文章內(nèi)容

Win XP防火墻全面應(yīng)用

發(fā)布時(shí)間: 2012/7/4 10:58:42

ICF是"Internet Connection Firewall"的簡稱，也就是因特網(wǎng)連接防火墻。ICF建立在你的電腦與因特網(wǎng)之間，它可以讓你請(qǐng)求的數(shù)據(jù)通過、而阻礙你沒有請(qǐng)求的數(shù)據(jù)包，是一個(gè)基于包的防火墻。所以，ICF的第一個(gè)功能就是不響應(yīng)Ping命令，而且，ICF還禁止外部程序?qū)Ρ緳C(jī)進(jìn)行端口掃描，拋棄所有沒有請(qǐng)求的IP包。
　　個(gè)人電腦同服務(wù)器不一樣，一般不會(huì)提供諸如Ftp、Telnet、POP3等服務(wù)，這樣可以被黑客們利用的系統(tǒng)漏洞就很少。所以，ICF可以在一定的程度上很好地保護(hù)我們的個(gè)人電腦。

　　ICF是狀態(tài)防火墻，可監(jiān)視通過的所有通訊，并且檢查所處理的每個(gè)消息的源和目標(biāo)地址。為了防止未經(jīng)請(qǐng)求的通信進(jìn)入系統(tǒng)端口，ICF保留了所有源自本地計(jì)算機(jī)的通訊表。在單獨(dú)的計(jì)算機(jī)中，ICF將跟蹤源自本地計(jì)算機(jī)的通信，所有Internet傳入通信都會(huì)針對(duì)于該表中的各項(xiàng)進(jìn)行比較。只有當(dāng)通訊表中有匹配項(xiàng)時(shí)（這說明通訊交換是從計(jì)算機(jī)或?qū)Ｓ镁W(wǎng)絡(luò)內(nèi)部開始的），才允許將傳入Internet通信傳送給網(wǎng)絡(luò)中的計(jì)算機(jī)。

　　源自外部ICF計(jì)算機(jī)（也就是入侵計(jì)算機(jī)）的通訊（如Internet非法訪問）將被防火墻阻止，除非在"服務(wù)"選項(xiàng)卡上設(shè)置允許該通訊通過。ICF不會(huì)向你發(fā)送活動(dòng)通知，而是靜態(tài)地阻止未經(jīng)請(qǐng)求的通訊，防止像端口掃描這樣的常見黑客襲擊。

　　ICF的原理是通過保存一個(gè)通訊表格，記錄所有自本機(jī)發(fā)出的目的IP地址、端口、服務(wù)以及其他一些數(shù)據(jù)來達(dá)到保護(hù)本機(jī)的目的。當(dāng)一個(gè)IP數(shù)據(jù)包進(jìn)入本機(jī)時(shí)，ICF會(huì)檢查這個(gè)表格，看到達(dá)的這個(gè)IP數(shù)據(jù)包是不是本機(jī)所請(qǐng)求的，如果是就讓它通過，如果在那個(gè)表格中沒有找到相應(yīng)的記錄就拋棄這個(gè)IP數(shù)據(jù)包。下面的例子可以很好地說明這個(gè)原理。當(dāng)用戶使用Outlook Express來收發(fā)電子郵件的時(shí)侯，本地個(gè)人機(jī)發(fā)出一個(gè)IP請(qǐng)求到POP3郵件服務(wù)器。ICF會(huì)記錄這個(gè)目的IP地址、端口。當(dāng)一個(gè)IP數(shù)據(jù)包到達(dá)本機(jī)的時(shí)候，ICF首先會(huì)進(jìn)行審核，通過查找事先記錄的數(shù)據(jù)可以確定這個(gè)IP數(shù)據(jù)包是來自我們請(qǐng)求的目的地址和端口，于是這個(gè)數(shù)據(jù)包獲得通過。來看一下當(dāng)使用Outlook Express客戶端郵件程序和郵件服務(wù)器時(shí)的情況。一旦有新的郵件到達(dá)郵件服務(wù)器時(shí)，郵件服務(wù)器會(huì)自動(dòng)發(fā)一個(gè)IP數(shù)據(jù)包到Outlook客戶機(jī)來通知有新的郵件到達(dá)。這種通知是通過RPC Call來實(shí)現(xiàn)的。當(dāng)郵件服務(wù)器的IP數(shù)據(jù)包到達(dá)客戶機(jī)時(shí)，客戶機(jī)的ICF程序就會(huì)對(duì)這個(gè)IP包進(jìn)行審核發(fā)現(xiàn)本機(jī)的Outlook express客戶端軟件曾發(fā)出過對(duì)這個(gè)地址和端口發(fā)出IP請(qǐng)求，所以這個(gè)IP包就會(huì)被接受，客戶機(jī)當(dāng)然就會(huì)收到發(fā)自郵件服務(wù)器的新郵件通知。然后讓Outlook Express去接收郵件服務(wù)器上的新郵件�！　≡O(shè)置ICF
　
　　1、啟用或禁用Internet連接防火墻
　　打開"控制面板"中的"網(wǎng)絡(luò)連接"
　　

　　單擊要保護(hù)的撥號(hào)、本地連接或其它Internet連接，然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級(jí)"→"Internet 連接防火墻"下，選中如圖所示的項(xiàng)目：
　　

　　若要啟用Internet連接防火墻，選中"通過限制或阻止來自Internet的對(duì)此計(jì)算機(jī)的訪問來保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)"復(fù)選框。若要禁用Internet連接防火墻，清除該復(fù)選框。
　　網(wǎng)絡(luò)服務(wù)
　　還是上面的"高級(jí)"選項(xiàng)卡，點(diǎn)擊下方的"設(shè)置"項(xiàng)，如下圖：
　　

　　已經(jīng)有選中的項(xiàng)目表示網(wǎng)絡(luò)用戶能夠存取的服務(wù)，如：messenger，遠(yuǎn)程桌面，F(xiàn)TP，Telnet等。
　　對(duì)于一些常見的網(wǎng)絡(luò)服務(wù)，如POP3，SMTP、HTTP等，系統(tǒng)會(huì)在需要的時(shí)候開放。
　　如果我們要設(shè)置一個(gè)新的服務(wù)項(xiàng)目，以常見的messenger文件傳輸為例，因?yàn)樵S多朋友都會(huì)在這方面遇到問題，實(shí)際上在HELP中寫的明白。
　　messenger的文件傳輸采用TCP6891-6900端口，可以在xp的防火墻設(shè)置里面增加TCP6891號(hào)端口，文件就可以順利發(fā)送了。文件傳輸?shù)倪M(jìn)程，一般情況下我們添加一個(gè)就行了。
　　添加方法見圖：
　　

　　按要求依次寫入"描述"，"本機(jī)的IP地址"，使用的端口號(hào)（6891），然后確定即可�！　�
安全日志
　　生成安全日志時(shí)使用的格式是W3C擴(kuò)展日志文件格式，這與在常用日志分析工具中使用的格式類似。
　　打開"網(wǎng)絡(luò)連接"，單擊要在其上啟用Internet連接防火墻（ICF）的連接，然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級(jí)"→"設(shè)置"→"安全日志記錄"→"記錄選項(xiàng)"下，選擇下面的一項(xiàng)或兩項(xiàng)：
　　

　　若要啟用對(duì)不成功的入站連接嘗試的記錄，請(qǐng)選中"記錄丟棄的數(shù)據(jù)包"復(fù)選框，否則禁用。
　　2、更改安全日志文件的路徑和文件名
　　打開"網(wǎng)絡(luò)連接"，選擇要在其上啟用Internet連接防火墻的連接，然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級(jí)"→"設(shè)置"→"安全日志記錄"→"日志文件選項(xiàng)"→"瀏覽"中，瀏覽要放置日志文件的位置。
　　在"文件名"中，鍵入新的日志文件名，然后單擊"打開"。打開后可查看其內(nèi)容。
　　還可以設(shè)置安全日志文件的大小，打開已啟用Internet連接防火墻的連接，然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級(jí)"→"設(shè)置"→"安全日志記錄"→"日志文件選項(xiàng)"→"大小限制"中，使用箭頭按鈕調(diào)整大小限制。筆者認(rèn)為，一般512K足夠了。
　　如果你在更改設(shè)置后有問題，可以還原默認(rèn)的安全日志設(shè)置。打開啟用Internet連接防火墻的連接，然后點(diǎn)擊"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級(jí)"→"設(shè)置"→"安全日志記錄"→"還原默認(rèn)值"。
　　記錄成功的連接--這將登錄來源于家庭、小型辦公網(wǎng)絡(luò)或Internet的所有成功的連接。
　　當(dāng)你選擇"登錄成功的外傳連接"復(fù)選框時(shí)，將收集每個(gè)成功通過防火墻的連接信息。例如，當(dāng)網(wǎng)絡(luò)上的任何人使用Internet Explorer成功實(shí)現(xiàn)與某個(gè)網(wǎng)站的連接時(shí)，日志中將生成一條項(xiàng)目。
　　記錄放棄的數(shù)據(jù)包--這將登錄來源于家庭、小型辦公網(wǎng)絡(luò)或Internet的所有放棄的數(shù)據(jù)包。
　　當(dāng)你選擇"登錄放棄的數(shù)據(jù)包"復(fù)選框時(shí)，每次通信嘗試通過防火墻卻被檢測(cè)和拒絕的信息都被ICF收集。例如，如果你的Internet控制消息協(xié)議沒有設(shè)置成允許傳入的回顯請(qǐng)求，如Ping和Tracert命令發(fā)出的請(qǐng)求，則將接收到來自網(wǎng)絡(luò)外的回顯請(qǐng)求，回顯請(qǐng)求將被放棄，然后日志中將生成一條項(xiàng)目。
　　Internet控制消息協(xié)議（ICMP）
　　"網(wǎng)絡(luò)消息協(xié)議（ICMP）"是所需的TCP/IP標(biāo)準(zhǔn)，通過ICMP，使用IP通訊的主機(jī)和路由器可以報(bào)告錯(cuò)誤并交換受限控制和狀態(tài)信息。
　　在下列情況中，通常自動(dòng)發(fā)送ICM消息：

　　IP數(shù)據(jù)報(bào)無法訪問目標(biāo)。
　　IP路由器（網(wǎng)關(guān)）無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)。
　　IP路由器將發(fā)送主機(jī)重定向?yàn)槭褂酶玫牡竭_(dá)目標(biāo)的路由。應(yīng)用Internet控制消息協(xié)議：
　　打開"網(wǎng)絡(luò)連接"。單擊已啟用Internet連接防火墻的連接，在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→單擊"高級(jí)"→"設(shè)置"→"ICMP"選項(xiàng)卡上，選中希望你的計(jì)算機(jī)響應(yīng)的請(qǐng)求信息類型旁邊的復(fù)選框。
　　

　　ICF的局限性
　　那么，ICF不能做什么？ICF可不可以完全替代現(xiàn)有的個(gè)人防火墻產(chǎn)品？ICF是通過記錄本機(jī)的IP請(qǐng)求來確定外來的IP數(shù)據(jù)包是不是"合法"，這當(dāng)然不可以用在服務(wù)器上。為什么呢？服務(wù)器上的IP數(shù)據(jù)包基本上都不是由服務(wù)器先發(fā)出，所以ICF這種方法根本就不可以對(duì)服務(wù)器的安全提供保護(hù)。當(dāng)然你也可以通過相應(yīng)的設(shè)置讓ICF忽略所有發(fā)向某一端口的數(shù)據(jù)包，例如80端口。那么發(fā)向80端口的所有數(shù)據(jù)包都不會(huì)被ICF拋棄。從這種意義上講80端口就成為不設(shè)防的端口。這樣的防火墻產(chǎn)品是不可能用在應(yīng)用服務(wù)器上的，服務(wù)器上的防火墻產(chǎn)品都是基于建立各種策略來審核外來的IP數(shù)據(jù)包。ICF和基于應(yīng)用程序的個(gè)人防火墻產(chǎn)品也是不一樣的�；趹�(yīng)用程序的個(gè)人防火墻會(huì)記錄每一個(gè)訪問Internet的程序，例如，通過設(shè)置可以讓IE有權(quán)來訪問Internet而Netscape的Navigator沒有權(quán)限來訪問Internet，即便兩個(gè)程序的目的IP地址和端口都是一樣的。Norton的個(gè)人防火墻（Personal Firewall）就是這樣一個(gè)典型的產(chǎn)品。簡而言之，ICF沒法提供基于應(yīng)用程序的保護(hù)，也沒法建立基于IP包的包審核策略。所以，ICF既不能完全替代現(xiàn)有的個(gè)人防火墻產(chǎn)品，也沒有辦法很好地工作在應(yīng)用服務(wù)器上。
　　筆者認(rèn)為，Norton的個(gè)人防火墻和Zonealarm Pro可以提供較全方面的保護(hù)，但設(shè)置較為復(fù)雜。ICF并不能提供完全無懈可擊的防護(hù)，但是ICF對(duì)個(gè)人電腦提供防護(hù)是足夠的。在使用一些系統(tǒng)安全軟件對(duì)裝有ICF的個(gè)人電腦進(jìn)行端口掃描后，常會(huì)給出了"系統(tǒng)安全"的評(píng)價(jià)。況且，ICF是Windows XP內(nèi)建的功能，占用的資源相當(dāng)少且不用花額外的錢去購買。從ICF受益最多的應(yīng)該是那些仍然在使用Modem上網(wǎng)的朋友，在國內(nèi)絕大部分的用戶都是用Modem上網(wǎng)的。首先，你上網(wǎng)的時(shí)間不會(huì)太長，一般在幾小時(shí)上下（包月的除外）。其次，每次建立連接后撥號(hào)服務(wù)器都會(huì)分配一個(gè)新的IP地址（動(dòng)態(tài)地址分配）給你，長時(shí)間占用一個(gè)相同的IP的可能性應(yīng)該很低。比起使用ADSL和其它寬帶的用戶來講，用Modem上網(wǎng)本身就安全了很多。
　　注意事項(xiàng)
　　ICF和家庭或小型辦公室通訊--不應(yīng)該在所有沒有直接連接到Internet的連接上啟用Internet連接防火墻，也就是最好不要在局域網(wǎng)中使用。如果在ICF客戶計(jì)算機(jī)的網(wǎng)絡(luò)適配器上啟用防火墻，則它將干擾該計(jì)算機(jī)和網(wǎng)絡(luò)上的其他計(jì)算機(jī)之間的一些通訊。如果網(wǎng)絡(luò)已經(jīng)具有互聯(lián)網(wǎng)防火墻或代理服務(wù)器，則不需要Internet連接防火墻，你應(yīng)該關(guān)閉它。
　　所以，使用一個(gè)重量級(jí)的防火墻實(shí)在是沒有太多的意義。而ICF則剛剛好，它既提供了一定的保護(hù)，而且又不太占用資源，不錯(cuò)的，是"又經(jīng)濟(jì)，又實(shí)惠"。

本文出自：億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 了解無線局域網(wǎng)
下一篇 >> 計(jì)算機(jī)實(shí)戰(zhàn)分析

亚洲Aⅴ无码Av红楼在线观看_国产午夜福利涩爱AⅤ_国产sm调教一区二区三区_精品人妻一区二区三区不卡毛片

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內(nèi)容

Win XP防火墻全面應(yīng)用

同類文章

億恩公告

在線客服