IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

Win XP中的防火墙应用

2008年03月25日
Yesky/沈溯

  虽然众说纷纭Win XP系统的网络安全性也存在BUG,但是我们不能总止步不前吧,总得跟上微软这艘软件巨轮的节奏,那就换吧。但您别说,自从用了XP以后,它的许多功能还真是不错(虽然挺花哨),就拿上网来说吧,Win XP使用了"Internet 连接防火墙"(ICF)充当了安全系统,它可以指定什么信息能够从网络上的计算机传输到 Internet,什么信息可以从 Internet 传输到网络上的计算机。您可以对网络中的所有计算机启用"Internet 连接防火墙",即使计算机共享同一个 Internet 连接。

  一、概述:

  防火墙是充当网络与外部世界之间的保卫边界的安全系统。Internet 连接防火墙 (ICF) 是用来限制哪些信息可以从您的家庭或小型办公网络进入 Internet 以及从 Internet 进入您的家庭或小型办公网络的一种软件。如果网络使用 Internet 连接共享 (ICS) 来为多台计算机提供 Internet 访问能力,则应该在共享的 Internet 连接中启用 ICF。但是,ICS 和 ICF 可以单独启用。应该在直接连接到 Internet 的任何一台计算机的 Internet 连接上启用 ICF。

  ICF 还能保护连接到 Internet 的单独计算机。如果连接到 Internet 的单独计算机具有电缆调制解调器、DSL 调制解调器或拨号调制解调器,则 ICF 将保护此 Internet 连接。应该在 VPN 连接 上启用 ICF,因为此连接将干扰文件共享和其他 VPN 功能的操作。

  二、Internet 连接防火墙 (ICF) 如何工作

  ICF 被视为状态防火墙。状态防火墙可监视通过其路径的所有通讯方面,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF 保留了所有源自 ICF 计算机的通讯表。在单独的计算机中,ICF 将跟踪源自该计算机的通信。与 ICS 一起使用时,ICF 将跟踪所有源自 ICF/ICS 计算机的通信和所有源自专用网络计算机的通信。源自外部源 ICF 计算机的通讯(如 Internet)将被防火墙阻止,和"天网"等防火墙软件不一样,ICF 不会向您发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。这样的通知可能过于频繁以至于成为一种干扰。ICF 可能创建安全日志以查看被防火墙跟踪的活动  你可以将服务配置成允许 ICF 计算机将来自 Internet 未经请求的通信传递到专用网络。例如,如果您正在主持 HTTP Web 服务器服务,而且已启用了 ICF 计算机上的 HTTP 服务,则未经请求的 HTTP 通信将由 ICF 计算机转发至 HTTP Web 服务器。ICF 需要一组操作信息(称为服务定义),才会允许未经请求的 Internet 通信转发到专用网络上的 Web 服务器。

  三、Internet 连接防火墙使用注意事项

  1.ICF 和家庭或小型办公室通讯

  不应该在所有没有直接连接到 Internet 的连接上启用 Internet 连接防火墙 (ICF)。如果在 ICS 客户计算机的网络适配器上启用防火墙,则它将干扰该计算机和网络上的所有其他计算机之间的某些通讯。出于类似的原因,网络安装向导不允许在 ICS 主机的专用连接(该连接将 ICS 主机与 ICS 客户计算机连接起来)上启用 ICF,因为在该位置启用防火墙会完全禁止网络通讯。

  如果网络已经具有防火墙或代理服务器,则不需要 Internet 连接防火墙。

  如果网络只有一个共享 Internet 连接,则应该启用 Internet 连接防火墙对其进行保护。各个客户计算机也可以有适配器(例如拨号、DSL 调制解调器),这些调制解调器可提供单独的 Internet 连接,但它们不受防火墙的保护。ICF 只能检查通过已对其启用了该设置的 Internet 连接的通讯。因为 ICF 针对每个连接工作,所以为了确保能够保护整个网络,需要在所有连接 Internet 的计算机上启用它。如果已经对 ICS 主机的 Internet 连接启用了防火墙,但直接连接 Internet 的客户端计算机没有使用防火墙进行保护,那么,您的网络将因为此未受保护的连接而存在安全缺陷。

  允许服务操作跨越 ICF 的服务定义也是针对每个连接而工作的。如果网络有多个防火墙连接,则必须为每个希望服务通过的有防火墙的连接配置服务定义。

  2.ICF 和通知消息

  由于 ICF 检查所有传入通讯,而某些程序(尤其是电子邮件程序)可能在启用 ICF 时做出不同动作。某些电子邮件程序将定期轮询其电子邮件服务器以查看是否有新的邮件,而且某些电子邮件程序将等待电子邮件服务器的通知。

  例如,当 Outlook Express 的计时器告诉它要检查是否有新电子邮件时,Outlook Express 将自动执行该操作。当新的电子邮件出现时,Outlook Express 会用新电子邮件通知消息来提示用户。ICF 不会影响该程序的行为,因为对新电子邮件通知的请求是从防火墙内部发出的。防火墙会在表中建立一项信息以记录外传通讯。当新的电子邮件响应被邮件服务器承认时,防火墙将在表中查找关联项,并允许该通讯通过,然后用户就能接收到新电子邮件已到达的通知。

  但是 Office 2000 Outlook 被连接到 Microsoft Exchange 服务器,而该服务器使用远程过程调用 (RPC) 将新电子邮件通知发送给客户端。当 Office 2000 Outlook 连接到 Exchange 服务器时,该程序不会自动检查新的电子邮件。新的电子邮件到达时,Exchange 服务器将通知 Office 2000 Outlook。因为 RPC 通知是从防火墙外的 Exchange 服务器、而不是由防火墙内的 Office 2000 Outlook 初始化的,所以 ICF 无法找到表中的对应项,而且发自 Internet 的 RPC 消息不允许进入家庭网络。RPC 通知消息会被丢弃。用户可以发送和接收电子邮件,但需要手动检查是否有新的电子邮件。

  四、高级 ICF 设置

  ICF 安全记录功能可以提供一种方式来创建防火墙活动的日志文件。ICF 能够记录被许可的和被拒绝的通信。例如,默认情况下,防火墙不允许来自 Internet 的传入回显请求通过。如果没有启用 Internet 控制消息协议 (ICMP)"允许传入的回显请求",那么传入请求将失败,并生成传入失败的日志项。

  通过启用各种 ICMP 选项(例如"允许传入的回显请求"、"允许传入的时间戳请求"、"允许传入的路由器请求"和"允许重定向"),ICMP 允许您来修改防火墙的行为。"ICMP"选项卡上提供了对这些选项的简短描述。您可以设置允许大小的安全日志文件,来防止拒绝服务攻击所导致的潜在溢出。生成事件日志的格式是扩展日志文件格式,与万维网联盟 (W3C) 建立的相同。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

智能布线系统案例及综合布线发展趋势
智能布线系统案例及综合布线发展趋势前言 目前,针对超大规模的和超高层的建筑中的综合布线系统,我们如何设计,如何...
安全课堂:Linux系统下防火墙设置方法介绍
安全课堂:Linux系统下防火墙设置方法介绍修改防火墙配置需要修改 /etc/sysconfig/iptables 这个文件,如果要开放哪个端口...

本类热点