|
網絡技術是從1990年代中期發(fā)展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發(fā)展的第三階段。 Internet連接防火墻(ICF,Internet Connection Firewall)為系統的對外連接提供了基本保護,它使用了全狀態(tài)數據包檢測(stateful packet inspection)技術阻擋外部的數據包到達客戶端,除非是客戶端主動請求的。按照默認設置,其他所有的數據包都會被丟棄。 本章將針對ICF的安全設置作個大致說明。 建議的用途 ICF還不足以勝任整個網絡的安全保衛(wèi)任務,ICF不適合運行在那些已經處于嚴密保護的網絡中的計算機上或者運行了某些網絡服務的計算機上,網絡服務通常包括:文件和打印共享,Web服務以及FTP服務等。在那些情況下,為了提供自定義級別的保護,需要使用更專業(yè)的防火墻。 還有一些情況下在客戶端計算機上使用ICF防火墻也不能提供額外的保護,這通常發(fā)生在計算機直接連接到Internet或者外部網絡的情況下。使用DSL或者Cable調制解調器,或者因為移動經常要連接到不同網絡中的便攜式計算機可以從ICF得到最多保護。 特性 ICF使用三種方式保護計算機:全狀態(tài)數據包監(jiān)測、端口掃描保護還有安全日志。下面將對這三種方式分別說明。 全狀態(tài)數據包監(jiān)測 ICF使用的全狀態(tài)數據包監(jiān)測技術會把所有由本機發(fā)起的網絡連接生成一張表,并用這張表跟所有的入站數據包作對比,如果入站的數據包是為了響應本機的請求,那么就被允許進入。除非有實施專門的過濾器以允許特定的非主動請求數據包,否則所有其他數據包都會被阻擋。 端口掃描保護 當使用默認的配置,計算機對大部分的端口掃描器都是不可見的。如果配置被改變以允許特定的連接,那么只要后在高級設置中被設置的端口才會打開,并被掃描到。 大部分端口掃描軟件都會再掃描前進行ICMP ping測試以驗證目標是否存在,默認情況下,ping命令和會被忽略掉,并且在受ICF保護的計算機上,即使某些端口是開放的,在被掃描時這些端口仍然不會做出回應。 安全日制 ICF可以被配置為記錄下所有的連接企圖,你可以選擇記錄成功的連接,或者記錄丟掉的數據包,或者兩者都記錄。不過日志智能記錄這些內容,其他信息都無法被記錄。 [page_break]尚未提供的功能 ICF僅僅提供了入站數據包過濾功能,你無法用它來限制從本地傳出的數據類型,這同時意味著ICF無法限制本機的主動連接。 ICF的設置僅能控制局域網外部計算機到本機的網絡連接,但無法對誰可以訪問哪些服務進行限制。這樣你就不能對某臺特定的計算機、用戶或者網絡的訪問進行控制。如果開啟了某些服務,它將允許所有人訪問這些服務;如果沒有開啟服務,則所有連接都將被拒絕。然而,你可以使用IP過濾的方法對所有入站和出站的連接進行控制。 啟用ICF 在啟用ICF前必須做到: 具有管理員特權 如果你有多個網卡并且想在每個網卡上啟用ICF,那么你必須在每個網卡上啟用和設置。如果你使用網絡任務面板中或者創(chuàng)建網絡連接向導中的家庭和小型辦公室網絡安裝向導,防火墻就已經默認打開了。該向導會根據向導中設置的不同使用以下兩種ICF的工作模式: 這臺計算機直接或通過網絡集線器連接到Internet。我的網絡上的其它計算機業(yè)通過這個方式連接到Internet。 這臺計算機直接連接到Internet。我還沒有網絡。 如果網卡是通過其他任何方式設置的,或者ICF沒有被啟用,還可以通過以下方法啟用: 控制面板 – 網絡 在網絡連接圖標上點擊鼠標右鍵,從彈出菜單中選擇屬性 點擊高級選項卡 選中通過限制或組織來自Internet的對此計算機的訪問來保護我的計算機和網絡。見圖14,這將使用默認配置啟用ICF
[page_break]如果你想要自定義防火墻設置,點擊設置。接著將會出現一個帶有以下三個選項卡的窗口:服務、安全日志以及ICMP。 圖15所示的服務選項卡顯示了可用的常見服務的選項,隨意選擇一個服務后都會出現一個新的窗口,允許你在新窗口里指定運行該服務的計算機的名稱或者地址。除非你的計算機是用來作為網關,否則那個窗口應該顯示ICF運行的計算機的名稱。
你可以通過點擊添加選項卡然后輸入服務具體信息的方法添加額外的服務,例如,要添加一個8080端口的Web服務,所輸入的信息應該如圖16所示。
注意:如果你是通過DHCP服務器獲得IP地址,那么在這里應該輸入機器名而不是IP地址,因為IP地址隨時都可能改變。 [page_break]安全日志選項卡允許對ICF的活動狀態(tài)進行記錄,你可以選擇記錄丟棄的數據包、成功建立的連接或者兩者都記錄,同時你還可以對日志文件的保存位置和大小進行設置。如果日志文件達到了規(guī)定的最大尺寸,老的記錄將會被新記錄覆蓋。日志文件無法被自動壓縮。圖17顯示了安全日志選項。
ICMP選項卡允許選擇允許通過的ICMP消息類型,不像TCP/UDP服務,ICMP選項區(qū)分入站和出站數據包。ICMP數據包可以用來收集網絡信息,建議不要啟用任何一種消息類型,除非必須。圖18顯示了ICMP選項。
總結 ICF對計算機提供了基本的防護,這個保護僅限于入站連接,出站連接或者到本地局域網的連接則不會受到任何限制。默認的配置會阻擋外部所有到本機服務的連接,并會針對端口掃描進行一些保護。通過打開相應的端口,可以允許個別服務通過防火墻,但是并沒有選擇型。你無法通過內容或者目標地址允許或者拒絕網絡傳輸,如果要計算機支持某些服務,它應當位于一些更專業(yè)的防火墻后,這不是ICF所能提供的。 ICF在某些情況下是很有用的,例如當計算機不是某個局域網的一部分而是直接連接到互聯網,例如在外直接撥號到組織中的遠程訪問服務器。注意在使用了IPSec的環(huán)境下,ICF必須被禁用。否則客戶端將無法協商IPSec策略并且無法創(chuàng)建網絡連接。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發(fā)展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業(yè)用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
