IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

解读Windows XP SP2防火墙(1)

2007年09月13日
/

Windows XP SP2在安全方面做了重大的调整,安全设计融合到整个操作系统中,防火墙屏障、操作系统补丁和更新病毒库等理念形成一个安全体系,而防火墙是这个安全体系的第一道屏障,它提供了一个强大的保护层,可以阻止恶意用户和程序依*未经请求的传入流量攻击计算机。Windows XP SP2防火墙又称ICF(Internet Connection frewall),已经具备个人防火墙的基本功能,它是一种能够阻截所有传入的未经请求的流量的状态防火墙。这些流量既不是响应计算机请求而发送的流量(请求流量),也不是事先指定允许传入的未经请求的流量(异常流量)。这有助于使计算机更加安全,使您可以更好地控制计算机上的数据。和Windows良好的兼容性及可*性是其它个人防火墙所不能比拟的。
注:此文只探讨Windows 防火墙原理、功能变化以及应用过程中可能遇到问题和解决办法,不描述怎样设置Windows 防火墙,如果未特别说明,本文所提到的Windows 防火墙指Windows XP SP2防火墙。
一、使用个人防火墙还是使用Windows 防火墙
仅就防火墙功能而言,个人防火墙对双向流量都进行审核,拥有更复杂的控制列表,但是,Windows 防火墙只阻截所有传入的未经请求的流量,对主动请求传出的流量不作理会,这一点是它们之间最大的区别。绝大多数商业防火墙都提供了应用程序过滤功能,这一功能可以阻止未通过认证的应用程序向外发送报文,这样就可以防止病毒或木马等恶意代码同外部建立未认证的连接,同时也可以防止用户的计算机被黑客用做分布式攻击的跳板。然而,WindowsXP SP2所带的防火墙却只能对进入计算机的报文进行过滤,而不对计算机向外发出的报文进行过滤,它不对应用程序向外发送报文做任何限制。事物有其两面性,这些个人防火墙产品依据的防黑客原理通常不一样,例如Norton的Personal Firewall(个人防火墙)是基于应用程序的(Application Level)。基于应用程序的防火墙在使用上相当麻烦,因为你必须要为每一个访问Internet的程序设置策略。而随着策略的增多,防火墙的效率也逐步下降,况且过多的策略也会相互矛盾、影响,给系统安全带来漏洞。更糟糕的是,这些个人防火墙产品都非常占用系统资源。
比如接入网络游戏联众世界的时候,本地计算机请求连接远程服务器,这时,个人防火墙立即提示是否允许此连接通过,而Windows 防火墙对这个主动出站请求不做任何处理,也不做任何提示,好像防火墙不存在似的,所以如果入侵已经发生或间谍软件已经安装,并主动连接到外部网络,那么防火墙束手无策;如果Windows 间谍软件开放端口等待外部请求连接,那么Windows 防火墙立刻阻断连接并弹出安全警告。但这不表示Windows防火墙不安全,因为攻击多来自外部,而且如果间谍软件开放端口等待外部连接的时候, Windows防火墙立即阻断连接,并且作出提示,关于这一点在下面的文章中还会提到。
对来自外部的请求连接的控制,Windows防火墙和个人防火墙在功能上区别不大。而且Windows防火墙有其独特的特性,包括:计算机的所有连接默认启用ICF、人性化的屏蔽模式-充分考虑到了计算机使用环境的变化和及时阻断攻击和恢复正常使用的情况、智能应用程序异常流量管理、对于 IPv6 ICF 内建支持等功能。比如在启动安全性功能上,有一个可以执行状态数据包过滤的启动策略。该策略允许计算机使用动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)和域名系统(Domain Name System,DNS)执行基本网络启动任务,并与域控制器进行通信,以更新组策略。避免计算机在网络上进入活动状态的时间与 ICF 开始保护连接的时间之间的延迟中被未经请求的流量在启动期间攻击计算机留下了可乘之机。
遗憾的是Windows防火墙并不提供报警和入侵检测。虽然Windows防火墙可以防止对系统的入侵。而且,其他的一些个人防火墙产品还有更好的诊断和报告功能(Windows防火墙没有报告功能,仅仅有个日志)。所以,当选择使用哪个防火墙产品时,你应该考虑这些因素。如果你选择Windows防火墙,你应该确定自己明白它的有限的能力,虽然Windows 防火墙对个人用户而言已经不在是鸡肋。
二、Windows XP SP2防火墙工作原理
Windows 防火墙使用的全状态数据包监测技术会把所有由本机发起的网络连接生成一张表,并用这张表跟所有的入站数据包作对比,如果入站的数据包是为了响应本机的请求,那么就被允许进入。除非有实施专门的过滤器以允许特定的非主动请求数据包,否则所有其他数据包都会被阻挡。
“例外”选项卡使您可以添加程序和端口例外,以允许特定类型的传入通信。您可以为每个例外设置范围。如果开放了某个端口,那么对这个端口的访问将被允许通过。端口或者服务可以在“例外”选项中设置或者通过指定应用程序的方法设置,如QQ等,如果开放端口的服务不是一个应用程序如IIS服务,可以直接设置开放的协议和端口号。对于只使用网络浏览、电子邮件、共享文件夹、进行普通处理的客户端和服务器型应用程序的用户,Windows防火墙根本不会产生影响。
三、Windows 防火墙设置中几个重要选项
单击“开始”,单击“运行”,键入 wscui.cpl,然后单击“确定”,在“Windows 全中心”内单击“Windows 防火墙”。
对于“不允许例外”
当您单击选中“不允许例外”时,Windows 防火墙将阻止所有连接到您的计算机的请求,即使请求来自“例外”选项卡上列出的程序或服务也是如此。防火墙还会阻止发现网络设备、文件共享和打印机共享。当您连接到公用网络(例如,与机场或旅馆相关的网络)时,“不允许例外”选项十分有用。此设置可以阻止所有连接到您的计算机的尝试,因而有助于保护您的计算机。当您使用 Windows 防火墙并启用了“不允许例外”选项时,您仍然可以查看网页,收发电子邮件或使用即时消息传递程序。
针对“例外”的说明
“例外”选项卡使您可以添加程序和端口例外,以允许特定类型的传入通信。您可以为每个例外设置范围。
对于家庭和小型办公室网络,我们建议您在可能的条件下,将范围设定为仅限局域网内部。这样配置可以使同一个子网上的计算机可以与此计算机上的程序连接,但拒绝源自远程网络的通信。
四、Windows XP SP2的防火墙真的安全吗?
Windows防火墙在原则上是对由外向内的通信(inbound)全部进行限制,而由内向外的通信(outbound)及其应答则完全不加限制。 Windows防火墙只在像服务器那样运行的应用程序开始通信时才会发出警告。以登录联众世界为例:在所有网络链接上打开防火墙,现在,登陆联众世界试试,一样登陆,根本不需要通过防火墙允许。选择了“不允许例外”,结果还是一样。而用zonealarm的时候,任何程序都得经过防火墙的允许。这是为什么?
前面已经提到了Windows防火墙的特点“只阻截所有传入的未经请求的流量”也就是说,Windows防火墙对主动出站流量不作处理,所以登陆联众世界/IE等没有安全提示,而zonealarm等个人防火墙对所有出、入站流量都作审查,所以有安全提示(除非设置审查但不提示)。但是,为什么 QQ/MSN/MYIE2等又有安全提示呢?这是因为QQ/MSN/MYIE2等试图在本地开后门--端口等待远程请求连接,显然这种不安全行为被 Windows防火墙拦截并作出安全提示,这相当于QQ/MSN/MYIE2等作为提供某种服务的服务器端。如图所示,MYIE2在本开了1067端口, QQ使6000和6001处在监听状态,而联众世界却没有开放任何端口。
取消通知的方法是:防火墙设置-例外-取消选择“Windows防火墙组织程序时通知我”。
五、Windows XP SP2的防火墙可以限制某个应用程序访问网络吗?
Windows XP SP2的防火墙置不适用于不对特定 UDP 或 TCP 端口集合进行监听的应用程序,不能限制某个应用程序访问网络,但是,却可以限制对谁提供哪些服务,这一点也不同于早期版本的Windows防火墙。
虽然Windows防火墙不可以限制出站通讯,但是Windows XP内置的Internet Protocol security (IPSec)却可以提供这种保护,使用IPSec规则,可以指定通讯是被阻断(丢弃数据)还是被放行(允许),同时能保护加密的入站和出站通讯。在这三种情况下(阻断、允许、保护),IPSec能够配置原地址和目标地址范围。同时使用IPSec规则和Windows防火墙可以给网络提供更强大的安全保护。
对早期Windows防火墙而言,如果开启了某些服务,它将允许所有人访问这些服务,但是SP2的防火墙却可以精确的设置是对某台计算机或者某些子网允许连接;如果没有开启服务,则所有连接都将被拒绝。设置方法:安全中心-防火墙设置-例外-编辑(某个服务)-更改范围-自定义列表。自定义列表的说明,如果对某个IP提供服务,设置子网掩码为全1,例如192.168.0.3/255.255.255.255;如果针对某个子网提供服务,设置正确的子网掩码,如192.168.0.1/255.255.255.128,多个项目之间用“,”号隔离。
如上所述,ICF和基于应用程序的个人防火墙产品是不一样的。基于应用程序的个人防火墙可以控制每一个访问Internet的程序,但是不能限制某个应用程序访问网络,使用使用IPSec规则可以提供对计算机向外发出的报文进行过滤的功能。

共2页: 1 [2] 下一页
发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Linux出错提示信息详解
Linux出错提示信息详解深入地讲:许多人害怕Linux,因为它给出的出错提示信息简直像天书一样。并且这样...
用途多样 带你见识形形色色的Linux
用途多样 带你见识形形色色的Linux在“用途多样,linux.chinaitlab.com/administer/777741.html" target=_blank>带...

本类热点