人們現在已習慣在Internet上花費大量時間
隨著DSL和寬帶網絡的普及
人們在Internet上的時間越來越長
個人電腦的安全問題將會變得越來越突出
有統計表明黑客們在每天
小時掃描撥號連接的用戶
當然他們的目標並不是我們這些普通上網用戶
而是那些使用VPN在家辦公的用戶
突破這些用戶的個人電腦總比突破層層設防的公司網絡要容易得多
如果你是使用DSL或其他寬帶網絡的用戶
那麼你的危險將更大了
因為在使用DSL後
你的IP地址將很長時間不變
這無疑給那些黑客帶來了很大的便利
我們當然可以選用一些現有的個人防火牆產品
比如說Norton的個人防火牆產品
Zone Labs的ZoneAlarm
以及國內廠商開發的天網防火牆等等
這些個人防火牆產品依據的防黑客原理通常不一樣
例如Norton的Personal Firewall(個人防火牆)是基於應用程序的(Application Level)
基於應用程序的防火牆在使用上相當麻煩
因為你必須要為每一個訪問Internet的程序設置策略
而隨著策略的增多
防火牆的效率也逐步下降
況且過多的策略也會相互矛盾
影響
給系統安全帶來漏洞
更糟糕的是
這些個人防火牆產品都非常占用系統資源
Windows XP號稱是隨著Windows發布以來最偉大的升級
Windows XP給我們帶來了很多新的特性
互聯網連接防火牆(Internet Connection Firewall
以下簡稱ICF)就是其中的一個新的特性
下面我們就來談談這個ICF
看看它到底能為我們做什麼(注
我們在談ICF的時候都是以Norton的Personal Firewall來做參考和對比的
原因有二
其一
Norton的產品無論在國外還是在國內都是第一流的產品
其二
Norton的這款產品也可以代表這一類產品的技術特點)
ICF的工作原理
ICF就像一個在你的個人電腦和外部Internet世界建立的虛擬盾牌
它可以讓你請求的數據通過
而阻礙你沒有請求的數據包
是一個基於包的防火牆
黑客們的攻擊基本上都是由Ping一個IP地址開始的
當Ping通之後通常都是使用一些軟件來進行端口掃描
攻擊一台個人電腦和攻擊一台主機還是有一點不同的
攻擊主機時目標通常是早已鎖定的
即便Ping不通也不會認為目標主機已經關機了
但是攻擊個人電腦就不同了
通常黑客們是通過掃描一段IP地址開始來鎖定目標
或者是個人電腦的用戶在使用ICQ之類的軟件時暴露了自己的IP地址
對於第一種的情況
Ping不通的IP地址通常被認為沒有使用而忽略過去
所以
ICF的第一個功能就是不響應Ping命令
而且
ICF還禁止外部程序對本機進行端口掃描
拋棄所有沒有請求的IP包
個人電腦同服務器不一樣
一般不會提供例如Ftp
Telnet等服務
這樣可以被黑客們利用的系統漏洞就很少
所以
ICF可以在一定的程度上很好地保護我們的個人電腦
ICF是通過保存一個表格
記錄所有自本機發出的目的IP地址
端口
服務以及其他一些數據來達到保護本機的目的
當一個IP數據包進入本機時
ICF會檢查這個表格
看到達的這個IP數據包是不是本機所請求的
如果是就讓它通過
如果在那個表格中沒有找到相應的記錄就拋棄這個IP數據包
下面的例子可以很好地說明這個原理
當用戶使用Outlook Express來收發電子郵件的時侯
本地個人機發出一個IP請求到POP
郵件服務器
ICF會記錄這個目的IP地址
端口
當一個IP數據包到達本機的時候
ICF首先會進行審核
通過查找事先記錄的數據可以確定這個IP數據包是來自我們請求的目的地址和端口
於是這個數據包獲得通過
當使用Outlook客戶端郵件程序和Exchange郵件服務器時情況有所不同
一旦有新的郵件達到Exchange郵件服務器時
Exchange就會自動發一個IP數據包到Outlook客戶機來通知有新的郵件到達
這種通知是通過RPC Call來實現的
當Exchange的IP數據包到達客戶機時
客戶機的ICF程序就會對這個IP包進行審核發現本機並沒有對這個地址和端口發出IP請求
所以這個IP包就會被拋棄
客戶機當然就不會收到發自Exchange郵件服務器的新郵件通知
手動讓Outlook去接收Exchange郵件服務器上的新郵件當然是可以的
ICF的局限性
那麼
ICF不能做什麼?ICF可不可以完全替代現有的個人防火牆產品?ICF是通過記錄本機的IP請求來確定外來的IP數據包是不是
合法
這當然不可以用在服務器上
為什麼呢?服務器上的IP數據包基本上都不是由服務器先發出
所以ICF這種方法根本就不可以對服務器的安全提供保護
當然你也可以通過相應的設置讓ICF忽略所有發向某一端口的數據包
例如
端口
那麼發向
端口的所有數據包都不會被ICF拋棄
從這種意義上講
端口就成為不設防的端口
這樣的防火牆產品是不可能用在應用服務器上的
服務器上的防火牆產品都是基於建立各種策略來審核外來的IP數據包
ICF和基於應用程序的個人防火牆產品也是不一樣的
基於應用程序的個人防火牆會記錄每一個訪問Internet的程序
例如
通過設置可以讓IE有權來訪問Internet而Netscape的Navigator沒有權限來訪問Internet
即便兩個程序的目的IP地址和端口都是一樣的
Norton的個人防火牆(Personal Firewall)就是這樣一個典型的產品
簡而言之
ICF沒法提供基於應用程序的保護
也沒法建立基於IP包的包審核策略
所以
ICF既不能完全替代現有的個人防火牆產品
也沒有辦法很好地工作在應用服務器上
如何選擇
那我們應該如何選擇?筆者認為
Norton的Personal Firewall可以提供全方面的保護
即便這種保護是建立在繁瑣的設定基礎上的
在它能成功地為你提供一次有效的防護之前
會給你帶來足夠的煩惱
ICF並不能提供完全無懈可擊的防護
但是ICF對個人電腦提供防護是足夠的
在使用Shield Up對裝有ICF的個人電腦進行端口掃描後
Shield Up 給出了
最安全模式
(Full Stealth Mode)的評價
這也是Shield Up對安全評價的最高等級
況且
ICF是Windows XP內建的功能
占用的資源相當少且不用花額外的錢去購買
其實從ICF受益最多的應該是那些仍然在使用Modem上網的朋友
實際上這部分用戶占了
%以上
而在國內絕大部分的用戶都是用Modem上網的
用Modem上網有其自身的特點
首先
你上網的時間不會太長
一般在幾小時上下(包月的除外)
其次
每次建立連接後撥號服務器都會分配一個新的IP地址給你
長時間占用一個相同的IP的可能性應該很低
比起使用DSL和寬帶的用戶來講
用Modem上網本身就安全了很多
所以
使用一個重量級的防火牆實在是沒有太多的意義
而ICF則剛剛好
它既提供了一定的保護
而且又不太占用資源
真的是
剛剛好
!
怎樣使用ICF我們談了這麼多
那ICF到底該怎樣使用?當你建立一個新的連接的時候
向導程序就會問你是否要激活ICF
在每一個連接的屬性→高級選項中也可以讓你選擇激活或者取消ICF功能
在你激活ICF之後
在高級選項的下部就會出現
設置
按鈕
單擊設置就可以對ICF進行進一步的設置
ICF的設置主要有三部分
第一部分是服務項
通過設定這一部分可以讓ICF對某些服務不進行審核
TCP/IP的服務都是由端口來區分的
你可以分別對TCP
UDP或者IP Protocol進行設置
在這一項中已經有了一些可選的缺省設置
當然你可以建立自己的設置
第二部分是關於日志的
ICF可以把它所拋棄的IP數據包以及獲准通過的IP數據包都記錄在案以便可以讓你進行進一步的分析
第三部分就是關於ICMP的
ICMP通常用於Ping
Tracert程序以及路由的動態實現
我的建議是禁止所有的ICMP響應除非你有特別的需要
定期分析日志可以發現潛在的安全問題
ICF的日志分為兩部分
一部分是ICF審核通過的IP數據包
而另一部分就是ICF拋棄的IP數據包
日志一般存於Windows目錄之下
文件名是pfirewall
log
其文件格式符合W
C擴展日志文件格式(W
C Extended Log File Format)
分為兩部分
分別是文件頭(Head Information)和文件主體(Body Information)
文件頭主要是關於pfirewall
log這個文件的說明
需要注意的主要是文件主體部分
文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP數據包的信息
包括源地址
目的地址
端口
時間
協議以及其他一些信息
理解這些信息需要較多的TCP/IP協議的知識
在實際的使用中應盡量避免在局域網中使用ICF
它可能會給一些網絡應用帶來影響
在個人電腦中使用也可能會對一些程序的運行帶來影響
例如
OICQ的
語音世界
功能就是建立在雙方交互的基礎上的
而ICF會影響這些交互過程從而使得連接無法建立
解決這樣的問題也很簡單
一種當然是取消ICF
但這不是推薦的方法
另一種方法就是找到到底OICQ使用哪個端口來實現語音功能
在前面介紹的屬性→高級→設置→服務中來添加一項自定義設置從而使ICF忽略這個端口的檢測
這樣
OICQ的語音功能就可以正常使用了
總之
ICF是Windows XP提供的一項新的功能
它並不是用來取代現有的個人防火牆產品
但是ICF能夠為個人電腦提供相當的保護
我們為獲得在網絡上的安全所需要做的就是在建立連接的時候選擇使用ICF
在需要的時候作出必要的設定
並且定期查看日志
當然
最先要做的就是購買Windows XP的家用或者專業版
並把它們安裝起來
From:http://tw.wingwit.com/Article/os/xtgl/201311/8683.html
