扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
微软从Windows XP开始,就在系统内部增加了防火墙功能,这就是最早的Internet Connection Firewall(ICF),这个防火墙只提供基本的数据包过滤功能。到了Windows XP SP2时,随着防火墙功能的逐步提升,这个内置的防火墙被正式更名为Windows Firewall,但功能十分有限。最近,微软推出了Windows Vista,这个系统防火墙新增了哪些功能,技术上又有什么亮点呢?本文为你一一解答。
Windows防火墙可以避免那些利用未请求的传入流量来攻击网络上计算机的恶意用户和程序。仅就防火墙功能而言,Windows防火墙只阻截所有传入的未经请求的流量,即只能对进入电脑的数据进行拦截审查,对主动请求传出的流量不作理会。因此很多计算机用户仍然选择第三方个人防火墙来保护自己的网络安全。
Vista防火墙的亮点
在Windows Vista系统中,Windows防火墙有了极大地改进,它不但可以通过控制面板访问防火墙,还可以配置防火墙高级功能。用户可以通过“基本配置”和“高级配置”窗口进行配置。
防火墙基本配置
进入Vista系统的控制面板,双击运行“Windows防火墙”,弹出的窗口显示Windows防火墙的运行情况。如果系统安装了第三方防火墙,为避免防火墙冲突,Windows防火墙会自动关闭。
通过“常规”选项卡中的选项,用户可以直接开启或关闭防火墙,并可以设置“阻止所有传入连接”选项同时拦截所有程序,它可以让系统临时禁止所有的程序访问网络,而不需要考虑例外情况,从而为用户创造一个相对安全的网络环境。
在Vista 防火墙的基本设置中,允许访问网络的程序也是在“例外”选项卡中进行设置。用户可以通过复选框取消防火墙对某些程序和服务的阻止状态。如果用户希望取消阻止某个程序,但是该程序不在列表中,可以单击“添加程序”按钮来允许该程序的网络访问。在添加程序对话框中,“更改范围”功能可以让该程序在某个范围里访问网络;“高级”选项卡可以让用户选择需要受到防火墙保护的网络连接,在这个选项卡中还可以配置日志内容,以及设置日志的最大容量。在默认情况下,只有响应的ICMP请求包会被接收,其余的ICMP请求均被禁止。
防火墙高级配置
进入Vista系统的控制面板,单击控制面板“管理工具”中的“高级安全Windows防火墙”选项,在弹出的“高级安全Windows防火墙”窗口进行防火墙的高级设置。
Windows防火墙是一种状态防火墙,可以检查并筛选IPv4和IPv6流量的所有数据包。在Windows防火墙的高级配置中,通过使用规则配置功能来响应传入和传出流量,以便确定允许或阻止哪种数据流量。当传入数据包到达计算机时,防火墙检查该数据包并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配,防火墙执行规则中指定的操作,即阻止连接或允许连接;如果数据包与规则中的标准不匹配,防火墙丢弃该数据包,并在防火墙日志文件中创建条目。
对规则进行配置时,可以从各种标准中进行选择,包括应用程序名称、系统服务名称、系统端口、IP地址等。规则中的标准添加的越多,防火墙匹配传入流量就越精细,从而满足不同的需求。Windows防火墙的高级配置包括:入站规则、出站规则、连接安全规则、监视等不同的规则。下面就通以不同的实例,为大家分别介绍不同规则的使用方法。
入站规则
“入站规则”明确允许或阻止与规则条件匹配的通信,比如可以将规则配置为明确允许受IPSec保护的远程桌面通信通过防火墙,但阻止不受IPSec保护的远程桌面通信。首次安装Windows系统时将阻止入站通信,若要允许通信,必须创建一个入站规则。
单击“入站规则”选项,在中间列表可以看到系统自带的一些网络规则。任意选择其中的一条,就可以在右侧的操作区域对该规则进行配置。单击操作区域中的“新规则”按钮,在弹出的“新建入站规则向导”窗口进行配置。
出站规则
由于很多恶意病毒都是经过135端口进行传播的,所以新建一条规则阻止135端口的数据。在“规则类型”中选择“端口”,单击“下一步”,在“协议和端口”中选择“TCP协议”,并且在“特定本地端口”中设置为“135”(如果用户需要设置多个端口,可以在端口之间用逗号隔开),单击“下一步”,在“操作”中选择“阻止连接”选项,单击“下一步”,在“配置文件”中选择所有选项,包括域、专用、公用等,最后单击“下一步”进行规则名称的设置,这样“入站规则”就创建完成了。由于刚刚创建的规则使用的是TCP协议,所以还需要按照同样步骤新建一条UDP协议的规则,这样才能全面阻止通过135端口的入侵行为。
“出站规则”明确允许或者明确拒绝与规则条件匹配的通信,比如可以将规则配置为明确阻止出站通信通过防火墙到达某台计算机,但允许同样的通信到达其他计算机。默认情况下允许全部出站通信,因此必须创建出站规则来限制通信。无论在默认情况下是允许或是阻止连接,都可以配置网络规则进行操作。
连接安全规则
单击“出站规则”选项,同样可以在中间的列表看到系统自带的一些网络规则,单击操作区域中的“新规则”按钮。由于微软自带的IE浏览器很容易被恶意程序所利用,再加上很多用户现在都使用第三方浏览器,所以新建一条阻止IE浏览器访问网络的规则。
在“规则类型”中选择“程序”,在“程序”中选择“此程序路径”,单击“浏览”设置IE浏览器的路径,同样在“操作”中选择“阻止连接”选项,在“配置文件”中选择所有选项后设置规则名称即可。
连接安全包括在两台计算机开始通信之前对它们进行身份验证,并确保在两台计算机间正在发送信息的安全。由于系统防火墙的高级设置包含了Internet协议安全技术,可以使用该规则来评估网络的通信情况,然后根据该规则中所建立的标准阻止或允许消息。
如果要求连接安全,可以通过使用密钥交换、身份验证、数据完整性和数据加密来实现,当两台计算机无法互相进行身份验证时将阻止连接。与单方面操作的防火墙规则不同,连接安全规则要求通讯双方计算机都具有采用连接安全规则的策略或其他兼容的IPSec策略。
防火墙规则允许通信通过防火墙,但不确保这些通信的安全。若要通过IPSec确保通信安全,可以创建计算机连接安全规则,但是创建连接安全规则不允许通信通过防火墙。如果防火墙的默认行为不允许该通信通过,则必须创建防火墙规则来实现。连接安全规则不应用于程序或服务,仅在构成两个终结点的计算机之间应用。
监视
监视是高级防火墙配置的一个最有用的功能,也是建立防火墙控制台最主要的原因,用户可以查看各种规则和当前的属性状态。若要查找ICMP和日志记录设置,在“公用配置文件”下单击“Windows防火墙属性”,单击要更改的配置文件选项卡。在“日志记录”下,单击“自定义”,在出现的对话框中,修改想要更改的设置,然后单击“确定”。可以使用ICMPv4或 ICMPv6 协议创建入站或出站规则,指定ICMP设置。通过控制台右侧的可用功能列表,用户还可以将防火墙规则导出为文本文件,也可以导出以逗号分隔的数据库文件。
Vista防火墙的不足
虽然Vista防火墙有了明显的改进,但还存在一些不足之处。任何网络防火墙都是依靠网络规则进行数据判断的,但是Vista防火墙偏偏就在这里出现问题。
Vista防火墙中的所有设置以及规则,都是保存在本地系统的注册表中,黑客只需编写简单的脚本程序等恶意代码,通过修改注册表中的相关内容,就可以轻松穿越Vista防火墙的拦截,其中包括对程序进程和端口数据的拦截。
比如在“例外”标签中单击“添加端口”按钮,在弹出的窗口中任意设置一个名称,在“端口号”中设置需要使用的端口。接着单击开始菜单中的“运行”命令,打开注册表编辑器,依次展开到如下键值信息:[HKLMSYSTEMControlSet001Services
SharedAccessParametersFirewallPolicyFi
-rewallRules],在其中找到刚刚配置的防火墙规则信息。现在单击“文件”菜单中的“导出”命令,将该配置信息的注册表内容导出。以后只要在其它系统中运行该注册表,就会在远程系统开启设置的端口。
那么应该如何防范这个不足呢?除了定时对防火墙配置规则进行检测,发现可疑的内容应该立即删除或进行修复以外,还可以对修改的注册表信息的权限进行设定。
打开注册表编辑器,展开到配置信息保存路径,单击鼠标右键中的“权限”命令,在弹出的窗口中单击“添加”按钮,接着在“输入对象名称”选项中中输入Everyone,然后单击“检查名称”按钮并确定退出。现在选中“Everyone”,在“Everyone的权限”中选择“完全控制”选项下的“拒绝”,单击“应用”按钮。设置完成后,黑客通过任何方法,都无法篡改Vista防火墙的配置规则,可以进一步保护系统的安全。
Vista防火墙的功能和配置是Windows XP SP2防火墙远远不能相比的。Vista防火墙不但可以对发送和接收的数据进行拦截和审查,还可以让用户自定义规则,所以用户只要灵活的进行配置使用,完全可以满足不同的需求。从上面的介绍我们可以看出,Windows Vista防火墙完全能够满足个人用户的基本要求。
但是也不是说Windows Vista的防火墙就百毒不侵,没有一点不足之处的。首先系统防火墙没有提示功能,虽然系统日志可以记录下相应的信息,但是很难让用户在第一时间得到提示;其次由于Windows防火墙存在“任人唯亲”的问题,所以当它遇见微软自身的进程后并不会询问就放行,所以很多利用IE浏览器进行线程插入的木马程序可以轻易地穿透防火墙的拦截。因此Windows系统防火墙需要改进的方面还有很多,希望这些问题在Vista SP1的时候能够得到解决。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。