刚看到Vista的防火墙，也许你会觉得它与WinXPSP2的防火墙没有什么区别。不过一旦通过MMC控制台进入防火墙的高级设置功能，你就会发现它可以让用户自行设置输入和输出的网络规则，满足用户的各种需求。

　　早在WindowsXP时代，微软就在系统中加入了内置的防火墙，这就是我们最初见到的InternetConnectionFirewall(ICF)，它可以提供基本的包过滤功能。到了XPSP2时，这个内置的防火墙被正式更名为WindowsFirewall，并且有了明显的改进，比如提供了启动和关机时的保护能力，但是依旧是单向的防护，即只能对进入电脑的数据进行拦截审查。因此很多电脑用户仍然选择了第三方的个人防火墙产品，比如Kerio或ZoneAlarm。

　　在WindowsVista中，WindowsFirewall有了长足进步，它不但可以像XPSP2那样通过控制面板访问防火墙用户界面，还为技术人员提供了通过MMC控制台配置防火墙高级功能的途经。在本文中，我会向大家介绍如何对Vista中的防火墙进行高级配置。

　　一个功能两种界面

　　为什么微软会对防火墙的基本配置和高级配置采用两种完全不同的界面呢？我想这可能是微软为不懂技术的用户着想，担心复杂的配置会让他们误操作，从而导致网络连接问题或者网络安全风险的发生。不管什么原因，从基本的防火墙配置界面看，Vista中的防火墙设置与SP2中的非常相似。（二者还是存在些许不同，比如在SP2版本的“Exceptions”选项卡中的“Edit”按钮在Vista中改为“Properties”按钮。）

　　在XP中，用户可以在“General”选项卡中直接开启或关闭防火墙，并可以同时拦截所有程序，而不需要考虑例外情况。如图1所示。

　　
图1 “Block All Programs”选项是一个很便利的选项，尤其当用户处于一个公开的Wi-Fi网络时。它可以让系统临时禁止“例外”中规定的任何程 序访问网络，而当用户处于一个相对安全的网络环境时，再关闭这个选项，恢复先前设置。

　　和XP一样，在Vista 防火墙的基本设置中，例外也是在“Exceptions”选项卡中进行设置。用户可以通过选中相应的程序或服务解除防火墙对 他们的阻止如图2所示。

　　
图2
如果用户希望取消阻止的某个程序，而该程序不在阻止列表中，用户可以通过点击“Add Program”按钮来添加。在添加程序对话框，用户可以 从程序列表或者通过文件浏览器选择该程序。通过“Change Scope”选项，用户可以仅在某个范围允许程序访问网络。其范围包括：

　　任何计算机，包括互联网上的计算机。

　　仅我的局域网络 (子网) 。

　　自定义IP地址或者子网范围。

　　另外，用户还可以选择在防火墙拦截软件后是否要发出报警。

　　“Advanced”选项卡可以让用户选择需要受到防火墙保护的网络连接，如图3所示。

　　
图3

　　在这个选项卡中，用户还可以配置日志内容（丢包或者成功连接的记录），设置日志的最大容量。设置系统该如何回应ICMP请求。在默认情况 下，只有响应的ICMP请求包会被接收，其余的ICMP请求均被禁止。如图4所示。

　　
图4