|
微软在Windows XP中内置了更多的应用软件,在这些新增加的软件中,互联网连接防火墙(Internet
Connection Firewall,简称ICF)无疑是受用户欢迎的一个应用软件。有了ICF,大部分用户都不需要再购买个人防火墙软件,而且与其他占用大量系统资源的防火墙相比,ICF使用的系统资源非常少,即使是比较老式的计算机也不会因为启动了ICF而影响系统的运行速度。
而最重要的一点是ICF可以和其他应用软件和平共处。众所周知,目前的个人防火墙软件除了占用系统资源较多以外,还有两个让用户非常头痛的问题,一个是防火墙有时候会与其他应用软件发生冲突,而引起系统崩溃或者出现一些莫名其妙的故障;另一个问题是防火墙对一些网络应用软件的支持不是很好,例如互联网连接共享(Internet Connection Sharing,简称ICS)在Windows XP上就无法与大部分流行的个人防火墙软件一起工作。但ICF可以和ICS和平共处,而且从Windows XP发行至今还没有发现ICF与其他应用软件产生冲突的问题。
当然话说回来,ICF也不是没有缺点的。作为一个系统内置的防火墙,其功能非常有限。从功能上来看,ICF只是一个用来限制哪些信息可以从用户的家庭或小型办公网络进入互联网以及从互联网进入用户的家庭或小型办公网络的一种软件,而且由于其功能比较简单,所以某些网络应用软件需要用户自己进行一些特殊的设置,否则将有部分功能无法使用,例如使用文件共享软件eDonkey2000时,交换软件的服务器将认为客户的网络接入方式无法支持完整的功能而导致下载速度缓慢。使用NetMeeting时将由于一部分端口被ICF关闭而无法使用视频对话和共享程序等高级功能。因此,如果您准备在Windows XP中使用ICF,有必要先了解一下它的原理及其局限性,这样才能掌握正确的管理方法。
ICF的原理与局限性
ICF是一种通讯过滤型防火墙,也可以称为连接状态检测防火墙。防火墙可监视通过其所保护线路的所有通讯内容,并且通过检查所监视到的每个通讯内容的源地址和目标地址,来判断是允许还是禁止通讯。其功能主要用于防止来自互联网公用线路的而未经请求的通讯进入用户的计算机。
ICF的原理相当简单,它维护一个记录当前计算机网络通讯请求的通讯表,该通讯表在单个计算机的环境中将跟踪源自该计算机的所有网络通讯,当与ICS等互联网连接共享软件一起使用时,将跟踪所有源自当前计算机与其他客户端计算机的网络通信。
在一个来自互联网公用线路的通讯请求连接时,ICF首先获取该通讯的计算机地址与通讯内容,然后与通讯表中的各项进行比较,同时判断这个希望进入用户计算机的通讯用户是否曾经申请过。当请求进入的通讯内容与通讯表中的项目匹配时,ICF允许该通讯进入,否则将拒绝该通讯的请求。
通过这种简单的过滤方法,ICF基本上已经能够满足大部分个人互联网用户的需要。我们知道,对于大部分互联网用户来说,被黑客攻击的可能性是非常低的,最大的危害来自于喜欢挑“软柿子”吃的“业余”黑客。对于这类黑客来说,他们会尝试入侵任何他们可以找到的系统,攻击首先是从扫描特定的网络段、寻找目标开始,而扫描网络通常又从逐一Ping目标IP地址、确认该地址是否有在线的计算机开始,如果用户使用了ICF,即使所使用的IP地址在对方扫描的目标网络段内,由于ICF可以不响应Ping命令,完全可以使计算机不被对方所发现,而且即使用户不小心在QQ或者聊天室等互联网场所上暴露了自己的IP地址,对方将其作为目标地址直接发起攻击,由于ICF能阻止未经请求的通讯进入,其危险性也大大减弱。
但通过ICF的原理也不难看出,与其他防火墙软件相比,其功能非常有限。首先ICF不具备控制应用程序访问互联网的能力,那么如果用户的计算机被植入特洛伊木马或者存在其他破坏性的应用程序,ICF就无法阻止这些危及用户计算机安全的问题。其次ICF没有足够的报警机制、用户认证机制,并且安全控制力度不够细致,无法对连接进行全面控制,对高层次的攻击手段无能为力。此外,由于ICF 检查所有进入计算机的通讯,而某些程序可能有不同的运作方式,因此ICF有可能干扰文件共享等应用程序的操作,用户需要为特定的应用程序进行特定的设置。
ICF的管理与注意事项
在缺省设置下,ICF不允许任何未经请求的通讯进入,所以用户计算机上的互联网服务器将由于来自互联网公用线路的连接请求被拒绝而无法正常工作。因此,如果用户准备在计算机上运行互联网服务器,就需要配置ICF,使服务器所使用的端口能够接受来自外部的未经请求的通讯。比如要在计算机上开放一个Web 服务器,需要依次单击“开始”、“控制面板”,然后双击“网络连接”,单击受ICF保护的网络连接,再后在“网络任务”下,单击“更改该连接的设置”,在“本地连接属性”对话框中单击“高级”选项卡上的“设置”,在新打开的“高级设置”对话框“服务”选项卡上的服务列表中,选中“Web服务器”复选框,并单击“确定”退出即可。
ICF在“高级设置”对话框“服务”选项卡上的服务列表中,预设了Web服务器、FTP服务器等比较常用的服务规则,如果您所使用的服务器未被列出,也可以自定义服务规则,但首先需要从服务器软件的文档文件或网站中获取TCP或UDP端口号的正确配置值。然后在“服务”选项卡上,单击“添加”,再在“服务描述”中键入用于识别服务内容的服务规则名称,在“在您的网络上主持此服务的计算机名称或IP地址”中,键入运行该服务的计算机名称或者IP地址,在“该服务的外部端口号”中,键入用来联系该服务的外部计算机的端口号,在“该服务的内部端口号”中,键入网络上正在使用的服务的端口号,并从“TCP”和“UDP”选项中选择需要指定规则的网络协议。
为了避免在阻止未经请求的通讯时警告信息过于频繁而干扰用户的正常作业,因此ICF阻止通讯通过时不会向您发出警告,而是静静地阻止未经请求的通讯。这本来是一种比较聪明的做法,但当ICF干扰其他网络应用软件的操作,或者需要分析其他故障时却成了一个问题。所以用户应该在上面提到的“高级设置”对话框“安全日志”选项卡上选中“记录被丢弃的包”等复选框,来跟踪防火墙的活动。但需要特别注意,一定要同时指定安全日志文件的大小,以防止拒绝服务所导致的可能的溢出。
配置ICF以运行服务器软件的方法,也就是避免其影响网络应用软件操作的方法。目前有不少网络应用软件,都需要用户添加服务规则才能够正常工作,由于在用户创建互联网连接时ICF是处于缺省启动状态,而很多用户对ICF都不是太了解,因此总是埋怨Windows XP上的网络应用软件有问题,其实只要掌握简单的配置方法,这些问题都很容易解决,例如当您发现Windows Messenger有许多功能无法使用时,只需要增加TCP服务规则,允许6891到6900端口被访问,就可以恢复文件传输功能;打开端口3389可恢复远程协助功能;增加UDP服务允许5004到65535端口被访问,能够恢复视频通讯功能;如果想通过互联网玩著名的游戏Diablo II,只需要增加一个TCP服务规则,并且打开端口4000,再增加一个UDP服务规则6112端口就没有问题了。解决问题的关键在于,获取 TCP 或 UDP 端口号正确配置值。通常这方面的资料可以在应用软件的文档文件或网站中获取,如果的确没有办法找到,也可以通过分析安全日志中被拒绝的通讯来获取。
使用IP安全策略
另外,在Windows XP中,我们还可以通过IP安全策略来定义更具体的安全策略,使系统更加安全,只要您有一般的网络基础,并且所使用的Windows XP不是Home版本就可以。IP安全策略所定义的IP安全协议(IP Security,简称IPSec)始于Windows 2000,被视为抵御内部、专用网络及外部安全攻击的关键防线。IPSec使用加密的安全服务来提供数据的完整性、数据身份验证、数据机密性和对TCP/IP通讯的保护。基于数据包过滤型技术的安全控制技术简单、有效,通过对所有进出的数据包进行检查,获得数据包头的内容,了解数据包的发送地址、目标地址、使用协议、TCP或者UDP的端口等信息,再将检查到的内容与用户设置的规则相比较,根据规则的匹配结果决定是否允许或者禁止数据包的进出。 IPSec 规则通过IP安全策略来控制,您可以使用 IP 安全策略来配置和指派 IPSec 策略。具体的配置方法是首先确保IPSec服务已经启动,启动与否可通过依次单击“开始”、“控制面板”,双击“管理工具”,然后双击“服务”,在服务管理窗口中查看和控制。
进行IP安全策略配置时单击“开始”,然后单击“运行”,在“打开”框中,键入“secpol.msc”,然后在弹出的“本地安全”对话框中右键单击“IP安全策略,在本地计算机”并选中“管理IP筛选器表和筛选器操作”,在新弹出的对话框中单击“添加”准备添加一个IP筛选器列表。在“IP筛选器列表”对话框中首先填写有关名称和描述等用于以后查看列表的项目,然后清除“使用添加向导”复选框的选中状态并单击“添加”,新弹出的“筛选器属性”对话框中第一个选项卡是源地址和目标地址,供您选择,地址可以是当前计算机的IP地址,也可以是所有地址或者一个特定的地址、子网、域。另外下方有一个“镜像”复选框,当选中时相当于另外添加了一条目标地址到源地址互换的规则。在“筛选器属性”对话框另外一个选项卡“协议”上,您可以选择要定义规则的协议和端口的范围。添加完成后回到“管理IP筛选器表和筛选器操作”对话框,这次转到“管理筛选器操作”选项卡,单击“添加”来添加一个操作对应刚才添加的筛选器,操作可以是“阻止”、“允许”、“协商安全”。
IP安全策略向导
管理IP筛选器表和筛选器操作
接下来,我们回到“本地安全”对话框,再次右键单击“IP安全策略,在本地计算机”并选中“创建IP安全策略”,该操作将激活“IP安全策略向导”,在向导中除了在“安全通讯请求”一步中需要清除“激活默认响应规则”的复选框选中状态以外,其他的直接按“下一步”即可。根据向导一步一步完成后将开始编辑属性,编辑时可以通过添加的方式将已经定义好的筛选器添加进来。一个IP安全策略可以定义多个筛选器,IP安全策略通过与按照网络应用需要配置的各个阻止和允许的筛选器相配合,所实现的功能相当于一个数据包过滤型防火墙的功能。
下面再次回到“本地安全”对话框,右键单击新创建的IP安全策略并选中“指派”,指派也就是启动我们新定义的IP安全策略,启动时原来使用的IP安全策略将停止。接着单击“开始”,然后单击“运行”,在“打开”框中,键入“gpupdate”来更新设置。至此我们完成了一个按照自己的需要定义的安全策略,惟一不好的是IP安全策略第一次配置的过程比较复杂,所以我们有必要将其导出,一来作为备份,二来可以在其他计算机上导入使用。这两项操作可以从“本地安全”对话框的“IP安全策略,在本地计算机”的右键菜单中找到。 | 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)