【正文】 止不受 IPSec 保護(hù)的遠(yuǎn)程桌面通信。首次安裝 Windows 時(shí)，將阻止入站通信，若要允許通信，用戶必須創(chuàng)建一個(gè)入站規(guī)則。在沒(méi)有適用的入站規(guī)則的情況下，也可以對(duì)具有高級(jí)安全性的 Windows 防火墻所執(zhí)行的操作（無(wú)論允許還是阻止連接）進(jìn)行配置。 出站規(guī)則 出站規(guī)則明確允許或者明確 拒絕來(lái)自與規(guī)則條件匹配的計(jì)算機(jī)的通信。例如，可以將規(guī)則配置為明確阻止出站通信通過(guò)防火墻到達(dá)某一臺(tái)計(jì)算機(jī)，但允許同樣的通信到達(dá)其他計(jì)算機(jī)。默認(rèn)情況下允許出站通信，因此必須創(chuàng)建出站規(guī)則來(lái)阻止通信。無(wú)論在默認(rèn)情況下是允許或是阻止連接，都可以配置默認(rèn)操作。 防火墻配置文件 可以將防火墻規(guī)則和連接安全規(guī)則以及其他設(shè)置應(yīng)用于一個(gè)或多個(gè)防火墻配置 文件。然后將這些配置文件應(yīng)用于計(jì)算機(jī)，這取決于連接計(jì)算機(jī)的位置。可以配置計(jì)算機(jī)何時(shí)連接到域、專(zhuān)用網(wǎng)絡(luò)（例如家庭網(wǎng)絡(luò)）或公用網(wǎng)絡(luò)（例如 Inter 展臺(tái)）的配置文件 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 11 Tech CenterSOT 防火墻規(guī)則和連接安全規(guī)則之間如何關(guān)聯(lián) 防火墻規(guī)則允許通信通過(guò)防火墻，但不確保這些通信的安全。若要使用 IPSec 確保通信安全，可以創(chuàng)建連接安全規(guī)則。但是，創(chuàng)建連接安全規(guī)則不允許通信通過(guò)防火墻。如果防火墻默認(rèn)的行為不允許該通信通過(guò)，則必須創(chuàng)建防火墻規(guī)則來(lái)實(shí)現(xiàn)此操作。連接安全規(guī)則不應(yīng)用于程序或服務(wù)，它們應(yīng)用于構(gòu)成兩個(gè)終結(jié)點(diǎn)的計(jì)算機(jī)之間。 注意 ： 作為最佳實(shí)踐，請(qǐng)為 防火墻規(guī)則給定一個(gè)唯一名稱。唯一名稱可以讓使用 sh 命令進(jìn)行的管理更容易。 配置規(guī)則 因?yàn)榫哂懈呒?jí)安全性的 Windows 防火 墻在默認(rèn)情況下阻止所有非請(qǐng)求 TCP/IP 傳入通信，因此可能需要對(duì)作為服務(wù)器、偵聽(tīng)程序或者對(duì)等端的程序或服務(wù)配置程序、端口和系統(tǒng)服務(wù)規(guī)則。當(dāng)服務(wù)器角色或配置更改時(shí)，必須根據(jù)實(shí)際情況對(duì)程序、端口和系統(tǒng)服務(wù)規(guī)則進(jìn)行管理。 要點(diǎn) ： 防火墻規(guī)則的設(shè)置為標(biāo)準(zhǔn)（連接請(qǐng)求針對(duì)此標(biāo)準(zhǔn)來(lái)匹配規(guī)則）添加了逐漸增長(zhǎng)的限制級(jí)別。例如，如果未在“程序和服務(wù)”選項(xiàng)卡中指定程序或服務(wù)，將允許所有與其他條件相匹配的程序和服務(wù)連接。因此，添加更詳細(xì)的標(biāo)準(zhǔn)會(huì)使規(guī)則變得越來(lái)越嚴(yán)格，因此，匹配的可能性也就越小 。 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 12 Tech CenterSOT 配置程序或服務(wù)設(shè)置 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 13 Tech CenterSOT 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 14 Tech CenterSOT 若要向規(guī)則列表添加程序，必須指定該程序使用的可執(zhí)行 (.exe) 文件的完整路徑。在其自己唯一的 .exe 文件中運(yùn)行且不受服務(wù)容器主持的系統(tǒng)服務(wù)被視為程序，且能將其添加到規(guī)則列表。同樣，作用于同系統(tǒng)服務(wù)且無(wú)論用戶是否登錄到計(jì)算機(jī)都運(yùn)行的程序也被視為程序，只要該程序在其自己唯一的 .exe 文件中運(yùn)行。 警告 ： 將主持服務(wù)的服務(wù)容器或者程序（例如 、 和 ）添加到規(guī)則中沒(méi)有進(jìn)一步限制的規(guī)則 列表中，可能會(huì)使計(jì)算機(jī)受到安全威脅。同樣，添加這些容器還可能與運(yùn)行此版本 Windows 的計(jì)算機(jī)上的其他服務(wù)強(qiáng)化策略發(fā)生沖突。 將程序添加到規(guī)則列表時(shí)， 具有高級(jí)安全性的 Windows 防火墻將動(dòng)態(tài)打開(kāi)（取消阻止）和關(guān)閉（阻止）程序所需的端口。當(dāng)程序正在運(yùn)行和偵聽(tīng)傳入通信時(shí)，具有高級(jí)安全性的 Windows 防火墻將打開(kāi)所需端口；當(dāng)程序未運(yùn)行或未偵聽(tīng)傳入通信時(shí)，具有高級(jí)安全性的 Windows 防火墻將關(guān)閉這些端口。由于此動(dòng)態(tài)行為，推薦的方法是將程序添加到規(guī)則列表，以允許非請(qǐng)求傳入通信通過(guò)具有高級(jí)安 全性的 Windows 防火墻。 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 15 Tech CenterSOT 注意 只有在程序使用 Windows 套接字 (Winsock) 創(chuàng)建端口分配時(shí)，才可使用程序規(guī)則以允許非請(qǐng)求傳入通信通過(guò)具有高級(jí)安全性的 Windows 防火墻。如果程序不使用 Winsock 分配端口，必須確定程序使用的端口并將這些端口添加到規(guī)則列表。 若要向規(guī)則列表添加具有關(guān)聯(lián)的服務(wù)安全標(biāo)識(shí)符 (SID) 的系統(tǒng)服務(wù)，可以使用“防火墻規(guī)則屬性”對(duì)話框中的“程序和服務(wù)”選項(xiàng)卡。由于很多服務(wù)在進(jìn)程（如 ）中主持，因此，此選項(xiàng) 卡提供了更精確的服務(wù)控制。此方法比向規(guī)則列表添加 進(jìn)程更安全。 注意 在其自己唯一的可執(zhí)行 (.exe) 文件中運(yùn)行且不受服務(wù)容器主持的系統(tǒng)服務(wù)被視為程序?？蓪⒋祟?lèi)系統(tǒng)服務(wù)添加到規(guī)則列表。同樣，作用相同于系統(tǒng)服務(wù)且無(wú)論用戶是否登錄到計(jì)算機(jī)都運(yùn)行的程序，只要它在其自己唯一的 .exe 文件中運(yùn)行，也被視為程序。不要將主持服務(wù)的服務(wù)容器或程序（例如 、 和 ）添加到規(guī)則列表。 配置端口和協(xié)議設(shè)置 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 16 Tech CenterSOT 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 17 Tech CenterSOT 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 18 Tech CenterSOT 在某些情況下，如果不能將程序或系統(tǒng)服務(wù)添加到規(guī)則列表，必須確定程序或系統(tǒng)服務(wù)使用哪個(gè)或哪些端口，然后將這個(gè)或這些端口添加到具有高級(jí)安全性的 Windows 防火墻規(guī)則列表。 將端口添加到規(guī)則列表時(shí)，必須指定協(xié)議和端口號(hào)（可以指定只有 TCP 和 UDP 協(xié)議的端口）。將 TCP 或 UDP 端口添加到規(guī)則列表時(shí)，每當(dāng)具有高級(jí)安全性的 Windows 防火墻運(yùn)行時(shí)，無(wú)論是否有程序或系統(tǒng)服務(wù)在該端口偵聽(tīng)傳入通信，該端口都處于打開(kāi)（取消阻止）狀態(tài)。因此，如果需要允許非請(qǐng)求傳入通信通過(guò)具 有高級(jí)安全性的 Windows 防火墻，應(yīng)創(chuàng)建程序規(guī)則而不是端口規(guī)則。將程序添加到規(guī)則列表時(shí)，具有高級(jí)安全性的 Windows 防火墻將動(dòng)態(tài)打開(kāi)和關(guān)閉程序所需的端口。當(dāng)程序正在運(yùn)行和偵聽(tīng)傳入通信時(shí)， Windows 防火墻將打開(kāi)所需端口；當(dāng)程序未運(yùn)行或未偵聽(tīng)傳入通信時(shí)，具有高級(jí)安全性的 Windows 防火墻將關(guān)閉這些端口。 配置連接安全規(guī)則 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 19 Tech CenterSOT 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 20 Tech CenterSOT 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 21 Tech CenterSOT 防火墻和 IPSec 配置工具 有多種方式配置 Windows 防火墻和 IPSec 的設(shè)置和選項(xiàng)，包括： 使用具有高級(jí)安全性的 Windows 防火墻 MMC 管理單元 具有高級(jí)安全性的 Windows 防火墻管理單元使用戶可以在一個(gè)界面中同時(shí)配置防火墻設(shè)置和安全 (IPSec) 設(shè)置。還可以在監(jiān)視節(jié)點(diǎn)中查看當(dāng)前應(yīng)用的策略、規(guī)則和其他信息。 注意 該管理單元可用于配置要應(yīng)用于運(yùn)行此版本 Windows 計(jì)算機(jī)的策略的所有設(shè)置。若要為運(yùn)行早期版本 Windows 的計(jì)算機(jī)創(chuàng)建 IPSec 策略，請(qǐng)使用 IP 安全策略管理單元。 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 22 Tech CenterSOT 使用 Windows 防火墻控制面板 可用于本地計(jì)算機(jī)的 Windows 防火墻控制面板也可配置一組有限的設(shè)置（由具有高級(jí)安全性的 Windows 防火墻 MMC 管理單元提供）。 使用 IP 安全策略 MMC 管理單元 聯(lián)想 Vista 培訓(xùn)資料 學(xué)員手冊(cè)： Lenovo confidential 23 Tech CenterSOT 此 MMC 管理單元可用于配置運(yùn)行早期版本（或此版本） Windows 的計(jì)算機(jī)所應(yīng)用的 IPSec 策略。對(duì)于運(yùn)行這些版本 Windows 的計(jì)算機(jī)共存的環(huán)境，此 MMC 管理單元將十分有用。無(wú)法使用此管理單元配置具有高級(jí)安全性的 Windows 防火墻設(shè)置。 使用 IP 安全監(jiān)視器 MMC 管理單元 此 MMC 管理單元可以用于監(jiān)視早期版本 Windows 上和運(yùn)行此版本 Windows 的計(jì)算機(jī)上的 IPSec 安全關(guān)聯(lián)。此管理單元包括統(tǒng)計(jì)信息節(jié)點(diǎn)，該節(jié)點(diǎn)顯示用 IP 安全策略管理單元和用具有高級(jí)安全性的 Windows 防火墻管理單元?jiǎng)?chuàng)建的策略的組合活動(dòng)的各種統(tǒng)計(jì)信息。 聯(lián)想 Vi