熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

Windows XP防火牆深層探索

2013-11-11 21:33:12  來源: Windows系統管理 

  人們現在已習慣在Internet上花費大量時間隨著DSL和寬帶網絡的普及人們在Internet上的時間越來越長個人電腦的安全問題將會變得越來越突出有統計表明黑客們在每天小時掃描撥號連接的用戶當然他們的目標並不是我們這些普通上網用戶而是那些使用VPN在家辦公的用戶突破這些用戶的個人電腦總比突破層層設防的公司網絡要容易得多如果你是使用DSL或其他寬帶網絡的用戶那麼你的危險將更大了因為在使用DSL後你的IP地址將很長時間不變這無疑給那些黑客帶來了很大的便利我們當然可以選用一些現有的個人防火牆產品比如說Norton的個人防火牆產品Zone Labs的ZoneAlarm以及國內廠商開發的天網防火牆等等這些個人防火牆產品依據的防黑客原理通常不一樣例如Norton的Personal Firewall(個人防火牆)是基於應用程序的(Application Level)基於應用程序的防火牆在使用上相當麻煩因為你必須要為每一個訪問Internet的程序設置策略而隨著策略的增多防火牆的效率也逐步下降況且過多的策略也會相互矛盾影響給系統安全帶來漏洞更糟糕的是這些個人防火牆產品都非常占用系統資源
  
  Windows XP號稱是隨著Windows發布以來最偉大的升級Windows XP給我們帶來了很多新的特性互聯網連接防火牆(Internet Connection Firewall以下簡稱ICF)就是其中的一個新的特性下面我們就來談談這個ICF看看它到底能為我們做什麼(注我們在談ICF的時候都是以Norton的Personal Firewall來做參考和對比的原因有二其一Norton的產品無論在國外還是在國內都是第一流的產品其二Norton的這款產品也可以代表這一類產品的技術特點)
  
  ICF的工作原理
  ICF就像一個在你的個人電腦和外部Internet世界建立的虛擬盾牌它可以讓你請求的數據通過而阻礙你沒有請求的數據包是一個基於包的防火牆黑客們的攻擊基本上都是由Ping一個IP地址開始的當Ping通之後通常都是使用一些軟件來進行端口掃描攻擊一台個人電腦和攻擊一台主機還是有一點不同的攻擊主機時目標通常是早已鎖定的即便Ping不通也不會認為目標主機已經關機了但是攻擊個人電腦就不同了通常黑客們是通過掃描一段IP地址開始來鎖定目標或者是個人電腦的用戶在使用ICQ之類的軟件時暴露了自己的IP地址對於第一種的情況Ping不通的IP地址通常被認為沒有使用而忽略過去所以ICF的第一個功能就是不響應Ping命令而且ICF還禁止外部程序對本機進行端口掃描拋棄所有沒有請求的IP包個人電腦同服務器不一樣一般不會提供例如FtpTelnet等服務這樣可以被黑客們利用的系統漏洞就很少所以ICF可以在一定的程度上很好地保護我們的個人電腦
  
  ICF是通過保存一個表格記錄所有自本機發出的目的IP地址端口服務以及其他一些數據來達到保護本機的目的 當一個IP數據包進入本機時ICF會檢查這個表格看到達的這個IP數據包是不是本機所請求的如果是就讓它通過如果在那個表格中沒有找到相應的記錄就拋棄這個IP數據包下面的例子可以很好地說明這個原理當用戶使用Outlook Express來收發電子郵件的時侯本地個人機發出一個IP請求到POP郵件服務器ICF會記錄這個目的IP地址端口當一個IP數據包到達本機的時候ICF首先會進行審核通過查找事先記錄的數據可以確定這個IP數據包是來自我們請求的目的地址和端口於是這個數據包獲得通過當使用Outlook客戶端郵件程序和Exchange郵件服務器時情況有所不同一旦有新的郵件達到Exchange郵件服務器時Exchange就會自動發一個IP數據包到Outlook客戶機來通知有新的郵件到達這種通知是通過RPC Call來實現的當Exchange的IP數據包到達客戶機時客戶機的ICF程序就會對這個IP包進行審核發現本機並沒有對這個地址和端口發出IP請求所以這個IP包就會被拋棄客戶機當然就不會收到發自Exchange郵件服務器的新郵件通知手動讓Outlook去接收Exchange郵件服務器上的新郵件當然是可以的
  
  ICF的局限性
  那麼ICF不能做什麼?ICF可不可以完全替代現有的個人防火牆產品?ICF是通過記錄本機的IP請求來確定外來的IP數據包是不是合法這當然不可以用在服務器上為什麼呢?服務器上的IP數據包基本上都不是由服務器先發出所以ICF這種方法根本就不可以對服務器的安全提供保護當然你也可以通過相應的設置讓ICF忽略所有發向某一端口的數據包例如端口那麼發向端口的所有數據包都不會被ICF拋棄從這種意義上講端口就成為不設防的端口這樣的防火牆產品是不可能用在應用服務器上的服務器上的防火牆產品都是基於建立各種策略來審核外來的IP數據包ICF和基於應用程序的個人防火牆產品也是不一樣的基於應用程序的個人防火牆會記錄每一個訪問Internet的程序例如通過設置可以讓IE有權來訪問Internet而Netscape的Navigator沒有權限來訪問Internet即便兩個程序的目的IP地址和端口都是一樣的Norton的個人防火牆(Personal Firewall)就是這樣一個典型的產品簡而言之ICF沒法提供基於應用程序的保護也沒法建立基於IP包的包審核策略所以ICF既不能完全替代現有的個人防火牆產品也沒有辦法很好地工作在應用服務器上
  
  如何選擇
  那我們應該如何選擇?筆者認為Norton的Personal Firewall可以提供全方面的保護即便這種保護是建立在繁瑣的設定基礎上的在它能成功地為你提供一次有效的防護之前會給你帶來足夠的煩惱ICF並不能提供完全無懈可擊的防護但是ICF對個人電腦提供防護是足夠的在使用Shield Up對裝有ICF的個人電腦進行端口掃描後Shield Up 給出了最安全模式(Full Stealth Mode)的評價這也是Shield Up對安全評價的最高等級況且ICF是Windows XP內建的功能占用的資源相當少且不用花額外的錢去購買其實從ICF受益最多的應該是那些仍然在使用Modem上網的朋友實際上這部分用戶占了%以上而在國內絕大部分的用戶都是用Modem上網的用Modem上網有其自身的特點首先你上網的時間不會太長一般在幾小時上下(包月的除外)其次每次建立連接後撥號服務器都會分配一個新的IP地址給你長時間占用一個相同的IP的可能性應該很低比起使用DSL和寬帶的用戶來講用Modem上網本身就安全了很多所以使用一個重量級的防火牆實在是沒有太多的意義而ICF則剛剛好它既提供了一定的保護而且又不太占用資源真的是剛剛好
  
  怎樣使用ICF我們談了這麼多那ICF到底該怎樣使用?當你建立一個新的連接的時候向導程序就會問你是否要激活ICF在每一個連接的屬性→高級選項中也可以讓你選擇激活或者取消ICF功能在你激活ICF之後在高級選項的下部就會出現設置按鈕單擊設置就可以對ICF進行進一步的設置ICF的設置主要有三部分第一部分是服務項通過設定這一部分可以讓ICF對某些服務不進行審核TCP/IP的服務都是由端口來區分的你可以分別對TCPUDP或者IP Protocol進行設置在這一項中已經有了一些可選的缺省設置當然你可以建立自己的設置第二部分是關於日志的ICF可以把它所拋棄的IP數據包以及獲准通過的IP數據包都記錄在案以便可以讓你進行進一步的分析第三部分就是關於ICMP的ICMP通常用於PingTracert程序以及路由的動態實現我的建議是禁止所有的ICMP響應除非你有特別的需要
  
  定期分析日志可以發現潛在的安全問題ICF的日志分為兩部分一部分是ICF審核通過的IP數據包而另一部分就是ICF拋棄的IP數據包日志一般存於Windows目錄之下文件名是pfirewalllog其文件格式符合WC擴展日志文件格式(WC Extended Log File Format)分為兩部分分別是文件頭(Head Information)和文件主體(Body Information)文件頭主要是關於pfirewalllog這個文件的說明需要注意的主要是文件主體部分文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP數據包的信息包括源地址目的地址端口時間協議以及其他一些信息理解這些信息需要較多的TCP/IP協議的知識
  
  在實際的使用中應盡量避免在局域網中使用ICF它可能會給一些網絡應用帶來影響在個人電腦中使用也可能會對一些程序的運行帶來影響例如OICQ的語音世界功能就是建立在雙方交互的基礎上的而ICF會影響這些交互過程從而使得連接無法建立解決這樣的問題也很簡單一種當然是取消ICF但這不是推薦的方法另一種方法就是找到到底OICQ使用哪個端口來實現語音功能在前面介紹的屬性→高級→設置→服務中來添加一項自定義設置從而使ICF忽略這個端口的檢測這樣OICQ的語音功能就可以正常使用了
  
  總之ICF是Windows XP提供的一項新的功能它並不是用來取代現有的個人防火牆產品但是ICF能夠為個人電腦提供相當的保護我們為獲得在網絡上的安全所需要做的就是在建立連接的時候選擇使用ICF在需要的時候作出必要的設定並且定期查看日志當然最先要做的就是購買Windows XP的家用或者專業版並把它們安裝起來

From:http://tw.wingwit.com/Article/os/xtgl/201311/8683.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.