
   
    在确认上面的各项参数都设置正确后，重新启动一下Vista主机系统，如此一来这台Vista主机系统就多了一道Ping命令攻击挡箭牌了，日后所有尝试对该主机进行的Ping命令测试请求都会被挡箭牌拒绝，那么Vista主机系统的资源也不会被Ping命令测试消耗殆尽了。
　　　4、对恶意攻击进行监控
　　很多时候，一些网络病毒或木马常常会对重要主机偷偷进行恶意攻击，由于这种攻击行为多是在系统后台进行，网络管理员很难在第一时间觉察到它;为了能够在第一时间知道恶意攻击行为，网络管理员不得已都在重要主机中安装了专业的杀毒程序或防火墙软件，可是在不少场合下，网络管理员并不会随身携带专业的杀毒程序或防火墙软件，其实在关键时候Vista系统自带的防火墙功能也可以对恶意攻击进行监控、记录。下面，我们就在Vista系统环境下，通过启用其自带的防火墙记录功能，来让Vista防火墙为我们提供监控服务，任何尝试暗中攻击Vista系统的行为都会被Vista防火墙监控并记录下来，到时我们只要仔细分析对应的日志记录，就能将潜藏在本地系统的安全攻击全部挖掘出来了：

　　首先以系统管理员权限登录进入安装了Vista系统的重要主机中，打开该系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，进入Vista系统主机的组策略编辑窗口;

　　其次单击组策略编辑窗口左侧子窗格中的“计算机配置”分支选项，并用鼠标依次展开该分支选项下面的“管理模板”/“Windows组件”/“Windows Defender”选项，在对应“Windows Defender”选项的右侧子窗格中找到“启用记录已知的正确检测”选项，再用鼠标双击该选项，打开对应选项的组策略属性设置对话框，选中其中的“已启用”选项，再单击“确定”按钮保存好设置操作，那样一来Vista防火墙日后就可以自动对已知文件进行监控记录了;

　　按照同样的操作步骤，我们再在对应“Windows Defender”选项的右侧子窗格中找到“启用记录未知检测”选项，并用鼠标双击该选项，在其后出现的组策略属性设置对话框中，也选中“已启用”选项，最后单击“确定”按钮，那样一来Vista防火墙日后也会自动对未知文件进行监控记录。以后，我们只要定期地打开Vista防火墙对应的监控日志记录文件，仔细分析其中的内容，就能“揪”出隐藏在本地系统中的安全威胁了。
　　  5、为共享上网提供保护
　　目前很多办公室或家庭上网时都是通过共享宽带方式接入网络的，在这种上网环境中，不少上网用户常常会私自开通远程桌面功能，以方便对Internet网络中的一些主机进行远程管理与维护;不过，某位用户在享受远程桌面功能给自己带来方便的同时，整个共享上网网络却可能会遭遇来自远程桌面的安全威胁，因为一些非法攻击者常常会利用远程桌面通道对本地局域网网络进行恶意攻击。为了保障本地共享上网网络的安全性，我们可以利用Vista防火墙来为共享上网网络提供安全保护，禁止本地网络中的任何用户使用远程桌面功能，下面就是具体的设置步骤：

　　首先打开Vista系统的“开始”菜单，从中依次点选“设置”/“网络连接”命令，打开本地计算机系统的所有上网连接，找到共享上网时所使用的宽带连接图标，并用鼠标右键单击该图标，从弹出的右键菜单中执行“属性”命令，打开共享宽带连接的属性设置对话框;

　　其次单击该设置对话框中的“共享”标签，在其后出现的标签设置页面中，选中“允许其他网络用户通过此计算机的Internet连接来连接”选项，同时单击对应页面中的“设置”按钮，打开如图4所示的高级设置界面;

   




   
    检查该设置界面中的“远程桌面”是否处于选中状态，如果该选项已经被选中时，我们必须及时取消它的选中状态，再单击“确定”按钮保存好上述设置操作，那样的话本地共享上网网络中的任何用户日后都无法享受远程桌面服务了，非法攻击者自然也就不能通过远程桌面通道对本地主机系统进行非法攻击了。
　　　6、为漏洞攻击提供保护
　　尽管Vista系统的安全性能已经得到了明显改善，不过到目前为止该系统仍然还有不少安全漏洞存在，为了避免由这些漏洞引起的安全攻击发生，我们仍然需要定期更新升级Windows系统。可是，要是安装在Vista系统中的某些应用程序存在安全漏洞时，我们无论怎么更新升级系统补丁程序，都无法防范由应用程序漏洞带来的安全攻击。此时，我们可以利用Vista系统自带的防火墙功能，来预防应用程序漏洞攻击;我们只要先将存在安全漏洞的应用程序添加到Vista系统自带防火墙的“例外”列表中，然后选中列表中的应用程序选项，让防火墙限制其进行网络连接，那样一来Vista系统就不会受到目标应用程序漏洞的非法攻击了，下面就是具体的设置步骤：

　　首先打开Vista系统的“开始”菜单，从中依次点选“设置”、“控制面板”、“安全”、“Windows防火墙”选项，打开Windows防火墙控制窗口;

　　其次单击该控制窗口中的“更改设置”链接，进入Windows防火墙基本配置界面;单击该基本配置界面中的“例外”标签，打开Windows防火墙的例外标签页面，单击其中的“添加程序”按钮，在其后弹出的添加程序窗口中，将有安全漏洞的目标应用程序添加进来;

　　之后返回到例外标签页面中，将刚刚添加进来的目标应用程序取消选中，再单击“确定”按钮关闭设置窗口，这样的话存在安全漏洞的目标应用程序日后就无法进行网络访问了，那么由该程序的漏洞引起的非法攻击自然也就不存在了。