查看單個文章
舊 2006-06-22, 02:31 AM   #23 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

強弱判斷:Windows Vista系統防火牆初探

網路安全已經被越來越多的人重視起來,而在保證自己的電腦安全方面,最主要的一個手段就是安裝殺毒軟件、網路防火牆以及反間諜軟件等各種程式。微軟自然不會忽略這一點,在Windows XP的早期版本中就推出過免費的Internet連接防火牆,但是該軟件的功能非常有限,只有簡單的入站訪問限制(也就是說,只能對主動從網路向本機發起的網路連接進行限制)。雖然在Windows XP SP2中該防火牆改名為Windows防火牆,但是功能上並沒有太大改進。

  那麼在微軟下一代操作系統Windows Vista中,系統自帶的防火牆有沒有什麼創新?粗看之下,你可能會覺得失望,因為Vista中的防火牆在界面上和Windows XP SP2沒有任何區別,不過別著急,Vista中的防火牆功能可謂大大地提高了,不過大部分功能需要靠安全策略(組策略的一部分)來設置,一起來感受一下吧。

  本文以測試版的Windows Vista 2005年12月CTP版本為例,版本號為5270。當然,正式版中該功能在細節上可能會有所不同,希望大家能夠留意。

  在功能上,Vista中的防火牆(下文統一簡稱為防火牆)主要增加了對內部程式訪問網路(也就是出站連接)的限制,以及和其他電腦之間的連接限制。為了向你演示該防火牆的使用,我們會按照實際使用情況模擬兩種不同的場景。

  啟用防火牆

  首先執行secpol.msc,打開「Local Security Settings(本機安全設置)」視窗,接著在左側的樹形圖中定位到「Security Settings(安全設置)」|「Windows Firewall with Advanced Security(具有高階安全功能的Windows防火牆)」|「 Windows Firewall with Advanced Security on Local Computer(本機電腦上具有高階安全功能的Windows防火牆)」節點,你將能看到類似圖1的界面,下文所介紹的所有功能都將在這裡設置。

http://bbs.crsky.com/1128632305/Mon_0605/22_95137_82852bca1bda8bc.jpg
在「Overview(概述)」選項下我們可以看到,防火牆具有兩個配置文件(Profile),分別用於域環境和單機/工作組環境,其實這個功能在Windows XP SP2中的Windows防火牆上就已經提供了,不過這裡得到了更明顯的改進。下文將以單機環境下的操作為例。

  因為預定情況下防火牆還沒有啟用,因此我們首先需要將其打開。點擊「Windows Firewall Properties(Windows防火牆內容)」鏈接,你將能看到圖2所示的交談視窗,該交談視窗有兩個選擇項,分別對應域環境和單機/工作組環境的配置文件,因此我們打開代表單機環境的「Standard Profile」選擇項,點擊「On(啟用)」選項。
http://bbs.crsky.com/1128632305/Mon_0605/22_95137_99125839b4e11cb.jpg

同時請注意該選項下方的「Inbound connections(入站連接)」和「Outbound connections(出站連接)」這兩個選項,這裡的設置需要注意。預定情況下,我們在這裡設置的「允許」或「禁止」將會影響到所有程式,假設我們在這裡禁止了所有入站連接,但又需要開放對某個連接阜的出站連接(例如本機打開了FTP服務),那麼才需要在隨後的例外設置中進行設置。因此,如果你是一般用戶,建議打開防火牆之後,將入站連接設置為「Block(阻止)」,將出站連接設置為「Allow(允許)」,這樣設置後,自己平時的瀏覽網頁、下載等活動(屬於出站連接)將不會受到任何影響,但是外界的主動連接(入站連接,例如本機執行的網路服務)都將被禁止。隨後則可以通過設置例外規則來完善防火牆的設置。

場景一:入站連接的限制

  第一個環境,我們打算模擬對入站連接進行設置。假設我們在前面已經設置了禁止所有入站連接,但是自己的電腦上開放了FTP服務(假設使用預定的21連接阜),那麼如何能夠在盡量保證安全的前提下允許別人來訪問呢?

  在圖1所示的界面上進入「Inbound Exceptions(入站例外)」節點,並在該節點上點擊滑鼠右鍵,選擇「New Exception(新增例外規則)」選項,你將能看到一個圖3所示的嚮導,所有的設置都將在這裡進行。
http://bbs.crsky.com/1128632305/Mon_0605/22_95137_ff8ad98516c4211.jpg

讓我們首先考慮一下FTP服務器的一些網路特徵吧:FTP服務通常使用TCP協議的固定連接阜,例如本文以及預定情況都將使用21連接阜;同時FTP服務需要有一個監聽的程式,也就是FTP服務器端;同時我們還需要允許這樣的連接。

http://bbs.crsky.com/1128632305/Mon_0605/22_95137_5b097b0f5d7305f.jpg

 確定下來之後就好做多了。首先在圖3所示的界面上選擇例外類型為「Port(連接阜)」,點擊Next,在隨後的網頁面上指定連接所用的協議為「TCP」,同時所用的連接阜為「21」(圖4)。隨後就需要設置採取的操作了,因為我們希望他人可以通過FTP客戶端軟件訪問我們的21連接阜,因此可以選擇「Allow all connections(允許所有連接)」。接著則需要選擇該例外規則適用的配置文件。如果你建立了多個配置文件,那麼這裡就會將其全部列出。遺憾的是,我們只能選擇將該規則應用於全部的配置文件,或者只能應用於某個特定的配置文件,而無法選擇性應用於特定的幾個配置文件中。最後為該規則指定好名稱和描述之後就算完成了。
場景二:出站連接的限制

  這可能是Windows防火牆最不足的地方,以前該防火牆一直無法對系統中已經安裝的程式主動對外界的連接進行限制,在Vista中,該功能和市面上其他第三方的防火牆產品相比毫不遜色。
http://bbs.crsky.com/1128632305/Mon_0605/22_95137_ad9c4dd520f80b8.jpg

在這裡,我們要通過設置讓IE不能訪問特定的網站,看看是如何操作的。

  首先在「Outbound Exceptions(出站例外)」節點上點擊滑鼠右鍵,選擇「New Exception(新增例外規則)」選項,接下來在例外類型中選擇「Custom(自定義)」,並為該例外規則命名。這裡的設置有些奇怪,如果我們選擇了Custom,那麼就要首先將規則創建好,然後打開規則的內容網頁面,進行設置。因此我們需要關閉創建規則的交談視窗,並在視窗右側的列表中找到這個新增的規則,點擊滑鼠右鍵,選擇「Properties(內容)」,接著可以看到類似圖5的交談視窗。

  我們可以這樣操作:首先在圖5所示的交談視窗上點擊「Specific Program(特定應用程式)」選項,並點擊「Browse(瀏覽)」按鈕定位IE主程式的位置;接著在「Action(操作)」選項下選擇「Block(阻止)」。接著打開「Scope(範圍)」選擇項,點擊「Remote Address(遠端地址)」選項下的「Custom(自定義)」,接著點擊右側的「Add(新增)」按鈕,在隨後出現的交談視窗中指定不許訪問的站點的地址(可以是IP地址或者IP地址段,見圖6),設置好之後點擊OK按鈕即可。

http://bbs.crsky.com/1128632305/Mon_0605/22_95137_b8f7f5201570ea8.jpg
經過簡單的試用,Vista中的防火牆功能確實得到了提高,本文所舉的例子只是其中很小的一部分,相信經過恰當的配置,現有這些選項還可以產生很多不錯的設置方案。但是所有這些功能都有一個不足,那就是沒有完整的整合在防火牆的圖形界面中,雖然在本機安全策略控制台下的設置也有很簡明的圖形界面為輔助,不過如果能將這些選項整合到防火牆自己的界面中,應該可以收到更好的效果。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
回覆時引用此帖