网站首页/网络技术列表/内容

Win XP系统网络防火墙设置

网络技术2020-12-27阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
Internet连接防火墙(ICF,Internet Connection Firewall)为系统的对外连接提供了基本保护,它使用了全状态数据包检测(stateful packet inspection)技术阻挡外部的数据包到达客户端,除非是客户端主动请求的。按照默认设置,其他所有的数据包都会被丢弃。

  本章将针对ICF的安全设置作个大致说明。

  建议的用途

  ICF还不足以胜任整个网络的安全保卫任务,ICF不适合运行在那些已经处于严密保护的网络中的计算机上或者运行了某些网络服务的计算机上,网络服务通常包括:文件和打印共享,Web服务以及FTP服务等。在那些情况下,为了提供自定义级别的保护,需要使用更专业的防火墙。

  还有一些情况下在客户端计算机上使用ICF防火墙也不能提供额外的保护,这通常发生在计算机直接连接到Internet或者外部网络的情况下。使用DSL或者Cable调制解调器,或者因为移动经常要连接到不同网络中的便携式计算机可以从ICF得到最多保护。

  特性

  ICF使用三种方式保护计算机:全状态数据包监测、端口扫描保护还有安全日志。下面将对这三种方式分别说明。

  全状态数据包监测

  ICF使用的全状态数据包监测技术会把所有由本机发起的网络连接生成一张表,并用这张表跟所有的入站数据包作对比,如果入站的数据包是为了响应本机的请求,那么就被允许进入。除非有实施专门的过滤器以允许特定的非主动请求数据包,否则所有其他数据包都会被阻挡。

  端口扫描保护

  当使用默认的配置,计算机对大部分的端口扫描器都是不可见的。如果配置被改变以允许特定的连接,那么只要后在高级设置中被设置的端口才会打开,并被扫描到。

  大部分端口扫描软件都会再扫描前进行ICMP ping测试以验证目标是否存在,默认情况下,ping命令和会被忽略掉,并且在受ICF保护的计算机上,即使某些端口是开放的,在被扫描时这些端口仍然不会做出回应。

  安全日制

  ICF可以被配置为记录下所有的连接企图,你可以选择记录成功的连接,或者记录丢掉的数据包,或者两者都记录。不过日志智能记录这些内容,其他信息都无法被记录。


[page_break]尚未提供的功能

  ICF仅仅提供了入站数据包过滤功能,你无法用它来限制从本地传出的数据类型,这同时意味着ICF无法限制本机的主动连接。

  ICF的设置仅能控制局域网外部计算机到本机的网络连接,但无法对谁可以访问哪些服务进行限制。这样你就不能对某台特定的计算机、用户或者网络的访问进行控制。如果开启了某些服务,它将允许所有人访问这些服务;如果没有开启服务,则所有连接都将被拒绝。然而,你可以使用IP过滤的方法对所有入站和出站的连接进行控制。

  启用ICF

  在启用ICF前必须做到:

  具有管理员特权

  ICF必须没有在组策略中被禁用

  警告:使用默认设置启用ICF防火墙会禁用文件和打印共享的能力,ICF同样会禁用浏览网络邻居的能力,请查阅微软知识库文章Q298804获得详细内容

  如果你有多个网卡并且想在每个网卡上启用ICF,那么你必须在每个网卡上启用和设置。如果你使用网络任务面板中或者创建网络连接向导中的家庭和小型办公室网络安装向导,防火墙就已经默认打开了。该向导会根据向导中设置的不同使用以下两种ICF的工作模式:

  这台计算机直接或通过网络集线器连接到Internet。我的网络上的其它计算机业通过这个方式连接到Internet。

  这台计算机直接连接到Internet。我还没有网络。

  如果网卡是通过其他任何方式设置的,或者ICF没有被启用,还可以通过以下方法启用:

  控制面板 – 网络

  在网络连接图标上点击鼠标右键,从弹出菜单中选择属性

  点击高级选项卡

  选中通过限制或组织来自Internet的对此计算机的访问来保护我的计算机和网络。见图14,这将使用默认配置启用ICF



图 14


[page_break]如果你想要自定义防火墙设置,点击设置。接着将会出现一个带有以下三个选项卡的窗口:服务、安全日志以及ICMP。

  图15所示的服务选项卡显示了可用的常见服务的选项,随意选择一个服务后都会出现一个新的窗口,允许你在新窗口里指定运行该服务的计算机的名称或者地址。除非你的计算机是用来作为网关,否则那个窗口应该显示ICF运行的计算机的名称。



图 15

  你可以通过点击添加选项卡然后输入服务具体信息的方法添加额外的服务,例如,要添加一个8080端口的Web服务,所输入的信息应该如图16所示。



图 16

  注意:如果你是通过DHCP服务器获得IP地址,那么在这里应该输入机器名而不是IP地址,因为IP地址随时都可能改变。


[page_break]安全日志选项卡允许对ICF的活动状态进行记录,你可以选择记录丢弃的数据包、成功建立的连接或者两者都记录,同时你还可以对日志文件的保存位置和大小进行设置。如果日志文件达到了规定的最大尺寸,老的记录将会被新记录覆盖。日志文件无法被自动压缩。图17显示了安全日志选项。



图 17

  ICMP选项卡允许选择允许通过的ICMP消息类型,不像TCP/UDP服务,ICMP选项区分入站和出站数据包。ICMP数据包可以用来收集网络信息,建议不要启用任何一种消息类型,除非必须。图18显示了ICMP选项。



图 18

  总结

  ICF对计算机提供了基本的防护,这个保护仅限于入站连接,出站连接或者到本地局域网的连接则不会受到任何限制。默认的配置会阻挡外部所有到本机服务的连接,并会针对端口扫描进行一些保护。通过打开相应的端口,可以允许个别服务通过防火墙,但是并没有选择型。你无法通过内容或者目标地址允许或者拒绝网络传输,如果要计算机支持某些服务,它应当位于一些更专业的防火墙后,这不是ICF所能提供的。

  ICF在某些情况下是很有用的,例如当计算机不是某个局域网的一部分而是直接连接到互联网,例如在外直接拨号到组织中的远程访问服务器。注意在使用了IPSec的环境下,ICF必须被禁用。否则客户端将无法协商IPSec策略并且无法创建网络连接。



网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

……

相关阅读