规则类型和方案

　　在管理界面中合并防火墙和 IPsec 功能意味着现在有两种不同类型的规则：定向规则和连接规则。定向规则是标准的防火墙规则，用于定义允许哪些流量通往适当的方向。连接规则用于为计算机之间的连接定义保护参数。如果要画出相似关系图的话，方向规则有点类似您所熟悉的旧版防火墙规则，而连接规则比较类似与 Windows XP SP2 防火墙一起使用的 IPsec 规则。

　　将防火墙和 IPsec 合并到同一界面后，发生了许多有趣的情况。例如，将网络上的系统彼此隔离是目前最有用的安全性观念之一。Microsoft 称之为“服务器和域隔离”。

　　服务器和域隔离同时使用 IPsec 和防火墙功能。认识到这一点后，新的防火墙管理界面中即包含了针对隔离规则的特定功能。如果您希望根据源系统或目标系统的属性(如域成员身份)限制连接，则这些规则会很适用。

　　如图 1 所示，“新建连接安全规则向导”首先询问要创建的规则类型。如果选择“隔离”，向导会预先配置适合隔离规则的特定设置。

　　图 1 使用“新建连接安全规则向导”创建隔离规则

　　您可能会发现图 1 中的隔离规则涉及到了运行状态。服务器和域隔离所用的规则实际上与您在 NAP 中使用的规则相同。

　　对于某些类型的流量，您无法强制执行身份验证。例如，您可能不希望对 DNS 解析进行身份验证。对于此类流量的端点，您需要一个身份验证例外规则。顾名思义，身份验证例外规则可让流量免受 IPsec 要求的限制。

　　服务器到服务器规则就有点名不符实了。此规则虽然较常用于服务器，但也适用于客户端。服务器到服务器规则只配置一个要求身份验证的连接。这与隔离规则不同，因为隔离规则不仅要求身份验证，还需要满足一些额外的条件，如域成员身份或运行状态。

　　隧道规则主要定义网关之间的站点对站点虚拟专用网络 (VPN) 和隧道。隧道规则很少与 Windows Vista 一起使用，因为您不可能在网关容量中使用 Windows Vista。您可以创建完全自定义的规则，从而自定义规则的各个参数。