|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息�����。資源包括高性能計算機、存儲資源��、數據資源�����、信息資源�、知識資源��、專家資源�����、大型數據庫、網絡����、傳感器等��。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段���。 Windows XP SP2在安全方面做了重大的調整,安全設計融合到整個操作系統中�����,防火墻屏障�、操作系統補丁和更新病毒庫等理念形成一個安全體系�����,而防火墻是這個安全體系的第一道屏障���,它提供了一個強大的保護層�����,可以阻止惡意用戶和程序依靠未經請求的傳入流量攻擊計算機。Windows XP SP2防火墻又稱ICF(Internet Connection frewall),已經具備個人防火墻的基本功能,它是一種能夠阻截所有傳入的未經請求的流量的狀態防火墻�。這些流量既不是響應計算機請求而發送的流量(請求流量)�����,也不是事先指定允許傳入的未經請求的流量(異常流量)。這有助于使計算機更加安全��,使您可以更好地控制計算機上的數據�。和Windows良好的兼容性及可靠性是其它個人防火墻所不能比擬的。 注:此文只探討Windows 防火墻原理��、功能變化以及應用過程中可能遇到問題和解決辦法����,不描述怎樣設置Windows 防火墻,如果未特別說明,本文所提到的Windows 防火墻指Windows XP SP2防火墻����。 本文主要內容 | | 個人防火墻 VS Windows 防火墻 | Windows XP SP2防火墻工作原理 | | Windows 防火墻設置中幾個重要選項 | Windows XP SP2的防火墻真的安全嗎����? | | Win XP SP2的防火墻能限制程序的網絡訪問嗎�? | 部署文件、打印和共享網上鄰居不再困難 | | 沒有人能PING到我的計算機 | 關于遠程協作和遠程桌面 | | Windows XP SP2的防火墻日志的妙用 | 誰關閉了Windows 防火墻 |
[page_break]一、使用個人防火墻還是使用Windows 防火墻 僅就防火墻功能而言���,個人防火墻對雙向流量都進行審核,擁有更復雜的控制列表,但是,Windows 防火墻只阻截所有傳入的未經請求的流量��,對主動請求傳出的流量不作理會����,這一點是它們之間最大的區別。絕大多數商業防火墻都提供了應用程序過濾功能,這一功能可以阻止未通過認證的應用程序向外發送報文,這樣就可以防止病毒或木馬等惡意代碼同外部建立未認證的連接,同時也可以防止用戶的計算機被黑客用做分布式攻擊的跳板。然而����,WindowsXP SP2所帶的防火墻卻只能對進入計算機的報文進行過濾��,而不對計算機向外發出的報文進行過濾,它不對應用程序向外發送報文做任何限制��。 事物有其兩面性��,這些個人防火墻產品依據的防黑客原理通常不一樣�,例如Norton的Personal Firewall(個人防火墻)是基于應用程序的(Application Level)�。基于應用程序的防火墻在使用上相當麻煩,因為你必須要為每一個訪問Internet的程序設置策略。而隨著策略的增多����,防火墻的效率也逐步下降��,況且過多的策略也會相互矛盾、影響,給系統安全帶來漏洞。更糟糕的是,這些個人防火墻產品都非常占用系統資源���。 比如接入網絡游戲聯眾世界的時候,本地計算機請求連接遠程服務器,這時����,個人防火墻立即提示是否允許此連接通過���,而Windows 防火墻對這個主動出站請求不做任何處理,也不做任何提示�,好像防火墻不存在似的����,所以如果入侵已經發生或間諜軟件已經安裝�����,并主動連接到外部網絡����,那么防火墻束手無策����;如果Windows 間諜軟件開放端口等待外部請求連接,那么Windows 防火墻立刻阻斷連接并彈出安全警告���。但這不表示Windows防火墻不安全,因為攻擊多來自外部�,而且如果間諜軟件開放端口等待外部連接的時候�����,Windows防火墻立即阻斷連接,并且作出提示��,關于這一點在下面的文章中還會提到�。 對來自外部的請求連接的控制,Windows防火墻和個人防火墻在功能上區別不大�����。而且Windows防火墻有其獨特的特性���,包括:計算機的所有連接默認啟用ICF���、人性化的屏蔽模式-充分考慮到了計算機使用環境的變化和及時阻斷攻擊和恢復正常使用的情況���、智能應用程序異常流量管理�����、對于 IPv6 ICF 內建支持等功能���。比如在啟動安全性功能上���,有一個可以執行狀態數據包過濾的啟動策略�。該策略允許計算機使用動態主機配置協議(Dynamic Host Configuration Protocol�����,DHCP)和域名系統(Domain Name System���,DNS)執行基本網絡啟動任務����,并與域控制器進行通信��,以更新組策略���。避免計算機在網絡上進入活動狀態的時間與 ICF 開始保護連接的時間之間的延遲中被未經請求的流量在啟動期間攻擊計算機留下了可乘之機��。 遺憾的是Windows防火墻并不提供報警和入侵檢測。雖然Windows防火墻可以防止對系統的入侵���。而且��,其他的一些個人防火墻產品還有更好的診斷和報告功能(Windows防火墻沒有報告功能��,僅僅有個日志)。所以,當選擇使用哪個防火墻產品時�,你應該考慮這些因素��。如果你選擇Windows防火墻,你應該確定自己明白它的有限的能力�����,雖然Windows 防火墻對個人用戶而言已經不在是雞肋��。
[page_break]二��、Windows XP SP2防火墻工作原理 Windows 防火墻使用的全狀態數據包監測技術會把所有由本機發起的網絡連接生成一張表,并用這張表跟所有的入站數據包作對比�,如果入站的數據包是為了響應本機的請求����,那么就被允許進入�����。除非有實施專門的過濾器以允許特定的非主動請求數據包����,否則所有其他數據包都會被阻擋��。 
“例外”選項卡使您可以添加程序和端口例外����,以允許特定類型的傳入通信�����。您可以為每個例外設置范圍。如果開放了某個端口,那么對這個端口的訪問將被允許通過��。端口或者服務可以在“例外”選項中設置或者通過指定應用程序的方法設置����,如QQ等,如果開放端口的服務不是一個應用程序如IIS服務�����,可以直接設置開放的協議和端口號。對于只使用網絡瀏覽、電子郵件����、共享文件夾�、進行普通處理的客戶端和服務器型應用程序的用戶�,Windows防火墻根本不會產生影響。
三、Windows 防火墻設置中幾個重要選項 單擊“開始”��,單擊“運行”�����,鍵入 wscui.cpl�,然后單擊“確定”����,在“Windows 全中心”內單擊“Windows 防火墻”。 - 對于“不允許例外”
當您單擊選中“不允許例外”時,Windows 防火墻將阻止所有連接到您的計算機的請求�����,即使請求來自“例外”選項卡上列出的程序或服務也是如此����。防火墻還會阻止發現網絡設備�����、文件共享和打印機共享�。當您連接到公用網絡(例如��,與機場或旅館相關的網絡)時���,“不允許例外”選項十分有用���。此設置可以阻止所有連接到您的計算機的嘗試���,因而有助于保護您的計算機��。當您使用 Windows 防火墻并啟用了“不允許例外”選項時,您仍然可以查看網頁��,收發電子郵件或使用即時消息傳遞程序���。 - 針對“例外”的說明
“例外”選項卡使您可以添加程序和端口例外�,以允許特定類型的傳入通信。您可以為每個例外設置范圍��。
對于家庭和小型辦公室網絡��,我們建議您在可能的條件下���,將范圍設定為僅限局域網內部���。這樣配置可以使同一個子網上的計算機可以與此計算機上的程序連接�,但拒絕源自遠程網絡的通信����。
[page_break]四��、Windows XP SP2的防火墻真的安全嗎����? Windows防火墻在原則上是對由外向內的通信(inbound)全部進行限制�����,而由內向外的通信(outbound)及其應答則完全不加限制��。Windows防火墻只在像服務器那樣運行的應用程序開始通信時才會發出警告。 以登錄聯眾世界為例:在所有網絡鏈接上打開防火墻,現在,登陸聯眾世界試試���,一樣登陸�����,根本不需要通過防火墻允許。選擇了“不允許例外”�����,結果還是一樣���。而用zonealarm的時候����,任何程序都得經過防火墻的允許。這是為什么���? 前面已經提到了Windows防火墻的特點“只阻截所有傳入的未經請求的流量”也就是說,Windows防火墻對主動出站流量不作處理�,所以登陸聯眾世界/IE等沒有安全提示���,而zonealarm等個人防火墻對所有出、入站流量都作審查�,所以有安全提示(除非設置審查但不提示)�。但是��,為什么QQ/MSN/MYIE2等又有安全提示呢�?這是因為QQ/MSN/MYIE2等試圖在本地開后門--端口等待遠程請求連接�����,顯然這種不安全行為被Windows防火墻攔截并作出安全提示���,這相當于QQ/MSN/MYIE2等作為提供某種服務的服務器端����。如圖所示�,MYIE2在本開了1067端口,QQ使6000和6001處在監聽狀態,而聯眾世界卻沒有開放任何端口。 
取消通知的方法是:防火墻設置-例外-取消選擇“Windows防火墻組織程序時通知我”�。
五����、Windows XP SP2的防火墻可以限制某個應用程序訪問網絡嗎�? Windows XP SP2的防火墻置不適用于不對特定 UDP 或 TCP 端口集合進行監聽的應用程序,不能限制某個應用程序訪問網絡����,但是���,卻可以限制對誰提供哪些服務���,這一點也不同于早期版本的Windows防火墻�����。 雖然Windows防火墻不可以限制出站通訊����,但是Windows XP內置的Internet Protocol security (IPSec)卻可以提供這種保護,使用IPSec規則��,可以指定通訊是被阻斷(丟棄數據)還是被放行(允許)�����,同時能保護加密的入站和出站通訊�����。在這三種情況下(阻斷、允許����、保護)�,IPSec能夠配置原地址和目標地址范圍���。同時使用IPSec規則和Windows防火墻可以給網絡提供更強大的安全保護。
對早期Windows防火墻而言,如果開啟了某些服務,它將允許所有人訪問這些服務�,但是SP2的防火墻卻可以精確的設置是對某臺計算機或者某些子網允許連接�;如果沒有開啟服務����,則所有連接都將被拒絕。設置方法:安全中心-防火墻設置-例外-編輯(某個服務)-更改范圍-自定義列表。自定義列表的說明�,如果對某個IP提供服務��,設置子網掩碼為全1,例如192.168.0.3/255.255.255.255;如果針對某個子網提供服務�,設置正確的子網掩碼��,如192.168.0.1/255.255.255.128,多個項目之間用“,”號隔離。 
如上所述,ICF和基于應用程序的個人防火墻產品是不一樣的�。基于應用程序的個人防火墻可以控制每一個訪問Internet的程序���,但是不能限制某個應用程序訪問網絡,使用使用IPSec規則可以提供對計算機向外發出的報文進行過濾的功能���。
[page_break]六、部署文件和打印共享��、網上鄰居不再困難 網絡資源共享的一個重要應用是文件和打印共享�,如果啟用了防火墻是不是象2003或XPSP1中的防火墻一樣,阻止了文件和打印共享服務呢�?在Windows XP SP22的防火墻下部署文件和打印共享服務非常簡單�,不必擔心出現早期版本遇到的難堪的困難���,如上圖在“例外”選項上“程序和服務”列表中選擇“文件及打印機共享”就可以了�����。曾幾何時�,在XPSP1防火墻中如果要讓防火墻和網上鄰居共存需要映射多個端口��,現在����,如果在Windows XP SP2防火墻啟用了“文件及打印機共享”��,網上鄰居不能正確顯示的問題也迎刃而解����。 
這樣可能帶來新問題�����!如果企業網絡同時連接外部網絡�����,比如INTERNET���,對外開放這些端口是不安全的�����。Windows XP SP2防火墻考慮到了這個安全問題����,在“編輯服務”選項中點擊“更改范圍”��,在彈出的對話框中選擇“僅我的網絡(子網)”���,這樣設置后��,文件和打印共享服務只對內部提供提供,而對外而言服務是不可見的��,這樣就安全多了�����。 
七����、沒有人能PING到我的計算機 在檢查網絡故障的使用通常用PING命令工具,PING一個IP確認該計算機是否存在�,當你PING的時候�,發送的是ICMP(Internet 控制消息協議 �����,此通信用于錯誤和狀態信息的傳遞) Echo messag信號,獲得的回應是ICMP Echo Reply message信號。在默認情況下�,indows xp p2防火墻不允許ICMP Echo messages 入站數據進入���,所以也就不會回復ICMP Echo Reply message數據報文了�����。 
如果啟用了TCP端口445(比如在“例外”中啟用了“文件和打印機共享”),那么別人是可以PING到你的IP的。另外�,在防火墻的高級選項卡中選擇ICMP設置��,并且選擇了“允許傳入回現請求”也可以使別人能夠PING到你的IP。
[page_break]八����、關于遠程協作和遠程桌面 通過Windows XP SP2防火墻實現遠程協作的方法很簡單�,雖然遠程協作使用的是動態端口�。在防火墻設置對話框中的“例外”選項卡上“程序和服務”列表中選擇“遠程協作”項目,這樣Windows自動監視并正確處理來自sessmgr.exe應用程序的所有通訊請求完成連接。 Windows NetMeeting 的遠程桌面要復雜一些,盡管在例外選項卡中有“遠程桌面”選項,但是如果你選擇這個選項���,實際是開放了TCP的端口3389,也可能無法完成遠程桌面連接,正確的方法是: 在 Windows 防火墻打開的情況下�����,在可以使用 Windows NetMeeting 的遠程桌面共享功能之前�����,必須向 Windows 防火墻的“例外”選項卡上“程序和服務”列表中分別為 Windows NetMeeting 和 Mnmsrvc.exe( Drive:\Windows\System32 目錄中)文件和conf.exe(Drive:\Program Files\NetMeeting 文件夾中)文件分別添加一個條目��。 九、Windows XP SP2的防火墻日志的妙用 
日志記錄可以幫助確定入站通信的來源,并提供有關被阻止的通信的詳細信息����。%Windir%\pfirewall.log 是默認的日志文件���,這里記錄的是成功的連接,看看都暴露了哪些信息����,其中中文是作者說明文字���。 pfirewall.log #Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
表頭:日期 時間 狀態 協議 原IP 目標IP 原端口 目標端口 數據包大小 TCP 控制標志 確認 其他數據 推入功能 重置連接 同步序列號 緊急指針字段有效 序列號 確認號 窗口大小 ICMP類型 ICMP代碼 信息條目
2004-09-08 00:55:39 OPEN UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查詢DNS服務器��,DNS服務器地址是202.102.224.68
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ開放UDP端口6001,目標地址219.133.40.157
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 202.104.129.254 4000 8000 - - - - - - - - -
QQ開放UDP端口4000��,目標地址202.104.129.254
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ開放UDP端口6001����,目標地址219.133.38.21
2004-09-08 00:55:53 OPEN UDP 219.154.214.145 61.172.249.139 4000 8000 - - - - - - - - -
QQ開放UDP端口6001,目標地址61.172.249.139
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查詢DNS服務器�,DNS服務器地址是202.102.224.68
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ通過UDP端口6001和目標地址219.133.40.157建立的通訊
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ通過UDP端口6001和目標地址219.133.38.21建立的通訊
[page_break]從中可以看出�����,通過分析日志可以搜集某項應用軟件服務端(如QQ服務器)的IP地址,檢查是否有木馬悄悄開放了后門����,確定某個軟件建立連接時所需要的端口號����,還可以查詢攻擊者的來源地址���。下面附錄詳細解釋了日志表頭信息���。 | 字段 | 說明 | 示例 | | Date | 顯示記錄的事務發生時的年�����、月和日���。日期的記錄格式為 YYYY-MM-DD���,其中 YYYY 表示年���,MM 表示月��,DD 表示天。 | 2001-01-27 | | Time | 顯示記錄的事務發生時的小時����、分鐘和秒����。時間的記錄格式為:HH:MM:SS��,其中 HH 是以 24 小時格式表示的小時�����,MM 表示分鐘數,SS 表示秒數���。 | 21:36:59 | | Action | 指示防火墻觀察到的操作。防火墻的可用選項有 OPEN��、CLOSE�����、DROP 和
INFO-EVENTS-LOST�����。INFO-EVENTS-LOST 操作指示已發生但未記錄在日志中的事件數����。 | OPEN | | Protocol | 顯示通信時所使用的協議。協議條目也可以是一個數字�,用來表示不使用 TCP��、UDP 或 ICMP 的數據包。 | TCP | | src-ip | 顯示源 IP 地址�����,即嘗試建立通信的計算機的 IP 地址����。 | 192.168.0.1 | | dst-ip | 顯示通信嘗試的目標 IP 地址。 | 192.168.0.1 | | src-port | 顯示發送計算機的源端口號。src-port 條目以 1 到 65,535 之間的整數形式記錄���。只有 TCP 和 UDP 會顯示有效的 src-port 條目。所有其他協議的 src-port 條目均顯示為“-”。 | 4039 | | dst-port | 顯示目標計算機的端口號。dst-port 條目以 1 到 65,535 之間的整數形式記錄����。只有 TCP 和 UDP 會顯示有效的 dst-port 條目��。所有其他協議的 dst-port 條目均顯示為“-”。 | 53 | | size | 顯示以字節表示的數據包大小。 | 60 | | tcpflags | 顯示 IP 數據包 TCP 報頭中的 TCP 控制標志: - Ack:確認字段有效
- Fin:沒有來自發送方的其他數據
- PSH:推入功能
- Rst:重置連接
- Syn:同步序列號
- Urg:緊急指針字段有效
標志均采用大寫字母形式。 | AFP | | tcpsyn | 顯示數據包中的 TCP 序列號����。 | 1315819770 | | tcpack | 顯示數據包中的 TCP 確認號����。 | 0 | | tcpwin | 顯示數據包中用字節表示的 TCP 窗口大小�����。 | 64240 | | icmptype | 顯示一個數字,表示 ICMP 消息的“類型”字段���。 | 8 | | icmpcode | 顯示一個數字����,表示 ICMP 消息的“代碼”字段��。 | 0 | | info | 顯示一個信息條目����,具體取決于執行的操作類型��。例如�,INFO-EVENTS-LOST 操作為以下事件個數創建一個條目:從該事件類型最后一次發生后發生但未記錄到日志中的事件���。 | 23 |
注意:連字符 (-) 用于其中沒有條目信息的字段��。 十����、誰關閉了防火墻 大多數第三方防火墻軟件提供商如Zone Labs����、McAfee和Symantec公司都將在近期提供和SP2兼容的新版本防火墻軟件。這些新版軟件在安裝的時候會自動禁用Windows防火墻�����,而在卸載時又會自動啟用Windows防火墻���。第三方廠商通過調用Windows Firewall API來實現這一功能�。然而���,既然防火墻軟件可以這么做��,其他病毒或木馬等惡意代碼就同樣也可以���。病毒或木馬可以修改Windows防火墻程序���,甚至干脆關閉它����。而Zone Labs公司聲明���,他們采取了一些鎖定技術來保證他們的防火墻軟件不會被其他第三方軟件關閉�����,除非你將整個防火墻卸載掉�����。 以下命令顯示防火墻狀態和配置信息 Netsh firewall show state
Netsh firewall show config 另外,如果防火墻被關閉�,安全中心會顯示安全警告�����! 總結 總的來看,相對于以前的Windows自帶的防火墻SP2的防火墻擁有更高的防范性能����,幾乎擁有了其它個人防火墻的優點,所以Win XP SP2的防火墻是值得一試的�,特別是針對個人用戶而言����。
網絡的神奇作用吸引著越來越多的用戶加入其中�,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上��、軟件上�、所用標準上......,各項技術都需要適時應勢�����,對應發展,這正是網絡迅速走向進步的催化劑�。
| 
