构建防火墙规则

　　在新防火墙中构建防火墙规则要容易得多。如图 3 所示，“新建规则向导”允许您定义所有常见类型的规则，其中包括针对特定服务的预定义规则。

　　图 3 “新建规则向导”中的预定义规则

　　预定义规则非常重要。服务器隔离主要用于限制服务，以便只允许需要使用这些服务的系统使用它们。可以在服务器产品上使用 Windows 安全配置向导 (SCW) 来简化操作，但简化效果也不够明显。(我曾在 2008 年 3 月的《TechNet 杂志》期刊中讨论过 SCW。)

　　直到现在，Windows 的客户端版本才刚刚提供了类似的功能。当您使用预定义的规则类型时，它会为您完成大部分有一定难度的任务，即确定服务要使用哪些端点。防火墙不仅能感知应用程序(因为它知道“iSCSI Service”代表哪一个程序)，而且包含可描述特定功能的预定义规则。因此，您可以专心确定规则需涵盖哪些计算机。虽然此任务仍然艰巨且非常耗时，但至少是针对您的具体环境的任务。

　　另外，还有一个自定义规则(被图 3 中的下拉列表遮住了)可为您提供身份验证防火墙能够提供的所有灵活性。例如，如果您希望规则只允许 IPsec 加密的流量，则可在图 2 所示向导中的“操作”页上选择仅允许安全连接的选项。

　　选择此选项的同时，会为您提供一个启用加密的选项。如果将该选项保留为空，流量将使用 ESP-NULL(使用 NULL 密钥的封装式安全措施负载)。建议以这种方式使用 IPsec 进行身份验证。由于流量可以毫无阻碍地周游网络，因此它允许大部分网络管理工具保持工作。如果希望进行加密，只需选中此框。

　　在许多情况下，对网络流量进行加密还不如拒绝来自恶意主机的流量。因为对网络上的流量进行加密只能阻止已取得网络本身访问权限的攻击者看到数据包中的内容，而要求身份验证可以防止您传送数据包，进而免遭攻击。当然，在很多情况下都必须进行网络级加密，但也有很多时候只需进行身份验证即可。