[3.部署高级安全Windows防火墙的技术概述.docxVIP

部署高级安全Windows防火墙的技术概述更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista高级安全Windows防火墙结合了基于主机的防火墙和兼容Internet工程任务组(IETF)的Internet协议安全性(IPSec)实现。作为基于主机的防火墙，高级安全Windows防火墙运行于每台运行WindowsVista?或更高版本Windows的计算机上，针对可能通过外围网络防火墙或源于组织内部的网络攻击提供本地保护。高级安全Windows防火墙还提供基于IPsec的计算机到计算机的连接安全，使您可以通过设置要求在计算机交换数据时进行身份验证、完整性检查或加密的规则，来保护网络数据。高级安全Windows防火墙结合使用Internet协议版本4(IPv4)和IPv6流量。指南的本部分简要概述了这些功能，帮助您了解本指南后面部分介绍的方案。网络位置感知主机防火墙连接安全和IPSec组策略下一主题：网络位置感知网络位置感知更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVistaWindowsVista?和较新版本的Windows支持“网络位置感知”，该功能可使网络交互程序能够根据计算机连接到网络的方式更改其行为。如果是高级安全Windows防火墙，则可以创建仅在与特定网络位置类型关联的配置文件在计算机上活动时适用的规则。网络位置感知的工作原理下图显示Windows可以检测到的网络位置类型。Windows可以检测到下列网络位置类型：公用。默认情况下，第一次连接时，会为任何新的网络分配公用网络位置类型。公用网络被视为与全世界共享，在本地计算机和其他任何计算机之间不存在保护，因此，与公用配置文件关联的防火墙规则限制程度最高。专用。本地管理员可以为公众不能直接访问的网络连接手动选择专用网络位置类型。通过使用防火墙设备或执行网络地址转换(NAT)的设备，能够与可公开访问网络隔离的家庭或办公网络建立连接。分配了专用网络位置类型的无线网络应通过使用加密协议（例如Wi-Fi安全访问(WPA)或WPAv2）进行保护。系统从未将专用网络位置类型自动分配给网络；它必须由管理员分配。Windows会记住该网络，并在您下次连接到此网络时，自动将专用网络位置类型再次分配给网络。由于保护级别更高并且与Internet隔离，专用配置文件防火墙规则通常比公用配置文件规则集允许更多的网络活动。域。当本地计算机是ActiveDirectory域的成员，并且它可以借由其中一个网络连接通过该域所属的域控制器身份验证时，可以检测到域网络位置类型。如果满足这些条件，则自动分配域网络位置类型。管理员无法手动分配此网络位置类型。由于安全级别更高并且与Internet隔离，域配置文件防火墙规则通常比专用配置文件规则集或公用配置文件规则集允许更多的网络活动。高级安全Windows防火墙将其设置和规则存储在配置文件中，并支持每个网络位置类型对应一个配置文件。与当前检测到的网络位置类型关联的配置文件是应用于该计算机的配置文件。如果分配给网络的网络位置类型更改，则会自动应用与新的网络位置类型关联的配置文件中的规则。当您的计算机连接有多个网络适配器时，可以连接到不同类型的网络。运行Windows7和WindowsServer2008R2的计算机支持不同的网络位置类型，因此，同时也支持每个网络适配器的配置文件。各网络适配器都分配有适合其连接的网络的网络位置。Windows防火墙仅执行那些适于该网络类型的配置文件的规则。因此，来自与公用网络相连接的网络适配器的某些类型的流量会被阻止，而来自专用网络或域网络的相同类型的流量可能会允许通过。重要事项WindowsVista、WindowsServer2008、WindowsXP和WindowsServer2003一次仅支持一种活动网络位置类型。Windows会自动为安全性最低的网络选择网络位置类型，使其能够应用可提供最大保护的配置文件。例如，如果计算机有两个活动连接，一个连接到公用网络，另一个连接到专用网络，则Windows会选择公用网络类型