如何定义Windows系统防火墙在安全防护上的位置

ZDNet安全频道原创翻译 转载请注明作者以及出处

在很多时间，系统内置防火墙的价值都可能会被忽略。因此，在本文中，信息技术专家里克·范欧沃将就使用操作系统自带防火墙的优缺点进行说明。
---------------------------------------------------------------------------------------------------------------

　　在管理服务器的时间，笔者倾向于在网络级使用防火墙设备对流量进行控制。一般情况下，笔者不愿意使用来自操作系统内置的防火墙，即Windows防火墙。因此，笔者在Windows中利用系统命令禁用了和防火墙服务相关的所有配置文件：

　　netsh advfirewall set allprofiles state off

　　最近，笔者与一名精通Linux系统的系统管理员就内置防火墙的使用这一话题进行了专门讨论。他指出，“我认为Windows系统都应该启用内置防火墙”。这一观点让笔者楞了一下并思索了一阵。本来，笔者期待的是关于Windows与Linux之间存在的差别导致的争论。他继续说到，Windows防火墙可以非常有效地完成自身工作。

　　笔者的专长是Windows领域，并且也同意这一点。不论从系统内还是系统外来看，Windows防火墙对于流量的管理都非常有效，这里面也包括了阻止策略和端口配置功能。更进一步的说，笔者觉得它可能是微软在组策略领域有史以来最好的产品。在活动目录中，组策略可以被配置为集中管理，这让Windows防火墙配置变得非常容易。

　　因此，讨论的问题现在变成了，我们是否应该放弃了防火墙设备的使用转而支持使用操作系统内置的防火墙了?就个人而言，笔者认为这是非常不现实的，但笔者承认自己将会就网络中Windows防火墙的使用进行重新思考。不过，这并不是说目前的模式就不需要增强的控制和管理措施了。此外，将防火墙规则限制在主机上，不仅可能会导致必须的通讯模式被切断，还有可能导致管理界面被清除。

　　关于内置防火墙的应用，笔者认识到的唯一可行途径，就是非安全关键的信任领域，进行集中管理的情况下。在Windows防火墙的案例中，组策略是最佳的实现工具。

　　对于广泛基础范围内应用Windows防火墙的建议，你有什么想法?请和大家一起分享。