《企業端點完美防禦》5-選擇防火牆

選擇防火牆取決於個人喜好、需求、技術能力、經驗、防火牆提供的功能、使用者友善程度、更新方便性、安裝與反安裝便利性、廠商品質、技術支援的即時性和價格。其他需要考慮的因素包括有效性、使用的電腦資源、如何影響系統效能以及是否最適合現在的系統。對某人效果很好的特定防火牆可能對其他人來說效果不佳。如同防毒軟體,不存在單一終極解決方案。需要進行試驗並找到最適合個人/公司使用的方案。有關需要考慮的更多內容,請閱讀:

雖然有些人認為他們需要額外的防火牆,但可以選擇使用Windows 內建防火牆 。有些人可能聽說或讀到有關Windows防火牆的大多數負評其實是在XP系統中的防火牆,因此若使用該系統,會建議使用第三方替代方案。微軟在Vista顯著改善防火牆來解決這些問題,並在Windows7以後進行更多改進。

設定 Windows 10/11 防火牆的最佳實踐
如何在 Windows 11/10 設定 Windows 防火牆
調整(配置)Windows 10 防火牆規則與設定

Windows防火牆自Vista以來沒有太大變化,就算到了Windows 11功能也沒有太大改變。基本上,除了允許的連線外,連入的封包將被阻擋;連出的的封包假如沒有設定規則,則不會被封鎖 (即初始狀態的防火牆:阻擋所有連入連線,允許全部連出連線)。防火牆還分成三個設定群組:私人網路、來賓或公用網路、網域網路。可根據不同的群組,控制哪個程式可以在專用網路而不是對外網路進行通訊。

 
Windows 防火牆簡史
 
從Windows Vista開始,內建的防火牆提供了雙向過濾,比XP的安全性更好,但仍然有限。防火牆與IPsec結合, 與Windows 服務強化一併預設開啟並設定為基本配置功能。如果防火牆根據服務強化預設規則偵測到應該禁止的活動,防火牆將阻止該活動。Vista防火牆的另一個功能是可以使用規則精靈根據三種群組的網路規則,因此建立防火牆變得更加簡單。

預設情況下,大多數連出規則處於關閉狀態,而連入規則處於開啟狀態,微軟的說明如下:

微軟公關機構Waggener Edstrom前發言人Matt Parretta提出了這樣的觀點:「如果我們預設為使用者開啟連出規則過濾,會迫使用戶對電腦上運作的每個應用程式做出是否允許。當他們升級到Windows Vista或購買裝了該作業系統的新電腦時,他們將會收到每個涉及網路的應用程式提示是否允許,包括:即時通訊、IE、電子郵件、Windows Media、iTunes、每個會自動更新的程式(如Adobe)。除非他們點了允許,否則應用程式將被阻擋、且無法正常運作,這會讓初次使用Vista的體驗變差,而且會對這些提示疲乏

雖然大多數連出規則已停用,但Vista以後的防火牆確實提供了一定限度的連出規則,使用者可能不知道,因為平常不會有任何提示。

微軟產品經理Jason Leznek 告訴《Computerworld》,連出規則作為Windows服務強化預設啟用,使得防火牆能夠辨識Windows服務具有的特定行為,並在發現違規行為時阻止(例如:透過漏洞攻擊)。Windows防火牆還透過阻止某些傳出訊息來保護電腦,防止電腦免於某些連接埠掃描攻擊。

連出過濾規則可以提供額外的安全,它確實為公司和管理員提供了應用程式的控制。任何需要出站存取的應用程式都必須使用微軟管理控制台(MMC)的防火牆規則新增到清單中。使用MMC設定防火牆可能會讓某些人感到困惑,因為沒有實際的方法來設定連出過濾以阻止所有不必要的連接,這時可透過各種選項和設定開啟或關閉連入規則。

有關設定和安全性的更多訊息,請參考以下文章:

Windows 7防火牆與Vista類似,也提供連入、連出的雙向過濾。然而,Windows 7 在防火牆和相關網路安全領域中添加了一些新功能,例如將網路配置分為網域網路、私人網路、來賓或公用網路。

Windows Vista防火牆建立在新的Windows過濾平台(WFP)上,並新增透過MMC管理單元過濾連出連線的功能。在Windows 7中,微軟添加對多個防火牆策略的支援,進一步調整防火牆並使其更易於使用,尤其是在平板電腦上。

Windows 7防火牆對Windows Vista防火牆進行改進,並將進階功能開啟。許多使用者、包括一些IT專業人員不知道可以透過進階功能過濾連入、連出的流量、或其他方式執行Vista防火牆的進階設定,因為從控制台中的防火牆功能中看不到這些。在Windows 7中,微軟內建電腦防火牆,其功能比其前身強大得多,現在為第三方主機防火牆產品提供了可行的替代方案。

與Vista一樣,Windows 7防火牆的基本設定可透過控制台存取防火牆的進階設定、包括連入、連出的設定,與Vista不同的是,使用者可以透過控制台調整防火牆,而不必建立透過MMC建立防火牆規則。

Vista防火牆可讓使用者選擇在公用網路還是家庭網路上。 Windows 7則有三種網路:網域網路、私人網路、來賓或公用網路,前兩者被視為專用網路。對於公用網路,防火牆預設會阻止不在允許清單中的程式連線。Windows 7可讓單獨設定每種網路類型

 
Windows 8以上作業系統內建的Windows防火牆,該防火牆與Windows 7中的防火牆類似,並且包含更進階功能,詳情可參考:

Windows防火牆工具可用於擴充預設的Windows防火牆功能,並快速存取以定義規則和設定常用的選項。

重點提醒:如同防毒軟體,不建議在一台電腦上使用多個軟體防火牆。使用兩個防火牆可能會導致網路連線問題或其他意外。此外,執行多個軟體防火牆可能會導致難以排除的故障的衝突,一台防火牆即足夠處理上網封包。有時,安裝兩個以上的防火牆可能會遇到無法保護連線的衝突。但是,使用者可以搭配硬體防火牆(路由器)和以防毒軟體內建的防火牆取代Windows防火牆(Kaspersky、ZoneAlarm、Trellix)。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料