现在，如果文件和打印机共享处于关闭状态，而您需要将其打开，则首先要确保此操作可行，而且不会被组策略覆盖。这可以使用 INetFWPolicy2::LocalPolicyModifyState API 实现。下面是可以填写实际代码的大纲：

　　

Const NET_FW_MODIFY_STATE_OK = 0 　　Const NET_FW_MODIFY_STATE_GP_OVERRIDE = 1 　　Const NET_FW_MODIFY_STATE_NO_EXCEPTIONS = 2 　　Dim PolicyModifyState 　　PolicyModifyState = fwPolicy2.LocalPolicyModifyState 　　Select Case PolicyModifyState 　　Case NET_FW_MODIFY_STATE_OK 　　Case NET_FW_MODIFY_STATE_GP_OVERRIDE 　　Case NET_FW_MODIFY_STATE_NO_EXCEPTIONS 　　End Select

　　命令行和接口类型

　　没有适当的命令行进行管理，就不可能有完整的防火墙。Netsh 下有一个子上下文，称为 advfirewall。Advfirewall 上下文可对您授予命令行访问权限，访问您在图形 UI 中执行的所有内容。例如，如果您希望在端口 445 上实现出站拦截，可以从已提升的命令提示符处运行以下命令：

　　

netsh advfirewall firewall add rule name="Block CIFS Out in the Public profile" 　　dir=out action=block enable=yes profile=public 　　localIP=any remoteIP=any remoteport=445 protocol=TCP interfacetype=any

　　然后，您需要运行同一命令(不过要将 TCP 替换为 UDP)，从而完成拦截。此时，即已实现此规则。

　　防火墙中有一个很酷的功能，能够根据网络接口类型配置规则。前面曾提到，有些规则可能会影响 VPN 连接。只要 Windows 将接口识别为 VPN 接口，您就可以使用此类型的规则放过该接口上的流量：

　　

netsh advfirewall firewall add rule name="Allow CIFS on VPN interfaces" 　　dir=out action=allow enable=yes profile=public localIP=any 　　remoteIP=any remoteport=445 protocol=TCP interfacetype=RAS

　　您也可以在 GUI 中执行此操作，但必须先创建规则。然后必须右键单击此规则，选择“属性”，并单击“高级”选项卡。该选项卡上有一个接口类型部分，您可以在其中选择正确的接口类型。

　　出站筛选

　　Windows XP SP2 防火墙中缺少出站筛选是内置防火墙缺乏安全性的主要原因。过去不知道有多少篇文章将 Windows XP SP2 防火墙的安全性不足归咎于缺少出站筛选。其实真正的原因是 Windows XP 上没有一个防火墙可以安全提供出站筛选。

　　Windows XP 根本无法将出站筛选变成一项有用的安全性功能 — 我之前用过的策略强制工具不过是限制了速度罢了。但是，Windows Vista 中确实存在这种功能。因此，新的防火墙自然可以利用这项功能。默认情况下，该功能将阻止大部分入站流量，而允许大部分出站流量。

　　默认情况下，新 Windows Vista 防火墙中的出站筛选只阻止来自服务的不必要流量。实际上，这足以防止提供出站筛选器的主机泄露，因此在 Windows XP 中执行此操作根本毫无意义。

　　Windows Vista 中的服务可以使用严格限制的令牌运行。基本上，每项服务都有自己唯一的安全标识符 (SID)。此服务 SID 可用于限制对资源(如网络端口)的访问。这与我们之前研究限制传送给用户的流量时所看到的功能一样。也就是说，即使您以 NetworkService 身份运行两个服务，也无法管理彼此的进程，不过您可以将防火墙配置为只允许其中一个与外界通信。如果阻止的服务受到攻击，它也无法劫持允许的服务并使用已接受的端口向外传播，因为这个端口受服务 SID 的限制。

　　这是 Windows Vista 中新增的另一项很棒的安全性功能，新的防火墙可以使用它来通过出站防火墙筛选实际提供真正的安全值。

　　实际上，新的防火墙默认启用对服务 SID 的防火墙筛选。遗憾的是，无法使用 GUI 对其进行配置。规则是在 HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\RestrictedServices 注册表项中预定义的。不过，手动修改此注册表项时应非常小心，因为系统并不支持此操作。