乍一看，Windows Vista firewall真的很让人失望。从表面上看，它与Windows XP如出一辙。实际上，Windows Vista 中防火墙的用户界面与Windows XP防火墙的用户界面是一样的。没有任何新设选项。

　　防火墙用户界面的问题在于，用户看到该界面很容易就认为用户界面显示的选项设置是仅有的服务选项。然而，通过使用组策略编辑器配置防火墙，实际上你可以通过Vista防火墙执行更多的操作。

　　要想进行此项操作，打开Vista的组策略编辑器，下载本地安全策略。接下来，通过资源管理器定位到本地计算机策略/计算机配置/ Windows设置/安全设置/具有高级安全功能的Windows防火墙。当你选择具有高级安全功能的Windows防火墙后，你会看到关于Windows防火墙的配置概要说明，如图A所示。

　　图A

　　关于Windows Vista firewall配置的说明概要将显示在组策略编辑器中

　　正如果所示，你可能最先注意到有各种设定档可供选择。当微软推出Windows XP Service Pack 2时介绍了多选设定档的概念。如果可以联系到本地管理员，那么Windows将让防火墙使用本地设定档，如果联系不到本地管理员，将让防火墙使用标准设定档。这一设计理念方便灵巧，但是有很多情况下Windows XP会错误地使用标准设定档。

          在Vista 中，微软仍然设定当能够联系到本地管理员时使用本地设定档。许多操作指南进行了更改，本地控制器监测也比以往的监测更可信。

　　如果你看到图A中的各种设定档，你会注意到没有标准设定档选项。在Windows Vista中，微软已经废除了标准设定档选项并且提供予以代替的公共和私有设定档选项。如果要理解原因，可以参考移动用户操作的方法。有时，用户在办公室中直接使用笔记本电脑连接到公共网络。还有些时候，用户可以在家或者机场，咖啡屋工作。

　　移动用户或许在家中使用家庭网络并且需要连接到网络中的资源，例如网络打印机。这时，可能要求用户打开防火墙端口以便进行通信。因为在大多数家庭网络中没有本地控制器，因此，Windows XP允许在标准设定档选项中打开必要的端口。

　　Windows Vista 的公共和私人防火墙设定档选项允许用户设定一个在家庭网络中工作的选项和一个连接到公共网络的选项。不幸的是，Vista不能区分公共和私人网络，因此，在连接确定时，Windows会询问用户是否此时连接到一个公共或者私人网络。

　　配置过程是十分简单的。用户可以选择内部或者外部rules container组件并且在行为窗格中单击新规则链接。与此同时，Windows发送一个向导引导用户创建防火墙规则。其中一个向导对话框询问用户哪个设定档选项包括新规则。

　　或许所说的有一点跑题，但是必须要强调这些。在上面的内容中，或许读者已经注意到我提到了外部Rules Container组件。过去，Windows防火墙对于没有阻挡外部通信提出了很多批评(尽管Windows XP SP2提供有限的对外部通信过滤的支持)。对外部准则支持的缺乏是过去的一个观点，因为许多malware程序被设计为“phone home”通过隐藏的TCP或者UDP端口。如果防火墙没有在这些端口阻挡外部通信，那么就不能阻挡malware通过internet传播机密信息。

　　不要期望Vista防火墙的外延准则能成为这个问题的长久解决方案。最开始，外延准则特征大概要走很长的路才能保存你私人数据——假设你恰当的规范你的准则。我不希望这个能作为一个长久的解决方案继续下去，因为 malware不是围绕 Windows 防火墙规则设计的。在没有外延过滤成为malware的通常练习之前，我想它仅仅将大概是时间的问题。

　　如果你不相信我，那么请用这个方式来考虑它:一个危及你安全的操作系统能真正的保护你吗?假如某人能用malware感染你的系统，那么你能真诚的希望这个感染的系统能够使它自己免于malware向外传递通信量。这个就相当于希望一个贼费尽千心万苦闯入你家之后不要偷你的任何东西。

　　总之，我相信Windows Vista 防火墙在Windows XP 操作系统下是一个很大的改进。得到的是通过防火墙用户及面很多不能利用的新特征。他们仅仅能通过整体编辑政策来达到。Windows Vista 还在Beta测试中，我也仍然在学习这个新防火墙的性能。我能告诉你这个:你能建立一些相当久经世故的规则，这个防火墙已经被设计成为IP网际协议的一个补充。遗憾的是，我不认为很多的家庭用户能真正的看到这个防火墙的真实好处除非微软公司能改变某些默认的配置选项。