Windows XP防火牆深層探索

[psac]

Windows XP防火牆深層探索
網路安全問題現在已經越來越突出，選擇一種防火牆產品是很有必要的。基於應用程式的防火牆在使用上相當麻煩，而且一般都非常佔用系統資源。Windows XP集成了網際網路連接防火牆（Internet Connection Firewall）這一新特性，它到底可以為我們做什麼呢？

人們現在已習慣在Internet上花費大量時間。隨著DSL和寬帶網路的普及，人們在Internet上的時間越來越長，個人電腦的安全問題將會變得越來越突出。有統計表明黑客們在每天24小時掃瞄撥號連接的用戶，當然他們的目標並不是我們這些普通上網用戶，而是那些使用VPN在家辦公的用戶。突破這些用戶的個人電腦總比突破層層設防的公司網路要容易得多。如果你是使用DSL或其他寬帶網路的用戶，那麼你的危險將更大了，因為在使用DSL後，你的IP地址將很長時間不變，這無疑給那些黑客帶來了很大的便利。我們當然可以選用一些現有的個人防火牆產品，比如說Norton的個人防火牆產品，Zone Labs的ZoneAlarm，以及國內廠商開發的天網防火牆等等。這些個人防火牆產品依據的防黑客原理通常不一樣，例如Norton的Personal Firewall(個人防火牆)是基於應用程式的（Application Level）。基於應用程式的防火牆在使用上相當麻煩，因為你必須要為每一個訪問Internet的程序設置策略。而隨著策略的增多，防火牆的效率也逐步下降，況且過多的策略也會相互矛盾、影響，給系統安全帶來漏洞。更糟糕的是，這些個人防火牆產品都非常佔用系統資源。

Windows XP號稱是隨著Windows發佈以來最偉大的昇級，Windows XP給我們帶來了很多新的特性，網際網路連接防火牆（Internet Connection Firewall，以下簡稱ICF）就是其中的一個新的特性。下面我們就來談談這個ICF，看看它到底能為我們做什麼（註：我們在談ICF的時候都是以Norton的Personal Firewall來做參考和對比的，原因有二：其一，Norton的產品無論在國外還是在國內都是第一流的產品；其二，Norton的這款產品也可以代表這一類產品的技術特點）。

ICF的工作原理
ICF就像一個在你的個人電腦和外部Internet世界建立的虛擬盾牌，它可以讓你請求的資料通過、而阻礙你沒有請求的資料包，是一個基於包的防火牆。黑客們的攻擊基本上都是由Ping一個IP地址開始的。當Ping通之後通常都是使用一些軟體來進行連接阜掃瞄。攻擊一台個人電腦和攻擊一台主機還是有一點不同的。攻擊主機時目標通常是早已鎖定的，即便Ping不通也不會認為目標主機已經關機了；但是攻擊個人電腦就不同了，通常黑客們是通過掃瞄一段IP地址開始來鎖定目標，或者是個人電腦的用戶在使用ICQ之類的軟體時暴露了自己的IP地址。對於第一種的情況，Ping不通的IP地址通常被認為沒有使用而忽略過去。所以，ICF的第一個功能就是不回應Ping命令，而且，ICF還禁止外部程序對本機進行連接阜掃瞄，拋棄所有沒有請求的IP包。個人電腦同伺服器不一樣，一般不會提供例如Ftp、Telnet等服務，這樣可以被黑客們利用的系統漏洞就很少。所以，ICF可以在一定的程度上很好地保護我們的個人電腦。

ICF是通過儲存一個表格，記錄所有自本機發出的目的IP地址、連接阜、服務以及其他一些資料來達到保護本機的目的。 當一個IP資料包進入本機時，ICF會檢查這個表格，看到達的這個IP資料包是不是本機所請求的，如果是就讓它通過，如果在那個表格中沒有找到相應的記錄就拋棄這個IP資料包。下面的例子可以很好地說明這個原理。當用戶使用Outlook Express來收發電子郵件的時侯，本機個人機發出一個IP請求到POP3郵件伺服器。ICF會記錄這個目的IP地址、連接阜。當一個IP資料包到達本機的時候，ICF首先會進行審核，通過搜尋事先記錄的資料可以確定這個IP資料包是來自我們請求的目的地址和連接阜，於是這個資料包獲得通過。當使用Outlook客戶端郵件程序和Exchange郵件伺服器時情況有所不同。一旦有新的郵件達到Exchange郵件伺服器時，Exchange就會自動發一個IP資料包到Outlook客戶端機來通知有新的郵件到達。這種通知是通過RPC Call來實現的。當Exchange的IP資料包到達客戶端機時，客戶端機的ICF程序就會對這個IP包進行審核發現本機並沒有對這個地址和連接阜發出IP請求，所以這個IP包就會被拋棄，客戶端機當然就不會收到發自Exchange郵件伺服器的新郵件通知。手動讓Outlook去接收Exchange郵件伺服器上的新郵件當然是可以的。

ICF的局限性
那麼，ICF不能做什麼？ICF可不可以完全替代現有的個人防火牆產品？ICF是通過記錄本機的IP請求來確定外來的IP資料包是不是「合法」，這當然不可以用在伺服器上。為什麼呢？伺服器上的IP資料包基本上都不是由伺服器先發出，所以ICF這種方法根本就不可以對伺服器的安全提供保護。當然你也可以通過相應的設置讓ICF忽略所有發向某一連接阜的資料包，例如80連接阜。那麼發向80連接阜的所有資料包都不會被ICF拋棄。從這種意義上講80連接阜就成為不設防的連接阜。這樣的防火牆產品是不可能用在套用伺服器上的，伺服器上的防火牆產品都是基於建立各種策略來審核外來的IP資料包。ICF和基於應用程式的個人防火牆產品也是不一樣的。基於應用程式的個人防火牆會記錄每一個訪問Internet的程序，例如，通過設置可以讓IE有權來訪問Internet而Netscape的Navigator沒有權限來訪問Internet，即便兩個程序的目的IP地址和連接阜都是一樣的。Norton的個人防火牆（Personal Firewall）就是這樣一個典型的產品。簡而言之，ICF沒法提供基於應用程式的保護，也沒法建立基於IP包的包審核策略。所以，ICF既不能完全替代現有的個人防火牆產品，也沒有辦法很好地工作在套用伺服器上。

如何選擇
那我們應該如何選擇？筆者認為，Norton的Personal Firewall可以提供全方面的保護，即便這種保護是建立在繁瑣的設定基礎上的。在它能成功地為你提供一次有效的防護之前，會給你帶來足夠的煩惱。ICF並不能提供完全無懈可擊的防護，但是ICF對個人電腦提供防護是足夠的。在使用Shield Up對裝有ICF的個人電腦進行連接阜掃瞄後，Shield Up 給出了「最安全模式」（Full Stealth Mode）的評價，這也是Shield Up對安全評價的最高等級。況且，ICF是Windows XP內建的功能，佔用的資源相當少且不用花額外的錢去購買。其實從ICF受益最多的應該是那些仍然在使用Modem上網的朋友，實際上這部分用戶佔了50%以上，而在國內絕大部分的用戶都是用Modem上網的。用Modem上網有其自身的特點，首先，你上網的時間不會太長，一般在幾小時上下（包月的除外）。其次，每次建立連接後撥號伺服器都會分配一個新的IP地址給你，長時間佔用一個相同的IP的可能性應該很低。比起使用DSL和寬帶的用戶來講，用Modem上網本身就安全了很多。所以，使用一個重量級的防火牆實在是沒有太多的意義。而ICF則剛剛好，它既提供了一定的保護，而且又不太佔用資源，真的是「剛剛好」！

怎樣使用ICF
我們談了這麼多，那ICF到底該怎樣使用？當你建立一個新的連接的時候，嚮導程序就會問你是否要啟動ICF。在每一個連接的屬性→進階選項中也可以讓你選擇啟動或者取消ICF功能。在你啟動ICF之後，在進階選項的下部就會出現「設置」按鈕，單擊設置就可以對ICF進行進一步的設置。ICF的設置主要有三部分：第一部分是服務項。通過設定這一部分可以讓ICF對某些服務不進行審核。TCP/IP的服務都是由連接阜來區分的，你可以分別對TCP、UDP或者IP Protocol進行設置，在這一項中已經有了一些可選的預設設置。當然你可以建立自己的設置。第二部分是關於日誌的。ICF可以把它所拋棄的IP資料包以及獲准通過的IP資料包都記錄在案以便可以讓你進行進一步的分析。第三部分就是關於ICMP的，ICMP通常用於Ping、Tracert程序以及路由的動態實現，我的建議是禁止所有的ICMP回應除非你有特別的需要。

定期分析日誌可以發現潛在的安全問題，ICF的日誌分為兩部分：一部分是ICF審核通過的IP資料包，而另一部分就是ICF拋棄的IP資料包。日誌一般存於Windows目錄之下，檔案名是pfirewall.log。其文件格式符合W3C擴展日誌文件格式（W3C Extended Log File Format），分為兩部分，分別是文件頭（Head Information）和文件主體（Body Information）。文件頭主要是關於pfirewall.log這個文件的說明，需要注意的主要是文件主體部分。文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP資料包的信息，包括源地址、目的地址、連接阜、時間、協議以及其他一些信息。理解這些信息需要較多的TCP/IP協議的知識。

在實際的使用中應盡量避免在區域網路中使用ICF，它可能會給一些網路套用帶來影響。在個人電腦中使用也可能會對一些程序的執行帶來影響。例如，OICQ的「語音世界」功能就是建立在雙方交互的基礎上的，而ICF會影響這些交互過程從而使得連接無法建立。解決這樣的問題也很簡單，一種當然是取消ICF，但這不是推薦的方法。另一種方法就是找到到底OICQ使用哪個連接阜來實現語音功能，在前面介紹的屬性→進階→設置→服務中來增加一項自定義設置從而使ICF忽略這個連接阜的檢測。這樣，OICQ的語音功能就可以正常使用了。

總之，ICF是Windows XP提供的一項新的功能，它並不是用來取代現有的個人防火牆產品，但是ICF能夠為個人電腦提供相當的保護。我們為獲得在網路上的安全所需要做的就是在建立連接的時候選擇使用ICF，在需要的時候作出必要的設定，並且定期檢視日誌。當然，最先要做的就是購買Windows XP的家用或者專業版，並把它們安裝起來。

多謝賜教

我用Norton的Personal Firewall,剛開始很麻煩,,
後來乾脆把阜都封起來,只留幾個特殊數字..
好用....

我想請問NIS和NPF哪個較適用於家用電腦？

[prolau]

受益良多，
Thanks!

[prolau]

引用:

在實際的使用中應盡量避免在區域網路中使用ICF，它可能會給一些網路套用帶來影響。在個人電腦中使用也可能會對一些程序的執行帶來影響。例如，OICQ的「語音世界」功能就是建立在雙方交互的基礎上的，而ICF會影響這些交互過程從而使得連接無法建立。解決這樣的問題也很簡單，一種當然是取消ICF，但這不是推薦的方法。另一種方法就是找到到底OICQ使用哪個連接阜來實現語音功能，在前面介紹的屬性→進階→設置→服務中來增加一項自定義設置從而使ICF忽略這個連接阜的檢測。這樣，OICQ的語音功能就可以正常使用了。

請問是否也因ICF的影響，會使msn messenger 無法正常開啟呢？

如果是．．請問

引用:

前面介紹的屬性→進階→設置→服務中來增加一項自定義設置從而使ICF忽略這個連接阜的檢測。

＜增加一項自定義設置＞又該如何設置呢？

[psac]

引用:

原文由 prolau 所發表
>請問是否也因ICF的影響，會使msn messenger 無法正常開啟呢？

答: icf 防火牆 會影響msn的開啟....

所謂防火牆是指一種安全系統，其扮演一道介於網路及外面世界之間的防禦性邊界。「網際網路連線防火牆 (ICF)」是防火牆軟體，用來設定對允許從網際網路進入您網絡之傳輸的限制。ICF 允許安全的網路傳輸經過防火牆進入您的網路而拒絕不安全的傳輸進入，以保護您的網路免受外來的攻擊。

啟用或停用 ICF
開啟 [網路連線]。
在 [撥號] 或 [區域網路或高速網際網路] 下，在要保護的連線上按一下滑鼠右鍵，再按 [內容]。
在 [進階] 索引標籤的 [網際網路連線防火牆] 下，執行下列其中一項：
若要啟用 [網際網路連線防火牆 (ICF)]，請選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。
若要停用 ICF，請清除 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。

若要執行此程序，您必須是本機電腦上的 Administrators 群組成員，或您必須有被委派適當授權。如果電腦加入網域，那麼 Domain Admins 群組的成員可以執行此程序。
若要開啟「網路連線」，請依序按一下 [開始] 及 [控制台]，再連按兩下 [網路連線]。

>如果是．．請問



>＜增加一項自定義設置＞又該如何設置呢？

開始>所有程式>附屬應用程式>通訊>網路連線
>%你的撥號連線,網卡程序%>內容>網際網路防火牆(打句後)
>設定(g)>服務&新增服務項 (看你勾選那選項,譬'FTP伺服器")>就可分別編輯,連接阜號...IP位置
tcp or udp協議.....等

ICMP 選項 是要防止的攻擊,選擇設置...........
以上你可按windows help.有詳細說明....不過你要,先搗懂些術語名稱意義.............

大大真是太利害了
謝謝你的分享




人生像是在運動場上　有輸有贏有笑有淚
不要只回憶得到金牌ㄉ那一刻 因為金牌會褪色
也不要只是懷念觀眾ㄉ掌聲 因為掌聲終究會停止

多謝無私分享

[yamedeyo]

多謝大大的教學！獲益良多啊