SOLUTION: InstallShield制作的安装包中如何添加防火墙例外

今天有个示例程序，需要对安装包中的一个应用程序添加防火墙例外，添加过程不断出现小状况，现将我的分析和解决过程与大家一起分享。

首先说明，我选择的工程类型是Basic MSI工程。

正常我们添加防火墙例外，会想到用netsh firewall命令，那么我就在InstallScript脚本中，通过LaunchAppAndWait调用系统目录下的netsh.exe，然后将其他参数传入即可，这个需求看似简单，但接下来我遇到了一连串的问题：

• 问题1：安装调用之后（确认已经调用），发现添加失败，防火墙例外列表中没有我要添加的程序。

通过参数输出等方式，确认给入参数正确。同时，我发现如果在安装完成后，在目标机上通过命令行手动添加，就可以成功添加，在这里百思不得其解。这时我意识到一个问题，netsh firewall添加过程中，如果例外的exe不在指定的路径下，那么添加自然失败，那解决办法就简单了，等文件全部复制到目标机上之后，我再调用这段代码不就没问题了吗，高兴地太早，问题又来了。。。

• 问题2：在Execute Sequence中通过CA调用我的防火墙例外代码，我几乎已经将其调整到了序列的末尾，但依然失败。

这时我意识到，在Windows Installer的安装机制下，我即使最后一个执行CA，其实这个时候，文件依然没有被复制到目标机路径下（虽然在此之前已经执行了MoveFiles Action），于是我调整了CA的In-Script Execution属性，将其改为Deferred Execution（平常我们多设置为Immediate Execution），重新调试，验证了调用防火墙例外代码时文件已经被复制到了目标机上，但依然失败，无语。。。

• 问题3：调查发现，执行Deferred Execution后，脚本代码中的Property已经失效。

我的防火墙例外代码中用到了INSTALLDIR，而在Deferred Execution阶段，其值为空。好吧，我只好换种方式，将这个CA添加到Finish Dialog的OK Button中才将其解决。解决了前面的问题，还没完。。。

• 问题4：netsh firewall方式无法实现Vista及Windows Server 2008之后系统下的防火墙例外设置。

这个大家可以参考微软技术文章：http://support.microsoft.com/kb/947709/en-us，在Vista及Windows Server 2008之后系统，我们需要采用类似如下的方式添加：

netsh advfirewall firewall add rule name=”My Application” dir=in action=allow program=”C:\MyApp\MyApp.exe” enable=yes

解决了上述一系列问题，才将一个防火墙例外的需求添加到了我的示例程序中。整个解决过程，感慨颇多，看似简单需求，但往往隐藏的很多问题，对我们如此，对InstallShield初学者更是不易。