通过防火墙管理第三方应用程序安全

二、为连接指定安全选项

如果允许某个应用程序访问外网，为了安全考虑，仍然为这个连接采取一些必要的安全措施。在“操作”窗口，就是用来定义具有高级安全性的Windows防火墙对匹配防火墙规则标准的传入与传输数据包设置需要采取的操作。在这个步骤中，主要有三个选项供管理员选择，分别为“允许连接”、“只允许安全连接”以及“要求加密连接”。

允许连接是一种“加密可有可无”的连接。如当需要访问的服务器如果有SSL加密要求的话，则这台主机也会采用IPSec机制来加密传输的数据。但是，如果对方禁用了IPSec加密，则这台主机仍然允许建立连接、传输数据。但是此时由于传输的数据没有进行加密，为此信息在传输过程中很容易被人窃取。

只允许安全连接选项则只允许使用IPSec进行身份验证以及数据的完整性保护。当选择这个选项时，系统会将“用户和计算机”页面自动添加到配置向导中。管理员就可以使用这个页面制定要授权访问的用户或者计算机。如果这个页面中没有进行配置的话，那么就允许应用程序访问所有的用户和计算机。如果指定了允许访问的计算机的话，那么必须使用包含相应计算机信息的身份验证方法。

要求加密连接选项对于连接的要求更加严格。使用这个选项的话系统会要求所有能够进出站的通信都需要使用加密。如果对方计算机不支持数据加密的话，则会阻止连接。

可见三个选项其安全级别是不同的。在实际工作中，需要系统管理员根据企业用户的安全需求来选择。笔者认为，在大部分情况下，选择“只允许安全连接选”即可。

特别提醒：

如果选择“要求加密连接”选项的话，则必须要求对方的计算机也启用了IPSec机制。否则的话，即使允许应用程序访问外网的计算机，但是也会因为无法建立安全连接而拒绝访问。故采用这个选项的时候要特别谨慎。

三、指定允许访问的计算机资源

经过以上的配置，允许某个应用程序以安全连接或者非安全连接访问外网资源。不过有时候系统管理员会对这个连接进行进一步的限制，如只允许某个特定的主机。如在总分公司的环境中，这个功能就比较有用。当分公司的主机需要每隔一段时间通过第三方应用程序从总公司的服务器中下载相关的数据，此时就可以利用这个“仅允许到这些计算机的连接”来限制外网访问的资源。

特别提醒：

如果要使用这个选项的话，则在上一步配置中必须选择“只允许安全连接”选项，并且对由这个防火墙规则指定的计算机也必须具有相应的连接安全规则。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友