IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

配置防火墙服务

2005年09月07日
/

配置Windows XP防火墙

除了应用层网关防火墙外,其余的防火墙都需要使用端口、协议以及IP地址或计算机名来控制数据的传输。这是最重要的一点。一旦你头脑中树立了端口的概念,能够在需要控制数据出入时想到去打开或关闭某些端口,那你就能比较轻松的完成对一些大众化防火墙软件的配置了。
我们在此将要配置的防火墙,以及大多数店里出售的防火墙软件,其默认配置都是将所有的数据接收端口关闭。所以,如果你想要让一台Internet上的计算机访问你所在网络内的某些部分,你就必须对默认配置加以修改。同时,也需要对应用程序进行检查,以确定它们各自将使用哪些端口。所有的软件厂商都会在自己的软件中加上这些信息的。

现在我们就来对两种最普遍的防火墙进行配置。主要角色:Windows XP操作系统内带的防火墙程序及一台普通的cable/DSL路由器。

配置WindowsXP防火墙:这是很简单的工作,我们就从简单的开始吧。

首先需要激活防火墙。以英文版XP为例,进入“start/control panel/network and Internet connections/network connections” ,然后右键单击你的Internet连接,选择“properties”

进入属性页后选择“advanced”标签,然后点击“Internet Connection Firewall”。

需要停下来说几句。如果你还记得上文有关Windows XP防火墙的定义,你就应该明白,刚才你所做的其实就是使一个包过滤和链路级网关的合成体开始工作。现在你的计算机将会记录下那些意图访问 Internet的本地程序,以便在对传入数据检查时作为参照。未被请求的数据包都会被防火墙拒之门外。

如果你也选择开启Internet连接共享,防火墙便也会受理那些来自与你同网的计算机的请求,就像网关一样。XP的防火墙能够有效的阻隔外界未经授权的数据。

配置防火墙服务

XP的防火墙无法对你发送的数据进行过滤,这是其主要的不足之处。这也是危险隐患。因为你的计算机很有可能在你不知情的情况下被安置了特洛伊木马程序,木马程序回将你的个人信息发送至外网的预设地点。不对传出数据进行过滤,意味着对木马程序敞开大门。鉴于这个原因,你更需要保正经常更新杀毒软件了。

如果你想允许外网访问内网内计算机上的程序,比如网页或者FTP服务器,你必须在防火墙的设定栏里进行配置。

进入Internet连接属性的高级标签,单击对话框底部的“settings”按钮。

屏幕上的每个列表选项都代表了一个操作系统的预置服务,你可以设定允许某个服务能从特定的端口能被外网的其它计算机访问到。比如,选中“Web Server(HTTP)”列表项目,然后单击“edit”按钮。

可以看到,弹出的对话框列出了对该服务的描述,这有利于操作的便利性。“name or IP address of the computer hosting this service on your network”——建立此服务的主机名或IP地址——这个文本框里需要填写你希望能够被外网访问的内网计算机的名字或IP地址。

“The External Port #”(外部端口号)用于指定该内网HTTP服务向外网开放的端口号。
“The Internal Port #”(内部端口号)用于指定内网计算机访问问此服务的端口。倘若该HTTP服务运行在某台内网计算机而非网关上时,就需要填入运行服务的内网计算机的服务端口 。这个步骤叫做端口映射。利用端口映射可以实现从Internet到局域网内部机器的特定端口服务的访问。


轻松创建你自己的服务

要创建自己的服务,你只需要搞清楚所要向外网开放的服务用的是哪个端口,并且还要知道它是遵循TCP还是UDP协议。如果图个省事,在端口映射时让外部端口号与内部端口号保持一致就可以了。XP防火墙对于某些Microsoft应用程序能够自主的进行配置而无需手动干预,例如MSN Messenger。

建立家用的cable/DSL路由防火墙

由于目前市场上只有家用路由器的防火墙类别很多,它们使用的接口也不同,本文无法面面俱到,因而这部分的指导说明要比XP防火墙那部分的篇幅小的多。笔者用的是SMC Barricade 4 port wired/wireless route。记住一点,家用路由器中的防火墙默认是处于打开状态,因此如果你不需要作任何自定义的设置,那只要将路由器直接连接好就可以了。

首先,需要登录到路由器管理界面。一般情况下可在web浏览器内输入路由器的IP地址便可完成登录。如果有任何疑难,可以参照手册。

几乎所有的家用路由器都使用NAT(Network Address Translation)作为其防火策略。NAT是链路级网关的诸多功能与包过滤防火墙的有机合成。

你将又有许多不同级别的功能,以此满足不同安全模式的需要。所有的路由防火墙在缺省条件下都会阻隔外部非法数据,它们也可以进行某些特定端口的映射以让外网能够访问内网某个特定的应用程序。

有一些应用程序需要同时使用多个端口,这种情况下NAT防火墙就束手无策了。为了能应付这类情况,一些路由器和防火墙加入了新功能,它们能够创建特殊的意外程序处理过程,该过程会定义一个“触发式端口”(trigger port),意外程序处理过程会对触发端口进行初始化工作,当有程序使用到该触发端口时,该程序所需的其它端口也将被开启,允许外界的访问。


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点