构建域隔离规则

　　在大多数环境中，您都希望只有一定数量的计算机可以将流量发送到工作站。至少，所有工作站都应使用域隔离规则进行配置。这在 Windows XP 中有点复杂，但在 Windows Vista 中却很简单。

　　首先，打开您选择的管理工具，选择“连接安全规则”节点，然后右键单击该节点，选择“新建规则”，您会看到如图 1 中所示的对话框。选择“隔离”规则，然后单击“下一步”。现在，您必须选择是否强制执行该规则。如果是在工作站上，大多数情况下您会要求对入站流量进行身份验证。这可防止任何未加入域的计算机将流量发送到工作站。但是，为从基础结构服务中请求服务，系统必须允许一些出站流量自由通行。因此，最佳选择是要求对入站连接和出站连接都进行身份验证。

　　接下来，选择身份验证方法。默认选择显而易见，就称为“默认”。您可以使用 IPsec 属性(右键单击“具有高级安全性的 Windows 防火墙”节点，然后选择属性)逐台计算机配置默认身份验证方法。默认的身份验证方法始终是 Kerberos，因为这是最简单、最安全的方法。但为了清晰起见，我建议您在构建规则时实际选择它。通常，您只希望对计算机进行身份验证，而不会对用户进行身份验证。如果两者都需要进行身份验证，您就可能无法接受某些类型的管理流量，如匿名传输的 SNMP 流量。

　　选择身份验证方法后，只需选择可将此规则用于哪些配置文件即可。因为此规则适用于加入域的计算机，可以提供 Kerberos 票证，因此无需在专用或公共配置文件中专门进行此操作。接下来只要保存此规则，就大功告成了。

　　基本隔离规则已经不像以前那么复杂了。但是，要利用 IPsec 的功能进行隔离，您需要实施服务器隔离，即使在工作站上也是如此。这样，可以防止工作站侦听其他客户端，它们应该只响应适当的管理工作站。想象一下，仅让客户端系统拒绝侦听其他客户端，就可以减少多少因各种恶意软件爆发而造成的影响。

　　编写防火墙脚本

　　新的防火墙随附了一个相当好用的 API，您可以使用它来编写部署和评估脚本。理想情况下，应使用组策略进行部署，但是由于组策略并非始终可用，所以一定要有一组适当的 API 来配置防火墙才行。API 按照其 INetFWPolicy2 组进行分组。虽然软件开发工具包和 MSDN® Library 包含较为完整的使用方法详细信息，但只有少数示例可以说明这一点。

　　其中一个常见示例是需要确定是否要打开一组规则。例如，应用程序或管理员需要确定是否允许来自系统的文件和打印机共享，这可以使用 INetFWPolicy2::IsRuleGroupCurrentlyEnabled 实现。图 4 提供了说明此功能的 VBScript 示例。

　　使用 INetFWPolicy2::IsRuleGroupCurrentlyEnabled

' Create the FwPolicy2 object. Dim fwPolicy2 Set fwPolicy2 = CreateObject("HNetCfg.FwPolicy2") ' Get the Rules object Dim RulesObject Set RulesObject = fwPolicy2.Rules 'Create a profile object Dim CurrentProfile CurrentProfile = fwPolicy2.CurrentProfileTypes 'Check whether File and Printer Sharing is on, and turn it on if not if fwPolicy2.IsRuleGroupEnabled(CurrentProfile, "File and Printer Sharing") <> TRUE then     fwPolicy2.EnableRuleGroup CurrentProfile, "File and Printer Sharing", TRUE end if