สองปีก่อนผมเคยเขียนไล่เรียงคุณสมบัติแต่ละตัวของ Windows Vista สัปดาห์ละเรื่องในเอ็นไซต์ ปีนี้ผ่านตาจากหลายแหล่งเลยเห็นว่าอะไรที่หลายคนเชื่อและเข้าใจมีความคลาดเคลื่อนอยู่ เลยนึกเล่นๆ ว่าจะลองเขียนแบบเดิมอีกรอบ ว่ากันโดยละเอียดในแต่ละคุณสมบัติจะดีไหม (ไม่ดี เพราะขี้เกียจ + เหนื่อย - -" ) คราวที่แล้วผมชวนคุยในประเด็นของ Windows ReadyBoost รอบนี้จะชวนคุยในประเด็นของ Windows Firewall ที่บางที่เราเข้าใจกันว่าเป็นไฟร์วอลล์แบบขาเดียว

Firewall ใน Windows Vista เป็นแบบสองทาง (two-way firewall) ครับ คลุมทั้งขาเข้า (inbound connections) และขาออก (outbound connections) และเปิดใช้งานแบบ default ทั้งคู่ตั้งแต่เริ่มเปิดเครื่องครั้งแรก แต่ถ้าคุณเข้าดูการการควบคุมตั้งค่า Firewall ผ่านทาง Control Panel คุณจะจำแนกการคุมทราฟฟิคขาเข้า-ออกไม่ได้ และไม่สามารถกำหนดเงื่อนไขอะไรได้มาก ซึ่งเป็นแบบเดียวกับที่คุณคุ้นเคยใน Windows XP Service Pack 2

ถ้าต้องการดูส่วนของ Firewall ที่แสดงรายละเอียด ตั้งค่า กำหนดเงื่อนไขขาเข้า-ขาออก ต้องไปที่ "Windows Firewall with Advanced Security" ครับ ง่ายสุด คือ คลิกที่ปุ่ม Start แล้วพิมพ์ fire ในช่อง Search ก็จะมี "Windows Firewall with Advanced Security" ออกมาให้คลิก (จะเข้า Windows Firewall ธรรมดาจากวิธีนี้ก็ได้ครับ)

หน้าตาของ Windows Firewall with Advanced Security จะเป็นแบบนี้ (ใครที่เล่น Windows Server 2008 จะเห็นว่าคล้ายกับการจัดการ service & rules)

ค่ากำหนดทั่วไปของ Firewall จะบล็อคทุกทราฟฟิคขาเข้า และอนุญาตให้เข้าได้เฉพาะรายการที่ถูกยกเว้น (Exception) — รายการที่ถูกยกเว้นดูได้จาก Firewall ที่อยู่ใน control panel (Control Panel–> Windows Firewall –> Allow a program through Windows Firewall) — ส่วนทราฟฟิคขาออกนั้นถูกกำหนดให้เปิดไว้ ยกเว้นว่าถ้ามีทราฟฟิคใดที่เข้าเงื่อนไขที่กำหนดไว้จะถูกบล็อค สับสนไหมครับ? อธิบายอีกทีให้ง่ายขึ้น คือ โดยปกติทราฟฟิคขาออกจะเปิดให้ผ่านโดยตลอด แต่ถ้าอันไหนเข้าเงื่อนไขว่าเป็นตัวที่มีพฤติกรรมเสี่ยง (อย่างเงื่อนไขว่าเข้าข่ายเป็น malware trojan หรือ rootkit) จะถูกบล็อคไม่ให้ผ่าน

รูปแบบของเงื่อนไขที่ไมโครซอฟท์กำหนดไว้ค่อนข้างซับซ้อนครับ มีอยู่ 3 รูปแบบ ขึ้นกับรูปแบบของเครือข่าย ที่เราใช้ในการเชื่อมต่ออินเตอร์เน็ต Home, Work (สองแบบนี้เป็น private) และ Public   Windows Firewall จะแสนรู้ (หูไม่ตั้ง หางไม่กระดิก) จะปรับเงื่อนไขให้เองอัตโนมัติ ผมไม่ลงรายละเอียดนะครับว่า เงื่อนไขกำหนดของทราฟฟิกขาออกที่ Windows Firewall ของทั้งสามรูปแบบนั้นต่างกันอย่างไร เดี๋ยวเรื่องมันยาว (ถ้าสนใจจะเขียนถึงทีหลัง)

การกำหนด Firewall ขาออกให้อยู่ในสถานะ "เปิด" เป็นที่ถกเถียงกันค่อนข้างกว้างครับ เพราะโดยส่วนใหญ่แล้วซอฟท์แวร์ Firewall ที่วางจำหน่าย จะบล็อคทราฟฟิคขาออกและจะเปิดแบบข้อยกเว้นแบบเดียวกับขาเข้า ประเด็นนี้ผมเข้าใจว่าไมโครซอฟท์ชั่งน้ำหนักและมองต่างออกไป

• การบล็อคทราฟฟิคขาออกและให้เปิดตามข้อยกเว้นจะกระทบผู้ใช้งานอย่างมาก ลองนึกภาพนะครับว่า ถ้าคนใช้ทั่วไปต้องมาอนุญาตเองเป็นรายโปรแกรมอะไรจะเกิดขึ้น แค่การขึ้นเตือน UAC (Ugly America Control เฮ้ย User Account Control) อย่างเดียวก็บ่นกันขรม ไมโครซอฟท์จึงตัดสินใจเปิดอัตโนมัติและเขียนเงื่อนไขควบคุมไว้เอง ทำให้ไม่ส่งผลกระทบและรบกวนผู้ใช้งาน
• Internet Explorer 7 มีระบบความปลอดภัยระดับหนึ่ง โดยรันบน Pretected Mode
• Windows Vista มีระบบป้องกันที่เรียกว่า DEP (Data Execution Prevention) ช่วยคุมการเข้าถึงและเรียกใช้หน่วยความจำและฮาร์ดแวร์

โดยความเห็นส่วนตัว ถ้ามองแบบ Geek อย่าง Ed Bott อาจไม่ชอบการตัดสินใจของไมโครซอฟท์ในลักษณะนี้ แต่มุมมองของผู้ใช้ทั่วไปจะต่างออกไป ผมยังจำวันที่ผมลองใช้โปรแกรมไฟร์วอล์หลายๆ ค่ายในคืนวันเก่าๆ ที่ใช้ Windows XP ได้ดี วันนั้นผมเข้าเอ็มไม่ได้และหลายโปรแกรมต่อเน็ตไม่ได้ ท้ายสุดก็มาค้นเจอว่าโดนโปรแกรมไฟร์วอลล์ซึ่ง "มาทีหลัง" บล็อคหมด ลองนึกดูเถอะครับว่า Firewall ของ Windows Vista บล็อคแบบนั้นจะนรกขนาดไหน ผู้ใช้ทั่วไปที่ไม่ใช่คุณ ไม่ใช่ผมที่พอรู้เรื่อง IT บ้างจะรู้สึกอย่างไร?

ผมพากลับไปที่ Windows Firewall with Advanced Security อีกรอบนะครับ ถ้าต้องการปรับเปลี่ยนการตั้งค่าอนุญาตใหม่ กำหนดเงื่อนไขใหม่ กำหนดให้บล็อคขาออกด้วย ทำได้นะครับโดยคลิกที่ Windows Firewall Properties จะได้หน้าต่างนี้มา ซึ่งผมขอไม่อธิบายรายละเอียดนะครับ และไม่แนะนำปรับแต่งสำหรับผู้ไม่ชำนาญ

สุดท้ายถ้าอยากรู้เรื่องอะไรเกี่ยวกับ Firewall ให้คลิกที่ Help & Support ที่  Start ครับ แล้วพิมพ์คำค้นว่า Firewall ลงไป แล้วจะได้แทบทุกอย่างที่อยากรู้เกี่ยวกับ Windows Firewall ผมหมายเหตุไว้นิดเดียวครับว่า Help ของ Windows Vista ทำอย่างปราณีตและให้ข้อมูลแต่ละเรื่องในระดับดีมาก สงสัยเรื่องอะไรคลิกหาจาก Help ได้เลยครับ