防火牆知識介紹

[psac]

防火牆知識介紹

一. 防火牆的概念


　　近年來，隨著普通電腦用戶群的日益增長，「防火牆」一詞已經不再是伺服器領域的專署，大部分家庭用戶都知道為自己愛機安裝各種「防火牆」軟體了。



但是，並不是所有用戶都對「防火牆」有所瞭解的，一部分用戶甚至認為，「防火牆」是一種軟體的名稱……
　　到底什麼才是防火牆？
它工作在什麼位置，起著什麼作用？查閱歷史書籍可知，古代構築和使用木製結構房屋的時候為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋週圍作為屏障，這種防護構築物就被稱為「防火牆」（FireWall）。



時光飛梭，隨著電腦和網路的發展，各種攻擊入侵手段也相繼出現了，為了保護電腦的安全，人們開發出一種能阻止電腦之間直接通信的技術，並沿用了古代類似這個功能的名字——「防火牆」技術來源於此。




用專業術語來說，防火牆是一種位於兩個或多個網路間，實施網路之間訪問控制的元件集合。對於普通用戶來說，所謂「防火牆」，指的就是一種被放置在自己的電腦與外界網路之間的防禦系統，從網路發往電腦的所有資料都要經過它的判斷處理後，才會決定能不能把這些資料交給電腦，一旦發現有害資料，防火牆就會攔截下來，實現了對電腦的保護功能。
　　防火牆技術從誕生開始，就在一刻不停的發展著，各種不同結構不同功能的防火牆，構築成網路上的一道道防禦大堤。


二. 防火牆的分類


　　世界上沒有一種事物是唯一的，防火牆也一樣，為了更有效率的對付網路上各種不同攻擊手段，防火牆也派分出幾種防禦架構。根據物理特性，防火牆分為兩大類，硬體防火牆和軟體防火牆。



軟體防火牆是一種安裝在負責內外網路轉換的網路閘道伺服器或者獨立的個人電腦上的特殊程序，它是以邏輯形式存在的，防火牆程序跟隨系統啟動，通過執行在Ring0層次的特殊驅動模組把防禦機制插入系統關於網路的處理部分和網路接頭設備驅動之間，形成一種邏輯上的防禦體系。




　　在沒有軟體防火牆之前，系統和網路接頭設備之間的通道是直接的，網路接頭設備通過網路驅動程式接頭（Network Driver Interface Specification，NDIS）把網路上傳來的各種報文都忠實的交給系統處理，例如一台電腦接收到請求列出電腦上所有共享資源的資料報文，NDIS直接把這個報文提交給系統，系統在處理後就會返回相應資料，在某些情況下就會造成訊息洩漏。而使用軟體防火牆後，儘管NDIS接收到仍然的是原封不動的資料報文，但是在提交到系統的通道上多了一層防禦機制，所有資料報文都要經過這層機制根據一定的規則判斷處理，只有它認為安全的資料才能到達系統，其他資料則被丟棄。因為有規則提到「列出共享資源的行為是危險的」，因此在防火牆的判斷下，這個報文會被丟棄，這樣一來，系統接收不到報文，則認為什麼事情也沒發生過，也就不會把訊息洩漏出去了。



　　軟體防火牆工作於系統接頭與NDIS之間，用於檢查過濾由NDIS傳送過來的資料，在無需改動硬體的前提下便能實現一定強度的安全保障，但是由於軟體防火牆自身屬於執行於系統上的程序，不可避免的需要佔用一部分CPU資源維持工作，而且由於資料判斷處理需要一定的時間，在一些資料流量大的網路裡，軟體防火牆會使整個系統工作效率和資料吞吐速度下降，甚至有些軟體防火牆會存在漏洞，導致有害資料可以繞過它的防禦體系，給資料安全帶來損失，因此，許多企業並不會考慮用軟體防火牆方案作為公司網路的防禦措施，而是使用看得見摸得著的硬體防火牆。




　　硬體防火牆是一種以物理形式存在的專用設備，通常架設於兩個網路的駁接處，直接從網路設備上檢查過濾有害的資料報文，位於防火牆設備後端的網路或者伺服器接收到的是經過防火牆處理的相對安全的資料，不必另外分出CPU資源去進行關於軟體架構的NDIS資料檢測，可以大大提高工作效率。




　　硬體防火牆一般是通過網線連接於外部網路接頭與內部伺服器或企業網路之間的設備，這裡又另外派分出兩種結構，一種是普通硬體等級防火牆，它擁有標準電腦的硬體平台和一些功能經過簡化處理的UNIX系列操作系統和防火牆軟體，這種防火牆措施相當於專門拿出一台電腦安裝了軟體防火牆，除了不需要處理其他事務以外，它畢竟還是一般的操作系統，因此有可能會存在漏洞和不穩定因素，安全性並不能做到最好；另一種是所謂的「晶片」級硬體防火牆，它採用專門設計的硬體平台，在上面搭建的軟體也是專門開發的，並非流行的操作系統，因而可以達到較好的安全效能保障。但無論是哪種硬體防火牆，管理員都可以通過電腦連接上去設定工作參數。由於硬體防火牆的主要作用是把傳入的資料報文進行過濾處理後轉發直接於防火牆後面的網路中，因此它自身的硬體規格也是分等級的，儘管硬體防火牆已經足以實現比較高的訊息處理效率，但是在一些對資料吞吐量要求很高的網路裡，等級低的防火牆仍然會形成瓶頸，所以對於一些大企業而言，晶片級的硬體防火牆才是他們的首選。




　　有人也許會這麼想，既然PC架構的防火牆也不過如此，那麼購買這種防火牆還不如自己找技術人員專門騰出一台電腦來做防火牆方案了。雖然這樣做也是可以的，但是工作效率並不能和真正的PC架構防火牆相比，因為PC架構防火牆採用的是專門修改簡化過的系統和相應防火牆程序，比一般電腦系統和軟體防火牆更高度緊密集合，而且由於它的工作性質決定了它要具備非常高的穩定性、實用性和非常高的系統吞吐效能，這些要求並不是安裝了多網路卡的電腦就能簡單替代的，因此PC架構防火牆雖然是與電腦差不多的組態，價格卻相差很大。




　　現實中我們往往會發現，並非所有企業都架設了晶片級硬體防火牆，而是用PC架構防火牆甚至前面提到的電腦替代方案支撐著，為什麼？

這大概就是硬體防火牆最顯著的缺點了：它太貴了！
購進一台PC架構防火牆的成本至少都要幾千元，高階次的晶片級防火牆方案更是在十萬元以上，這些價格並非是小企業所能承受的，而且對於一般家庭用戶而言，自己的資料和系統安全也無需專門用到一個硬體設備去保護，何況為一台防火牆投入的資金足以讓用戶購買更高階的電腦了，因而廣大用戶只要安裝一種好用的軟體防火牆就夠了。




　　為防火牆分類的方法很多，除了從形式上把它分為軟體防火牆和硬體防火牆以外，還可以從技術上分為「包過濾型」、「套用代理型」和「狀態監視」三類；從結構上又分為單一主機防火牆、路由整合式防火牆和分佈式防火牆三種；按工作位置分為邊界防火牆、個人防火牆和混合防火牆；按防火牆效能分為百兆級防火牆和千兆級防火牆兩類……雖然看似種類繁多，但這只是因為業界分類方法不同罷了，例如一台硬體防火牆就可能由於結構、資料吞吐量和工作位置而規劃為「百兆級狀態監視型邊界防火牆」，因此這裡主要介紹的是技術方面的分類，即「包過濾型」、「套用代理型」和「狀態監視型」防火牆技術。




　　那麼，那些所謂的「邊界防火牆」、「單一主機防火牆」又是什麼概念呢？所謂「邊界」，就是指兩個網路之間的接頭處，工作於此的防火牆就被稱為「邊界防火牆」；與之相對的有「個人防火牆」，它們通常是關於軟體的防火牆，只處理一台電腦的資料而不是整個網路的資料，現在一般家庭用戶使用的軟體防火牆就是這個分類了。


而「單一主機防火牆」呢，就是我們最一般的一台台硬體防火牆了；一些廠商為了節約成本，直接把防火牆功能嵌進路由設備裡，就形成了路由整合式防火牆……


三. 防火牆技術


　　傳統意義上的防火牆技術分為三大類，「包過濾」（Packet Filtering）、「套用代理」（Application Proxy）和「狀態監視」（Stateful Inspection），無論一個防火牆的實現程序多麼複雜，歸根結底都是在這三種技術的基礎上進行功能增強的。



1.包過濾技術

　　包過濾是最早使用的一種防火牆技術，它的第一代模型是「靜態包過濾」（Static Packet Filtering），使用包過濾技術的防火牆通常工作在OSI模型中的網路層（Network Layer）上，後來發展更新的「動態包過濾」（Dynamic Packet Filtering）增加了傳輸層（Transport Layer），簡而言之，包過濾技術工作的地方就是各種關於TCP/IP傳輸協定的資料報文進出的通道，它把這兩層作為資料監控的對象，對每個資料包的頭部、傳輸協定、位址、連接阜、檔案類型等訊息進行分析，並與預先設定好的防火牆過濾規則（Filtering Rule）進行核對，一旦發現某個包的某個或多個部分與過濾規則匹配並且條件為「阻止」的時候，這個包就會被丟棄。




適當的設定過濾規則可以讓防火牆工作得更安全有效，但是這種技術只能根據預設的過濾規則進行判斷，一旦出現一個沒有在設計人員意料之中的有害資料包請求，整個防火牆的保護就相當於擺設了。


也許你會想，讓用戶自行增加不行嗎？但是別忘了，我們要為是普通電腦用戶考慮，並不是所有人都瞭解網路傳輸協定的，如果防火牆工具出現了過濾遺漏問題，他們只能等著被入侵了。




一些公司採用定期從網路昇級過濾規則的方法，這個創意固然可以方便一部分家庭用戶，但是對相對比較專業的用戶而言，卻不見得就是好事，因為他們可能會有根據自己的機器環境設定和改動的規則，如果這個規則剛好和昇級到的規則發生衝突，用戶就該鬱悶了，而且如果兩條規則衝突了，防火牆該聽誰的，會不會當場「死給你看」（崩潰）？

也許就因為考慮到這些因素，至今我沒見過有多少個產品會提供過濾規則更新功能的，這並不能和殺毒軟體的病毒特徵庫昇級原理相提並論。





為了解決這種魚與熊掌的問題，人們對包過濾技術進行了改進，這種改進後的技術稱為「動態包過濾」（市場上存在一種「關於狀態的包過濾防火牆」技術，即Stateful-based Packet Filtering，他們其實是同一檔案類型），與它的前輩相比，動態包過濾功能在保持著原有靜態包過濾技術和過濾規則的基礎上，會對已經成功與電腦連接的報文傳輸進行跟蹤，並且判斷該連接傳送的資料包是否會對系統構成威脅，一旦觸發其判斷機制，防火牆就會自動產生新的臨時過濾規則或者把已經存在的過濾規則進行修改，從而阻止該有害資料的繼續傳輸，但是由於動態包過濾需要消耗額外的資源和時間來抽取資料包內容進行判斷處理，所以與靜態包過濾相比，它會降低執行效率，但是靜態包過濾已經幾乎結束市場了，我們能選項的，大部分也只有動態包過濾防火牆了。


　　關於包過濾技術的防火牆，其缺點是很顯著的：
它得以進行正常工作的一切依據都在於過濾規則的實施，但是偏又不能滿足建立精細規則的要求（規則數量和防火牆效能成反比），而且它只能工作於網路層和傳輸層，並不能判斷進階傳輸協定裡的資料是否有害，但是由於它廉價，容易實現，所以它依然服役在各種領域，在技術人員頻繁的設定下為我們工作著。


2.套用代理技術




　　由於包過濾技術無法提供完善的資料保護措施，而且一些特殊的報文攻擊僅僅使用過濾的方法並不能消除危害（如SYN攻擊、ICMP洪水等），因此人們需要一種更全面的防火牆保護技術，在這樣的需求背景下，採用「套用代理」（Application Proxy）技術的防火牆誕生了。


我們的讀者還記得「代理」的概念嗎？代理伺服器作為一個為用戶保密或者突破訪問限制的資料轉發通道，在網路上套用廣泛。


我們都知道，一個完整的代理設備包含一個服務端和客戶端，服務端接收來自用戶的請求，使用自身的客戶端模擬一個關於用戶請求的連線到目標伺服器，再把目標伺服器返回的資料轉發給用戶，完成一次代理工作程序。那麼，如果在一台代理設備的服務端和客戶端之間連接一個過濾措施呢？

這樣的思想便造就了「套用代理」防火牆，這種防火牆實際上就是一台小型的帶有資料檢測過濾功能的透明代理伺服器（Transparent Proxy），但是它並不是單純的在一個代理設備中嵌入包過濾技術，而是一種被稱為「套用傳輸協定分析」（Application Protocol Analysis）的新技術。




　　「套用傳輸協定分析」技術工作在OSI模型的最高層——套用層上，在這一層裡能接觸到的所有資料都是最終形式，也就是說，防火牆「看到」的資料和我們看到的是一樣的，而不是一個個帶著位址連接阜傳輸協定等原始內容的資料包，因而它可以實現更進階的資料檢測程序。整個代理防火牆把自身映射為一條透明線路，在用戶方面和外界線路看來，它們之間的連接並沒有任何阻礙，但是這個連接的資料收發實際上是經過了代理防火牆轉向的，當外界資料進入代理防火牆的客戶端時，「套用傳輸協定分析」模組便根據套用層傳輸協定處理這個資料，通過預置的處理規則（沒錯，又是規則，防火牆離不開規則）查詢這個資料是否帶有危害，由於這一層面對的已經不再是組合有限的報文傳輸協定，甚至可以識別類似於「GET /sql.asp?id=1 and 1」的資料內容，所以防火牆不僅能根據資料層提供的訊息判斷資料，更能像管理員分析伺服器日誌那樣「看」內容辨危害。



而且由於工作在套用層，防火牆還可以實現雙向限制，在過濾外部網路有害資料的同時也監控著內部網路的訊息，管理員可以組態防火牆實現一個身份驗證和連接時限的功能，進一步防止內部網路訊息洩漏的隱患。最後，由於代理防火牆採取是代理機制進行工作，內外部網路之間的通信都需先經過代理伺服器稽核，通過後再由代理伺服器連接，根本沒有給分隔在內外部網路兩邊的電腦直接會話的機會，可以避免入侵者使用「資料驅動」攻擊方式（一種能通過包過濾技術防火牆規則的資料報文，但是當它進入電腦處理後，卻變成能夠修改系統設定和用戶資料的惡意程式碼）滲透內部網路，可以說，「套用代理」是比包過濾技術更完善的防火牆技術。



　　但是，似乎任何東西都不可能逃避「墨菲定律」的規則，代理型防火牆的結構特徵偏偏正是它的最大缺點，由於它是關於代理技術的，通過防火牆的每個連接都必須建立在為之新增的代理程序工作上，而代理工作自身是要消耗一定時間的，更何況代理工作裡還有一套複雜的傳輸協定分析機制在同時工作，於是資料在通過代理防火牆時就不可避免的發生資料遲滯現象，換個形象的說法，每個資料連接在經過代理防火牆時都會先被請進保安室喝杯茶搜搜身再繼續趕路，而保安的工作速度並不能很快。




代理防火牆是以犧牲速度為代價換取了比包過濾防火牆更高的安全效能，在網路吞吐量不是很大的情況下，也許用戶不會察覺到什麼，然而到了資料交換頻繁的時刻，代理防火牆就成了整個網路的瓶頸，而且一旦防火牆的硬體組態支撐不住高強度的資料流量而發生罷工，整個網路可能就會因此癱瘓了。


所以，代理防火牆的普及範圍還遠遠不及包過濾型防火牆，而在軟體防火牆方面更是幾乎沒見過類似產品了——單機並不具備代理技術所需的條件，所以就目前整個龐大的軟體防火牆市場來說，代理防火牆很難有立足之地。




3.狀態監視技術


　　這是繼「包過濾」技術和「套用代理」技術後發展的防火牆技術，它是CheckPoint技術公司在關於「包過濾」原理的「動態包過濾」技術發展而來的，與之類似的有其他廠商聯合發展的「深度包檢測」（Deep Packet Inspection）技術。


這種防火牆技術通過一種被稱為「狀態監視」的模組，在不影響網路安全正常工作的前提下採用抽取相關資料的方法對網路通信的各個層次實行監測，並根據各種過濾規則作出安全決策。



　　「狀態監視」（Stateful Inspection）技術在保留了對每個資料包的頭部、傳輸協定、位址、連接阜、檔案類型等訊息進行分析的基礎上，進一步發展了「會話過濾」（Session Filtering）功能，在每個連接建立時，防火牆會為這個連接構造一個會話狀態，裡面包含了這個連接資料包的所有訊息，以後這個連接都關於這個狀態訊息進行，這種檢測的高明之處是能對每個資料包的內容進行監視，一旦建立了一個會話狀態，則此後的資料傳輸都要以此會話狀態作為依據，例如一個連接的資料包源連接阜是8000，那麼在以後的資料傳輸程序裡防火牆都會稽核這個包的源連接阜還是不是8000，否則這個資料包就被攔截，而且會話狀態的保留是有時間限制的，在超時的範圍內如果沒有再進去行資料傳輸，這個會話狀態就會被丟棄。



狀態監視可以對包內容進行分析，從而擺脫了傳統防火牆僅局限於幾個網封包頭部訊息的檢測弱點，而且這種防火牆不必開放過多連接阜，進一步杜絕了可能因為開放連接阜過多而帶來的安全隱患。



　　由於狀態監視技術相當於結合了包過濾技術和套用代理技術，因此是最先進的，但是由於實現技術複雜，在實際套用中還不能做到真正的完全有效的資料安全檢測，而且在一般的電腦硬體系統上很難設計出關於此技術的完善防禦措施（市面上大部分軟體防火牆使用的其實只是包過濾技術加上一點其他新特性而已）。



四. 技術展望
　　防火牆作為維護網路安全的關鍵設備，在目前採用的網路安全的防範體系中，佔據著舉足輕重的位置。伴隨電腦技術的發展和網路套用的普及，越來越多的企業與個體都遭遇到不同程度的安全難題，因此市場對防火牆的設備需求和技術要求都在不斷提升，而且越來越嚴峻的網路安全問題也要求防火牆技術有更快的提高，否則將會在面對新一輪入侵手法時束手無策。




　　多功能、高安全性的防火牆可以讓用戶網路更加無憂，但前提是要確保網路的執行效率，因此在防火牆發展程序中，必須始終將高效能放在主要位置，目前各大廠商正在朝這個方向努力，而且豐富的產品功能也是用戶選項防火牆的依據之一，一款完善的防火牆產品，應該包含有訪問控制、網路位址轉換、代理、認證、日誌審計等基礎功能，並擁有自己特色的安全相關技術，如規則簡化方案等，明天的防火牆技術將會如何發展，讓我們拭目以待

[psac]

網管，你的防火牆上也有「洞」嗎

防火牆對於網路防範黑客來說好比是一個家庭中的防盜門，它的功效的確不小。但是，有了防盜門並不意味著你的家庭就徹底安全了，最簡單的例子就是防盜門沒上鎖，這樣一來防盜的作用自然無從談起了。還好生活中這種疏忽還不是很多。不過在防火牆的使用中這樣的簡單錯誤卻還不少。想想看如果你的防火牆開了個洞會是怎樣？

　　■接到傳呼 LAN遭黑手
　　經過近一年的努力，閩越終於出色地完成了本服務機構區域網路的建設，並且這個頗有些特色的LAN在這所小城裡還引起了一場不大不小的轟動，其他服務機構那些CIO們紛紛組織各自服務機構的技術精英前來參觀學習。

　　當閩越將花了數周時間搞出來的方案交由上司審閱時，不菲的預算讓這位局長大人也眉頭緊蹙，尤其是其中「防火牆」一項更讓他大惑不解，「我們辦公樓的防火設施不是已經夠多了嗎，怎麼還需要另外為這個網路建一堵防火牆，這牆是什麼材料做的，怎麼要花十多萬元？」

　　價值十幾萬的防火牆的保駕護航使閩越對這個區域網路的安全性頗有信心，他甚至有把握將這個LAN直接掛接到Internet上，接受更為嚴峻的安全考驗，但考慮到局內員工的電腦水準，還是暫時將這一想法作罷了，因為雖然他自信這個LAN已然固若金湯，但難保局內員工使用時不會將特洛伊木馬之類的東西「宕」進來。因此，閩越僅將這個LAN與系統內其它地市局的網路連了起來，並為服務機構做了一個主頁，使之成為介紹局內各科室分佈及業務情況、科室間及系統內文件資料上傳下達的平台。然而，讓閩越始料未及的是，這個讓他傾注了不少心血的LAN恰恰就是在他最為得意的安全環節上出了紕漏。

　　絡繹不絕的參觀者稀落下來之後，閩越這天終於有空出去處理一下他多日積攢下來的一些瑣事，不想剛離開服務機構一會兒，就收到了傳呼，「服務機構有急事，速回！」開始他並不太在意，因為局內操作人員丁點兒小事就稱「急事」的事例早已讓他習慣了。不過這次似乎確有些異樣，傳呼一遍接一遍響個不停，閩越感到事態可能有些嚴重，就匆匆趕回了服務機構。

　　一進門，就有人迎上來，讓他快去看看服務機構主頁上怎麼出現了一些莫名其妙的東西，是不是被「黑」了？

　　聽了這話，閩越懸著的一顆心反倒放了下來，心說「笑話！LAN上的網站哪有被『黑』之說！肯定是瀏覽器設定搞亂了，頁面出現了亂碼。」這種情況以往也有過幾次。閩越就半開玩笑地說，「沒什麼大不了的，我看看是怎麼一回事？」

　　瀏覽器上顯示的畫面卻讓閩越倒吸了一口涼氣，半天回不過神來：主頁上服務機構辦公樓的照片被換成了一個骷髏樣的圖形，旁邊還有一行文字，「哈哈，沒想到吧？LAN我也能攻進來！」

　　閩越的頭一下子變大了，LAN內出現黑客絕對是他做夢也想不到的，這種僅在Internet才可能出現的事情竟會發生在他佈署縝密的區域網路中，是哪一個黑客，竟會對地處偏遠的一個小城的小小局域感興趣呢？

　　■初尋黑手未果
　　他沒有往內部職工方面想，因為他相信這個局內尚無人能夠有如此高的技巧可以攻破他設定的重重關卡。會不會是局內人引狼入室呢？想到這兒，他趕緊一路小跑著來到了位於辦公樓頂層的機房，開啟了Web伺服器上的日誌文件，日誌文件上並沒有留下任何痕跡，看來不像是局內人所為，那這位黑客究竟是何方神聖呢？照理說外界根本沒有侵入這個LAN內的可能，系統內其它地市的兄弟局雖可以訪問這個網站，但這些訪問均需經過防火牆過濾，並且防火牆似也無被攻破的可能。而且從動機上看，系統內人員進行這類攻擊的可能性也不會很大，除非這個人處心積慮地想要惹火上身。那麼，這個黑客到底來自何處呢？

　　整整一個上午，閩越也沒想出個所以然來，他下意識地關閉了WEB伺服器，卻立即招致了下面科室的強烈抗議。他這才意識到這個網站已成為服務機構工作聯繫的主渠道，暫時的關閉也已是不可能的，而且這也終非長遠之計，但在未找出安全漏洞之前，繼續開放網站會不會招致更大的損失呢？懷著僥倖心理，閩越只好先將被「黑」過的頁面改了回來，還好，這位黑客還算手下留情，僅改動了服務機構主頁，並未進行其它惡意破壞，所以，沒費多大勁，閩越就將網站恢復了正常。當天下午，在閩越提心吊膽地密切注視下，網站總算安然無恙，但在問題沒有搞清楚之前，他並未感到如釋重負，因為他深知這位黑客既然能夠攻進來一次，就會有第二次，一個黑客能夠攻進來，其他黑客同樣能夠攻進來，這個黑客雖還算「客氣」，沒有進行什麼惡意破壞，但難保其他黑客也能有如此「善心」。

　　■黑手猖獗 再次顯形
　　閩越的擔心不是沒有道理的，第二天上午10點左右，在機房裡忙於對各個環節進行徹底排查的閩越又接到了下面科室的一個電話，稱服務機構網頁又出現了奇怪的內容，閩越趕緊重新整理了一下瀏覽器，出現的情景幾乎讓他暈了過去，那個骷髏樣的圖形又大模大樣地出現在了螢幕上，旁邊的文字則變成了「我又來也！」

　　一連幾天，這種惡作劇式的攻擊每天10點左右準時出現，而且總是同樣的畫面，僅僅文字內容略有變更，並且每次閩越將其恢復正常後，當天也就安然無事了，直至第二天再上演同樣的一幕。所幸的是，這位黑客似乎尚無意進行惡意破壞，整個系統仍運作如常。更讓閩越暗自慶幸的是，這一事件是發生在參觀熱潮之後，如果正當有人參觀時出現這一幕，豈非尷尬之至？

　　不過，就是這樣也讓閩越煩透了，這些天，他甚至到了茶飯不思的地步，所有能夠聯繫上的懂點網路安全技術的同學、朋友甚至只有一面之交的同行及眾多安全廠商都被他電話騷擾了一遍，但仍一無所獲，得到的回答卻幾乎如出一轍：「照常理講，這種情況是不該發生的！」

　　這下讓他徹底沒了轍，只好每天一邊陪著這位黑客玩著這種貓捉老鼠式的遊戲，一邊伺機尋找這隻老鼠出沒的通道。

　　■原來是防火牆上開了個洞
　　這天，閩越到一個科室幫他們處理一個技術問題時，聽到一位工作人員正在很不耐煩地接聽一個電話：「我不是跟你說過了嗎，每天只有10點到11點傳資料，其它時間不開機！」說完就撂下了電話，並很不高興地嘀咕道，「都說過多少遍了，老是記不住！真是的！」

　　對10點這一時間段特別敏感的閩越聽到這話，心裡一個激凌，連忙趕過去問道，「你們10點傳什麼資料？」這位工作人員沒好氣地說，「什麼資料？還不是企業的那些報表資料？通知每天10點到11點傳，他們總是記不住！每天都要接幾個來問的電話，煩死了！」

　　閩越趕忙問用哪一台機器傳的，這位工作人員指了指旁邊的一台伺服器，「喏，就是那台機器，省局剛配下來的，說要上一個大程序，現在只是用來接收企業資料和上傳匯總資料。」

　　閩越看到那台伺服器上放了一台Hub，還有一台Modem，而且這個Hub除了連接了幾台客戶端機外，還用網線連到了局內區域網路的資料連接阜上，他頓時心裡有了一種撥開雲霧見青天的感覺，看來，多日一直讓他苦思不得其解的問題正是出在這台伺服器上！

　　由於這個科室在局內地位較為特殊，與其它科室的聯繫鬆散，因而一直處於一種相對獨立的狀態，其電腦設備也均是由上級局對應處室直接下撥並說明 安裝，所以通常情況下，閩越基本不插手這個科室的電腦系統管理。佈署區域網路時，也只給他們留出了一個資料連接阜就不再管了，不想就是這個資料連接阜竟搞得他這段時間日夜不得安寧！

　　這台可以撥號接入的伺服器無異在防火牆上開出了一個後門，如果黑客將此作為跳板，防火牆當然就失去了用武之地，因為防火牆過濾的只是來自外部的訪問，內部資料流量可以自由來去。更讓閩越哭笑不得是這台Unix伺服器的系統超級用戶竟沒有設密碼！這就是說，處於全球任一角落的任一電腦用戶，僅靠一台電腦、一部Modem及一條電話線就可以很輕鬆地撥入這台伺服器，並以超級用戶身份登入，有這樣的後門存在，系統焉有安全可言！

　　閩越當即先行切斷了這台伺服器與區域網路的連接，並向這個科室說明情況後，設法將這台伺服器隔離在了防火牆之外。自此之後，那只「老鼠」果然再也沒有出現過。

[psac]

連接阜基礎常識

1） 公認連接阜（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常這些連接阜的通訊明確表明了某種服 務的傳輸協定。例如：80連接阜實際上總是HTTP通訊。

2） 註冊連接阜（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些連接阜，這些連接阜同樣用於許多其它目的。例如：許多系統處理動態連接阜從1024左右開始。

3） 動態和/或私有連接阜（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些連接阜。實際上，機器通常從1024起分配動態連接阜。但也有例外：SUN的RPC連接阜從32768開始。

　　本節講述通常TCP/UDP連接阜掃瞄在防火牆記錄中的訊息。記住：並不存在所謂ICMP連接阜。如果你對解讀ICMP資料感興趣，請參看本文的其它部分。0通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效連接阜，當你試 圖使用一種通常的閉合連接阜連接它時將產生不同的結果。一種典型的掃瞄：使用IP位址為 0.0.0.0，設定ACK位並在乙太網層廣播。 1 tcpmux 這顯示有人在尋找SGIIrix機器。Irix是實現tcpmux的主要提供者，預設情況下tcpmux在這種系統中被開啟。Iris機器在發佈時含有幾個預設的無密碼的帳戶，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝後忘記移除這些帳戶。因此Hacker們在Internet上搜尋tcpmux 並利用這些帳戶。 7Echo你能看到許多人們搜尋Fraggle放大器時，傳送到x.x.x.0和x.x.x.255的訊息。一般的一種DoS攻擊是echo循環（echo-loop），攻擊者偽造從一個機器傳送到另一個UDP資料包，而兩個機器分別以它們最快的方式回應這些資料包。（參見Chargen） 另一種東西是由DoubleClick在詞連接阜建立的TCP連接。有一種產品叫做Resonate Global Dispatch」，它與DNS的這一連接阜連接以確定最近的路由。Harvest/squid cache將從3130連接阜傳送UDPecho：「如果將cache的source_ping on選項開啟，它將對原始主機的UDP echo連接阜回應一個HIT reply。」這將會產生許多這類資料包。

11 sysstat這是一種UNIX服務，它會列出電腦上所有正在執行的工作以及是什麼啟動了這些工作。這為入侵者提供了許多訊息而威脅機器的安全，如暴露已知某些弱點或帳戶的程序。這與UNIX系統中「ps」指令的結果相似再說一遍：ICMP沒有連接阜，ICMP port 11通常是ICMPtype=1119 chargen 這是一種僅僅傳送字元的服務。UDP版本將會在收到UDP包後回應含有LJ字元的包。TCP連接時，會傳送含有LJ字元的資料流知道連接關閉。Hacker利用IP欺騙可以發動DoS攻擊偽造兩 個chargen伺服器之間的UDP由於伺服器企圖回應兩個伺服器之間的無限的往返資料通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標位址的這個連接阜廣播一個帶有偽造受害者IP的資料包，受害者為了回應這些資料而過載。

21 ftp最一般的攻擊者用於尋找開啟「anonymous」的ftp伺服器的方法。這些伺服器帶有可讀寫的目錄。Hackers或tackers利用這些伺服器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。

22 sshPcAnywhere建立TCP和這一連接阜的連接可能是為了尋找ssh。這一服務有許多弱點。如果組態成特定的模式，許多使用RSAREF庫的版本有不少漏洞。（建議在其它連接阜執行ssh）還應該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。它會掃瞄整個域的ssh主機。你有時會被使用這一程序的人無意中掃瞄到。UDP（而不是TCP）與另一端的5632連接阜相連意味著存在搜尋pcAnywhere的掃瞄。5632 （十六進制的0x1600）位交換後是0x0016（使進制的22）。

23 Telnet入侵者在搜尋遠端登入UNIX的服務。大多數情況下入侵者掃瞄這一連接阜是為了找到機器執行的操作系統。此外使用其它技術，入侵者會找到密碼。

25 smtp攻擊者（spammer）尋找SMTP伺服器是為了傳送他們的spam。入侵者的帳戶總被關閉，他們需要撥號連線到高帶寬的e-mail伺服器上，將簡單的訊息傳送到不同的位址。SMTP伺服器（尤其是sendmail）是進入系統的最常用方法之一，因為它們必須完整的暴露於Internet且郵件的路由是複雜的（暴露+複雜=弱點）。

53 DNSHacker或crackers可能是試圖進行區域傳送（TCP），欺騙DNS（UDP）或隱藏其它通訊。因此防火牆常常過濾或記錄53連接阜。 需要注意的是你常會看到53連接阜做為UDP源連接阜。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回覆。Hacker常使用這種方法穿透防火牆。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通過DSL和cable-modem的防火牆常會看見大量傳送到廣播位址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個位址分配。Hacker常進入它們分配一個位址把自己作為局部路由器而發起大量的「中間人」（man-in-middle）攻擊。客戶端向68連接阜（bootps）廣播請求組態，伺服器向67連接阜（bootpc）廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以傳送的IP位址。69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務，便於從系統下載啟動程式碼。但是它們常常錯誤組態而從系統提供任何文件，如密碼文件。它們也可用於向系統寫入文件

79 finger Hacker用於獲得用戶訊息，查詢操作系統，探測已知的緩衝區溢位錯誤，回應從自己機器到其它機器finger掃瞄。

98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的HTTP伺服器在98連接阜提供關於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot，信任區域網路，在/tmp下建立Internet可訪問的文件，LANG環境變數有緩衝區溢位。 此外因為它包含整合的伺服器，許多典型的HTTP漏洞可能存在（緩衝區溢位，歷遍目錄等）109 POP2並不像POP3那樣有名，但許多伺服器同時提供兩種服務（向後相容）。在同一個伺服器上POP3的漏洞在POP2中同樣存在。

110 POP3用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩衝區溢位的弱點至少有20個（這意味著Hacker可以在真正登入繼續入系統）。成功登入後還有其它緩衝區溢位錯誤。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是掃瞄系統檢視允許哪些RPC服務的最早的一步。常 見RPC服務有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供 服務的特定連接阜測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer，你可以發現入侵者正使用什麼程序訪問以便發現到底發生了什麼。

113 Ident auth .這是一個許多電腦上執行的傳輸協定，用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多機器的訊息（會被Hacker利用）。但是它可作為許多服務的記錄器，尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務，你將會看到許多這個連接阜的連接請求。記住，如果你阻斷這個連接阜客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在TCP連接的阻斷程序中發回T，著將回停止這一緩慢的連接。

119 NNTP news新聞組傳輸傳輸協定，承載USENET通訊。當你連接到諸如：news.security.firewalls/. 的位址時通常使用這個連接阜。這個連接阜的連接企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新聞組伺服器。開啟新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組伺服器，匿名發帖或傳送spam。

135 oc-serv MS RPC end-point mapper Microsoft在這個連接阜執行DCE RPC end- point mapper為它的DCOM服務。這與UNIX 111連接阜的功能很相似。使用DCOM和/或RPC的服務利用 電腦上的end-point mapper註冊它們的位置。遠端客戶連線到機器時，它們查詢end-point mapper找到服務的位置。同樣Hacker掃瞄機器的這個連接阜是為了找到諸如：這個電腦上運 行Exchange Server嗎？是什麼版本？ 這個連接阜除了被用來查詢服務（如使用epdump）還可以被用於直接攻擊。有一些DoS攻 擊直接針對這個連接阜。

137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最一般的訊息，請仔細閱讀文章後面的NetBIOS一節 139 NetBIOS　File and Print Sharing 通過這個連接阜進入的連接試圖獲得NetBIOS/SMB服務。這個傳輸協定被用於Windows「文件和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最一般的問題。 大量針對這一連接阜始於1999，後來逐漸變少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）開始將它們自己拷貝到這個連接阜，試圖在這個連接阜繁殖。

143 IMAP和上面POP3的安全問題一樣，許多IMAP伺服器有緩衝區溢位漏洞執行登入程序中進入。記住：一種Linux蠕蟲（admw0rm）會通過這個連接阜繁殖，因此許多這個連接阜的掃瞄來自不知情的已被感染的用戶。當RadHat在他們的Linux發佈版本中預設允許IMAP後，這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。這一連接阜還被用於IMAP2，但並不流行。 已有一些報導發現有些0到143連接阜的攻擊源於指令碼。

161 SNMP(UDP)入侵者常探測的連接阜。SNMP允許遠端管理設備。所有組態和執行訊息都儲存在資料庫中，通過SNMP客獲得這些訊息。許多管理員錯誤組態將它們暴露於Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網路。Windows機器常會因為錯誤組態將HP JetDirect rmote management軟體使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名，你會看見這種包在子網內廣播（cable modem, DSL）查詢sysName和其它訊息。

162 SNMP trap 可能是由於錯誤組態

177 xdmcp 許多Hacker通過它訪問X-Windows控制台，它同時需要開啟6000連接阜。

513 rwho 可能是從使用cable modem或DSL登入到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供 了很有趣的訊息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你將會看到這個連接阜的廣播。CORBA是一種面向對象的RPC（remote procedure call）系統。Hacker會利用這些訊息進入系統。 600 Pcserver backdoor 請檢視1524連接阜一些玩script的孩子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。這是人們掃瞄的一個流行的Bug。大多數對這個連接阜的掃瞄是關於UDP的，但關於TCP 的mountd有所增加（mountd同時執行於兩個連接阜）。記住，mountd可執行於任何連接阜（到底在哪個連接阜，需要在連接阜111做portmap查詢），只是Linux預設為635連接阜，就像NFS通常執行於2049連接阜1024 許多人問這個連接阜是幹什麼的。它是動態連接阜的開始。許多程序並不在乎用哪個連接阜連接網路，它們請求操作系統為它們分配「下一個閒置連接阜」。關於這一點分配從連接阜1024開始。這意味著第一個向系統請求分配動態連接阜的程序將被分配連接阜1024。為了驗證這一點，你可以重啟機器，開啟Telnet，再開啟一個視窗執行「natstat -a」，你將會看到Telnet被分配1024連接阜。請求的程序越多，動態連接阜也越多。操作系統分配的連接阜將逐漸變大。再來一遍，當你瀏覽Web頁時用「netstat」檢視，每個Web頁需要一個新連接阜。

1025 參見1024

1026 參見1024

1080 SOCKS 這一傳輸協定以管道方式穿過防火牆，允許防火牆後面的許多人通過一個IP位址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由於錯誤的組態，它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的電腦，從而掩飾他們對你的直接攻擊。 WinGate是一種一般的Windows個人防火牆，常會發生上述的錯誤組態。在加入IRC聊天室時常會看到這種情況。

1114 SQL 系統本身很少掃瞄這個連接阜，但常常是sscan指令碼的一部分。

1243 Sub-7木馬（TCP）參見Subseven部分。

1524 ingreslock後門 許多攻擊指令碼將安裝一個後門Sh*ll 於這個連接阜（尤其是那些針對Sun系統中Sendmail和RPC服務漏洞的指令碼，如statd,ttdbserver和cmsd）。如果你剛剛安裝了你的防火牆就看到在這個連接阜上的連接企圖，很可能是上述原因。你可以試試Telnet到你的電腦上的這個連接阜，看看它是否會給你一個Sh*ll 。連線到600/pcserver也存在這個問題。

2049 NFS NFS程序常執行於這個連接阜。通常需要訪問portmapper查詢這個服務執行於哪個連接阜，但是大部分情況是安裝後NFS杏謖飧齠絲塚?acker/Cracker因而可以閉開portmapper直接測試這個連接阜。

3128 squid 這是Squid HTTP代理伺服器的預設連接阜。攻擊者掃瞄這個連接阜是為了搜尋一個代理伺服器而匿名訪問Internet。你也會看到搜尋其它代理伺服器的連接阜： 000/8001/8080/8888。掃瞄這一連接阜的另一原因是：用戶正在進入聊天室。其它用戶（或伺服器本身）也會檢驗這個連接阜以確定用戶的機器是否支持代理。請檢視5.3節。

5632 pcAnywere你會看到很多這個連接阜的掃瞄，這依賴於你所在的位置。當用戶開啟pcAnywere時，它會自動掃瞄區域網路C類網以尋找可能得代理（譯者：指agent而不是proxy）。Hacker/cracker也會尋找開放這種服務的機器，所以應該檢視這種掃瞄的源位址。一些搜尋pcAnywere的掃瞄常包含連接阜22的UDP資料包。參見撥號掃瞄。

6776 Sub-7 artifact 這個連接阜是從Sub-7主連接阜分離出來的用於傳送資料的連接阜。例如當控制者通過電話線控制另一台機器，而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時，他們將會看到持續的，在這個連接阜的連接企圖。（譯者：即看到防火牆報告這一連接阜的連接企圖時，並不表示你已被Sub-7控制。）6970 RealAudio RealAudio客戶將從伺服器的6970-7170的UDP連接阜接收音瀕資料流。這是由TCP7070連接阜外向控制連接設定13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許用戶在此連接阜開啟私人聊天的接。這一程序對於建立連接非常具有「進攻性」。它會「駐紮」在這一TCP連接阜等待回應。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶，從另一個聊天者手中「繼承」了IP位址這種情況就會發生：好像很多不同的人在測試這一連接阜。這一傳輸協定使用「OPNG」作為其連接企圖的前四個字元。

17027 Conducent這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟體。Conducent "adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體是Pkware。有人試驗：阻斷這一外向連接不會有任何問題，但是封掉IP位址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載： 機器會不斷試圖解析DNS名─ads.conducent.com，即IP位址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（譯者：不知NetAnts使用的Radiate是否也有這種現象）

27374 Sub-7木馬(TCP) 參見Subseven部分。

30100 NetSphere木馬(TCP) 通常這一連接阜的掃瞄是為了尋找中了NetSphere木馬。

31337 Back Orifice 「eliteHacker中31337讀做「elite」/ei』li:t/（譯者：法語，譯為中堅力量，精華。即 3=E, 1=L, 7=T）。因此許多後門程序執行於這一連接阜。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最一般的掃瞄。現在它的流行越來越少，其它的 木馬程序越來越流行。

31789 Hack-a-tack 這一連接阜的UDP通訊通常是由於"Hack-a-tack"遠端訪問木馬（RAT,Remote Access Trojan）。這種木馬包含內裝的31790連接阜掃瞄器，因此任何31789連接阜到317890連接阜的連 接意味著已經有這種入侵。（31789連接阜是控制連接，317890連接阜是文件傳輸連接）

32770~32900 RPC服務 Sun Solaris的RPC服務在這一範圍內。詳細的說：早期版本的Solaris（2.5.1之前）將 portmapper置於這一範圍內，即使低連接阜被防火牆封閉仍然允許Hacker/cracker訪問這一連接阜。 掃瞄這一範圍內的連接阜不是為了尋找portmapper，就是為了尋找可被攻擊的已知的RPC服務。

33434~33600 traceroute 如果你看到這一連接阜範圍內的UDP資料包（且只在此範圍之內）則可能是由於traceroute。參見traceroute分。

41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。參見 http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
連接阜1~1024是保留連接阜，所以它們幾乎不會是源連接阜。但有一些例外，例如來自NAT機器的連接。 常看見緊接著1024的連接阜，它們是系統分配給那些並不在乎使用哪個連接阜連接的應用程式的「動態連接阜」。 Server Client 服務描述

1-5/tcp 動態 FTP 1-5連接阜意味著sscan指令碼

20/tcp 動態 FTP FTP伺服器傳送文件的連接阜

53 動態 FTP DNS從這個連接阜傳送UDP回應。你也可能看見源/目標連接阜的TCP連接。

123 動態 S/NTP 簡單網路時間傳輸協定（S/NTP）伺服器執行的連接阜。它們也會傳送到這個連接阜的廣播。

27910~27961/udp 動態 Quake Quake或Quake引擎驅動的遊戲在這一連接阜執行其伺服器。因此來自這一連接阜範圍的UDP包或傳送至這一連接阜範圍的UDP包通常是遊戲。

61000以上 動態 FTP 61000以上的連接阜可能來自Linux NAT伺服器（IP asquerade）

[psac]

Win XP SP2防火牆設定詳細講解

根據微軟資料編寫

目前已經發怖的英文版Windows XP Service Pack 2（SP2）包括了全新的Windows防火牆，即以前所稱的Internet連接防火牆（ICF）。Windows防火牆是一個關於主機的狀態防火牆，它丟棄所有未請求的傳入流量，即那些既沒有對應於為回應電腦的某個請求而傳送的流量（請求的流量），也沒有對應於已指定為允許的未請求的流量（異常流量）。Windows防火牆提供某種程度的保護，避免那些依賴未請求的傳入流量來攻擊網路上的電腦的惡意用戶和程序。

在Windows XP SP2中，Windows防火牆有了許多新增特性，其中包括：

　　 預設對電腦的所有連接啟用

　　 套用於所有連接的全新的全局組態選項

　　 用於全局組態的新增對話視窗集

　　 全新的操作模式

　　 啟動安全性

　　 本機網路限制

　　 異常流量可以通過應用程式檔案名指定

　　 對Internet傳輸協定第6版（IPv6）的內建支持

　　 採用Netsh和群組原則的新增組態選項

本文將詳細描述用於手動組態全新的Windows防火牆的對話視窗集。與Windows XP（SP2之前的版本）中的ICF不同，這些組態對話視窗可同時組態IPv4和IPv6流量。

Windows XP（SP2之前的版本）中的ICF設定包含單個複選框（在連接內容的「進階」選擇項上「通過限制或阻止來自Internet對此電腦的訪問來保護我的電腦和網路」複選框）和一個「設定」按鈕，您可以使用該按鈕來組態流量、日誌設定和允許的ICMP流量。

在Windows XP SP2中，連接內容的「進階」選擇項上的複選框被取代成了一個「設定」按鈕，您可以使用該按鈕來組態一般設定、程序和服務的權限、指定於連接的設定、日誌設定和允許的ICMP流量。 「設定」按鈕將執行全新的Windows防火牆控制台程序（可在「網路和Internet連接與安全中心」類別中找到）。

新的Windows防火牆對話視窗包含以下選擇項：

　　 「一般」

　　 「異常」

　　 「進階」

「一般」選擇項

　　在「一般」選擇項上，您可以選項以下選項：

　　 「啟用（推薦）」

　　選項這個選項來對「進階」選擇項上選項的所有網路連接啟用Windows防火牆。 Windows防火牆啟用後將僅允許請求的和異常的傳入流量。異常流量可在「異常」選擇項上進行組態。

　　 「不允許異常流量」

　　按下這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。「異常」選擇項上的設定將被忽略，所有的連接都將受到保護，而不管「進階」選擇項上的設定如何。

　　 「禁用」

　　選項這個選項來禁用Windows防火牆。不推薦這樣做，特別是對於可通過Internet直接訪問的網路連接。

　　注意對於執行Windows XP SP2的電腦的所有連接和新新增的連接，Windows防火牆的預設設定是「啟用（推薦）」。這可能會影響那些依賴未請求的傳入流量的程序或服務的通信。在這樣的情況下，您必須識別出那些已不再運作的程序，將它們或它們的流量增加為異常流量。許多程序，比如Internet瀏覽器和電子郵件客戶端（如：Outlook Express），不依賴未請求的傳入流量，因而能夠在啟用Windows防火牆的情況下正確地運作。

　　如果您在使用群組原則組態執行Windows XP SP2的電腦的Windows防火牆，您所組態的群組原則設定可能不允許進行本機組態。在這樣的情況下，「一般」選擇項和其他選擇項上的選項可能是灰色的，而無法選項，甚至本機管理員也無法進行選項。

　　關於群組原則的Windows防火牆設定允許您組態一個域組態文件（一組將在您連線到一個包含域控制器的網路時所套用的Windows防火牆設定）和標準組態文件（一組將在您連線到像Internet這樣沒有包含域控制器的網路時所套用的Windows防火牆設定）。這些組態對話視窗僅顯示當前所套用的組態文件的Windows防火牆設定。要檢視當前未套用的組態文件的設定，可使用netsh firewall show指令。 要更改當前沒有被套用的組態文件的設定，可使用netsh firewall set指令。

「異常」選擇項
　　在「異常」選擇項上，您可以啟用或禁用某個現有的程序或服務，或者維護用於定義異常流量的程序或服務的列表。當選「一般」選擇項上的「不允許異常流量」選項時，異常流量將被拒絕。

　　對於Windows XP（SP2之前的版本），您只能根據傳輸控制傳輸協定（TCP）或用戶資料報傳輸協定（UDP）連接阜來定義異常流量。對於Windows XP SP2，您可以根據TCP和UDP連接阜或者程序或服務的檔案名來定義異常流量。在程序或服務的TCP或UDP連接阜未知或需要在程序或服務啟動時動態確定的情況下，這種組態靈活性使得組態異常流量更加容易。

　　已有一組預先組態的程序和服務，其中包括：

　　文件和列印共享

　　遠端助手（預設啟用）

　　遠端桌面

　　UPnP框架

　　這些預定義的程序和服務不可移除。

　　如果群組原則允許，您還可以通過按下「增加程序」 ，新增關於指定的程式名稱稱的附加異常流量，以及通過按下「增加連接阜」，新增關於指定的TCP或UDP連接阜的異常流量。

　　當您按下「增加程序」時，將彈出「增加程序」對話視窗，您可以在其上選項一個程序或瀏覽某個程序的檔案名。

　　當您按下「增加連接阜」時，將彈出「增加連接阜」對話視窗，您可以在其中組態一個TCP或UDP連接阜。

　　全新的Windows防火牆的特性之一就是能夠定義傳入流量的範圍。範圍定義了允許發起異常流量的網段。在定義程序或連接阜的範圍時，您有兩種選項：

　　「任何電腦」

　　允許異常流量來自任何IP位址。

　　「僅只是我的網路（子網）」

　　僅允許異常流量來自如下IP位址，即它與接收該流量的網路連接所連線到的本機網段（子網）相匹配。例如，如果該網路連接的IP位址被組態為192.168.0.99，子網路遮罩為255.255.0.0，那麼異常流量僅允許來自192.168.0.1到192.168.255.254範圍內的IP位址。

　　當您希望允許本機家庭網路上全都連線到相同子網上的電腦以訪問某個程序或服務，但是又不希望允許潛在的惡意Internet用戶進行訪問，那麼「僅只是我的網路（子網）」設定的位址範圍很有用。

　　一旦增加了某個程序或連接阜，它在「程序和服務」列表中就被預設禁用。

　　在「異常」選擇項上啟用的所有程式或服務對「進階」選擇項上選項的所有連接都處於啟用狀態。

「進階」選擇項

　　「進階」選擇項包含以下選項：

　　 網路連接設定

　　 安全日誌

　　 ICMP

　　 預設設定

　　「網路連接設定」

　　在「網路連接設定」中，您可以：

　　 1、指定要在其上啟用Windows防火牆的接頭集。要啟用Windows防火牆，請選網路連接名稱後面的複選框。要禁用Windows防火牆，則清除該複選框。預設情況下，所有網路連接都啟用了Windows防火牆。如果某個網路連接沒有出現在這個列表中，那麼它就不是一個標準的網路連接。這樣的例子包括Internet服務提供商（ISP）提供的自訂撥號程序。

　　 2、通過按下網路連接名稱，然後按下「設定」，組態單獨的網路連接的進階組態。

　　如果清除「網路連接設定」中的所有複選框，那麼Windows防火牆就不會保護您的電腦，而不管您是否在「一般」選擇項上選了「啟用（推薦）」。如果您在「一般」選擇項上選了「不允許異常流量」，那麼「網路連接設定」中的設定將被忽略，這種情況下所有接頭都將受到保護。

　　當您按下「設定」時，將彈出「進階設定」對話視窗。



　　在「進階設定」對話視窗上，您可以在「服務」選擇項中組態特定的服務（僅根據TCP或UDP連接阜來組態），或者在「ICMP」選擇項中啟用特定檔案類型的ICMP流量。 這兩個選擇項等價於Windows XP（SP2之前的版本）中的ICF組態的設定選擇項。

　　　

　　「安全日誌」

　　在「安全日誌」中，請按下「設定」，以便在「日誌設定」對話視窗中指定Windows防火牆日誌的組態，

　　在「日誌設定」對話視窗中，您可以組態是否要記錄丟棄的資料包或成功的連接，以及指定日誌文件的名稱和位置（預設設定為Systemrootpfirewall.log）及其最大容量。

　　「ICMP」

　　在「ICMP」中，請按下「設定」以便在「ICMP」對話視窗中指定允許的ICMP流量檔案類型，

　　在「ICMP」對話視窗中，您可以啟用和禁用Windows防火牆允許在「進階」選擇項上選項的所有連接傳入的ICMP消息的檔案類型。ICMP消息用於診斷、報告錯誤情況和組態。預設情況下，該列表中不允許任何ICMP消息。

　　診斷連接問題的一個常用步驟是使用Ping工具檢驗您嘗試連線到的電腦位址。在檢驗時，您可以傳送一條ICMP Echo消息，然後獲得一條ICMP Echo Reply消息作為回應。預設情況下，Windows防火牆不允許傳入ICMP Echo消息，因此該電腦無法發回一條ICMP Echo Reply消息作為回應。為了組態Windows防火牆允許傳入的ICMP Echo消息，您必須啟用「允許傳入的echo請求」設定。

　　「預設設定」

　　按下「還原預設設定」，將Windows防火牆重設回它的初始安裝狀態。 當您按下「還原預設設定」時，系統會在Windows防火牆設定改變之前提示您核實自己的決定。