公共、专用和在域上

　　新的防火墙包含三个配置文件：公共配置文件、专用配置文件和域配置文件。Windows XP SP2 防火墙包含两个网络配置文件：标准配置文件和域配置文件。如果计算机能够找到域控制器，则将自动调用域配置文件。在 Windows XP 中，对其他情况使用标准配置文件。这个方法为安全管理员提供了强大的功能。当管理员位于公司的网络中时，可以在计算机漫游时完全锁定计算机，同时仍允许执行所有必需的远程管理功能。但是此方法会为某些用户带来一定的麻烦，尤其是在家使用个人网络的用户。因为如果系统找不到域控制器，就一定会使用标准设置文件，这就会从用户的家中锁定系统。

　　Windows Vista 中包含的新专用配置文件可帮助解决此问题。现在，当您将系统连接到新网络时，它会询问该网络是公共(这只是前一标准配置文件的新名称)还是专用，然后适当地配置系统。系统每次连接到该网络时，都会根据网络上的基础结构服务器提供给它的网络参数记住网络性质。虽然这并非万无一失的做法，不过因为它允许更多网络接受更妥善的锁定，所以还是有一定帮助的。

　　确定系统是否位于域上的检测逻辑也已经得到改进。因此转换操作比以前更快速、更可靠，而且当系统实际位于域上时，很少需要考虑应该使用公共配置文件还是专用配置文件。

　　您可以将规则连接到特定类型的网络，以防止系统自发提供过多信息，并且防止它们尝试连接到不受信任的网络上的系统。此时，防火墙和 IPsec 的集成将开始发挥效用。

　　使用这些新规则，您可以提供一些以前不可能实施的限制。例如，多年来攻击者不断尝试“引诱攻击”，使用户将 Windows 网络使用的服务器消息块 (SMB) 连接到不受信任的主机，以强迫身份验证序列为其提供“质询-响应”对来破解密码。过去他们也会利用此类攻击，将身份验证降级为纯文本身份验证，或者将用户的“质询-响应”对返回原始计算机。前一种技术已于多年前被舍弃，后一种技术则随着 Windows XP SP2 一起迁移，但别忘了，自发的“质询-响应”对仍有所欠缺。

　　为防止这种情况发生，您可以使用 Windows Vista 防火墙中的另一种新功能 — 出站筛选。例如，管理员可以决定阻止公共配置文件中的所有出站 SMB 连接(在端口 TCP 135、139、445 和 UDP 137、138、445 终止的连接)。这样就可以更有效地防止有人在引诱攻击中利用您的系统获得“质询-响应”对，或者访问 Internet 上不受信任的 Windows 文件共享。

　　同样，这也并非万全之策。例如，如果系统已遭到攻击，此规则可能无法阻止系统与外界通信，因为攻击者只要禁用该规则，我们就束手无策了。不过，它倒是可以保护那些运行正常但有暴露可能的系统。

　　此处必须提及的一点是，与 Windows XP SP2 相同，在 Windows Vista 和 Windows Server 2008 中一次只能有一个配置文件处于活动状态。如果系统中有两个活动网络接口，其中一个在域上，另一个在公共网络上，则二者都将应用公共防火墙配置文件。这是因为应用的一定是限制最严格的配置文件。您可能已经猜到，公共配置文件的限制比专用配置文件严格，而专用配置文件的限制又比域配置文件严格。因此请注意，出站 SMB 阻止规则可能会中断许多通过 VPN 连接传送的流量。

　　当计算机使用公共或专用网络时，若要通过 VPN 连接传送流量，可以创建专用于 VPN 接口的定向规则。要使此规格正常工作，Windows 必须能够识别 VPN 接口。如果未使用 Microsoft® 路由和远程访问服务 VPN 服务器，请先测试这项功能，再推广部署。这个问题主要发生于指向客户端的入站流量，以及您创建的所有自定义出站规则。