切换到宽版
  • 2320阅读
  • 2回复

[软件]【铜墙铁壁】防火墙简介及基本功能 [复制链接]

上一主题 下一主题
离线游志福
 

发帖
1168
金钱
5039
贡献值
108
交易币
110
好评度
409
家乡
性别
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-03
一、防火墙 =-_B:d;  
=-_B:d;  
  由于Internet的迅速发展,提供了发布信息和检索信息的场所,但它也带来了信息污染和信息破坏的危险,人们为了保护其数据和资源的安全,出现了防火墙。防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。 =-_B:d;  
=-_B:d;  
  1.Internet防火墙 =-_B:d;  
=-_B:d;  
  防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险(病毒、资源盗用等)传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙,更象北京故宫的护城河。它服务于多个目的: =-_B:d;  
=-_B:d;  
  (1)限制人们从一个特别的控制点进入; =-_B:d;  
=-_B:d;  
  (2)防止侵入者接近你的其它设施; =-_B:d;  
=-_B:d;  
  (3)限定人们从一个特别的点离开; =-_B:d;  
=-_B:d;  
  (4)有效的阻止破坏者对你的计算机系统进行破坏。 =-_B:d;  
=-_B:d;  
  因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。 =-_B:d;  
=-_B:d;  
  2.防火墙的优点 =-_B:d;  
=-_B:d;  
  (1)防火墙能强化安全策略 =-_B:d;  
=-_B:d;  
  因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的"交通警察",它执行站点的安全策略,仅仅容许"认可的"和符合规则的请求通过。 =-_B:d;  
=-_B:d;  
  (2)防火墙能有效地记录Internet上的活动 =-_B:d;  
=-_B:d;  
  因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。 =-_B:d;  
=-_B:d;  
  (3)防火墙限制暴露用户点 =-_B:d;  
=-_B:d;  
  防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。 =-_B:d;  
=-_B:d;  
  (4)防火墙是一个安全策略的检查站 =-_B:d;  
=-_B:d;  
  所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 =-_B:d;  
=-_B:d;  
  3.防火墙的不足之处 =-_B:d;  
=-_B:d;  
  上面我们叙述了防火墙的优点,但它还是有缺点的,主要表现在: =-_B:d;  
=-_B:d;  
  (1)不能防范恶意的知情者 =-_B:d;  
=-_B:d;  
=-_B:d;  
=-_B:d;  
  防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。 =-_B:d;  
=-_B:d;  
  (2)不能防范不通过它的连接 =-_B:d;  
=-_B:d;  
  防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 =-_B:d;  
=-_B:d;  
=-_B:d;  
=-_B:d;  
 
 (3)不能防备全部的威胁 =-_B:d;  
Om #m":  
Om #m":  
Om #m":  
  防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。 Om #m":  
Om #m":  
  (4)防火墙不能防范病毒 Om #m":  
Om #m":  
  防火墙不能消除网络上的PC机的病毒。 Om #m":  
Om #m":  
二、防火墙体系结构 Om #m":  
Om #m":  
目前,防火墙的体系结构一般有以下几种: Om #m":  
Om #m":  
  (1)双重宿主主机体系结构; Om #m":  
Om #m":  
  (2)被屏蔽主机体系结构; Om #m":  
Om #m":  
  (3)被屏蔽子网体系结构。
Om #m":  
Om #m":  
  1.双重宿主主机体系结构 Om #m":  
Om #m":  
  双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如,因特网)并不是直接发送到其它网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 Om #m":  
Om #m":  
  双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之间,并且被连接到因特网和内部的网络。 Om #m":  
Om #m":  
  2.屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤。 Om #m":  
Om #m":  
  在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁(例如,传送进来的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全。 Om #m":  
Om #m":  
  数据包过滤也允许堡垒主机开放可允许的连接(什么是"可允许"将由用户的站点的安全策略决定)到外部世界。 Om #m":  
Om #m":  
  在屏蔽的路由器中数据包过滤配置可以按下列之一执行: Om #m":  
Om #m":  
  允许其它的内部主机为了某些服务与因特网上的主机连接(即允许那些已经由数据包过滤的服务)。 Om #m":  
Om #m":  
  不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。 Om #m":  
Om #m":  
用户可以针对不同的服务混合使用这些手段;某些服务可以被允许直接经由数据包过滤,而其它服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。 Om #m":  
Om #m":  
  因为这种体系结构允许数据包从因特网向内部网的移动,所以,它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。话说回来,实际上双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败(因为这种失败类型是完全出乎预料的,不大可能防备黑客侵袭)。进而言之,保卫路由器比保卫主机较易实现,因为它提供非常有限的服务组。多数情况下,被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。 Om #m":  
Om #m":  
  然而,比较其它体系结构,如在下面要讨论的屏蔽子网体系结构也有一些缺点。主要的是如果侵袭者没有办法侵入堡垒主机时,而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下,路由器同样出现一个单点失效。如果路由器被损害,整个网络对侵袭者是开放的。 Om #m":  
Om #m":  
   Om #m":  
Om #m":  
3.屏蔽子网体系结构 Om #m":  
Om #m":  
  屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。 Om #m":  
Om #m":  
  为什么这样做?由它们的性质决定。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它,它仍是最有可能被侵袭的机器,因为它本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中,用户的内部网络对来自用户的堡垒主机的侵袭门户洞开,那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时(除了它们可能有的主机安全之外,这通常是非常少的)。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机,那就毫无阻挡地进入了内部系统。 通过在周边网络上隔离堡垒主机,能减少在堡垒主机上侵入的影响。可以说,它只给入侵者一些访问的机会,但不是全部。屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部的网络之间,另一个位于周边网与外部网络之间(通常为Internet)。为了侵入用这种类型的体系结构构筑的内部网络,侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机,他将仍然必须通过内部路由器。在此情况下,没有损害内部网络的单一的易受侵袭点。作为入侵者,只是进行了一次访问。要点说明如下: (1)周边网络 Om #m":  
Om #m":  
  周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域,周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。 Om #m":  
Om #m":  
  对于周边网络的作用,举例说明如下。在许多网络设置中,用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的,对大多数以太网为基础的网络确实如此(而且以太网是当今使用最广泛的局域网技术);对若干其它成熟的技术,诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破,探听者仍然能偷看或访问他人的敏感文件的内容,或阅读他们感兴趣的电子邮件等等;探听者能完全监视何人在使用网络。 Om #m":  
Om #m":  
  对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。 Om #m":  
Om #m":  
  因为没有严格的内部通信(即在两台内部主机之间的通信,这通常是敏感的或者专有的)能越过周边网。所以,如果堡垒主机被损害,内部的通信仍将是安全的。 Om #m":  
Om #m":  
  一般来说,来往于堡垒主机,或者外部世界的通信,仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不致于机密到阅读它将损害你的站点的完整性。 Om #m":  
Om #m":  
  (2)堡垒主机 Om #m":  
Om #m":  
  在屏蔽的子网体系结构中,用户把堡垒主机连接到周边网;这台主机便是接受来自外界连接的主要入口。例如: Om #m":  
Om #m":  
  1对于进来的电子邮件(SMTP)会话,传送电子邮件到站点; Om #m":  
Om #m":  
  2对于进来的FTP连接,转接到站点的匿名FTP服务器; Om #m":  
Om #m":  
  3对于进来的域名服务(DNS)站点查询等等。另一方面,其出站服务(从内部的客户端到在Internet上的服务器)按如下任一方法处理: Om #m":  
Om #m":  
  1在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 Om #m":  
Om #m":  
  2设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈,反之亦然。但是禁止内部的客户端与外部世界之间直接通信(即拨号入网方式)。 Om #m":  
Om #m":  
  (3)内部路由器 Om #m":  
Om #m":  
  内部路由器(在有关防火墙著作中有时被称为阻塞路由器)保护内部的网络使之免受Internet和周边网的侵犯。 Om #m":  
Om #m":  
  内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。 Om #m":  
Om #m":  
  内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。 Om #m":  
Om #m":  
  (4)外部路由器 Om #m":  
Om #m":  
Om #m":  
Om #m":  
  在理论上,外部路由器(在有关防火墙著作中有时被称为访问路由器)保护周边网和内部网使之免受来自Internet的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的;如果在规则中有允许侵袭者访问的错误,错误就可能出现在两个路由器上。 Om #m":  
Om #m":  
  一般,外部路由器由外部群组提供(例如,用户的Internet供应商),同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器,但是不愿意使维护复杂或者使用频繁变化的规则组。 Om #m":  
Om #m":  
  外部路由器实际上需要做什么呢?外部路由器能有效地执行的安全任务之一(通常别的任何地方不容易做的任务)是:阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络,但实际上是来自Internet。 Om #m":  
Om #m":  
三、防火墙体系结构的组合形式 Om #m":  
Om #m":  
建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。一般有以下几种形式: Om #m":  
Om #m":  
  1使用多堡垒主机; Om #m":  
Om #m":  
  2合并内部路由器与外部路由器; Om #m":  
Om #m":  
  3合并堡垒主机与外部路由器; Om #m":  
Om #m":  
  4合并堡垒主机与内部路由器; Om #m":  
Om #m":  
  5使用多台内部路由器; Om #m":  
Om #m":  
  6使用多台外部路由器; Om #m":  
Om #m":  
  7使用多个周边网络; Om #m":  
Om #m":  
  8使用双重宿主主机与屏蔽子网。 Om #m":  
Om #m":  
Om #m":  
Om #m":  
   Om #m":  
Om #m":  
四、内部防火墙 Om #m":  
Om #m":  
在本文的大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。 Om #m":  
Om #m":  
  因为网络中每一个用户所需要的服务和信息经常是不一样的,它们对安全保障的要求也不一样,所以我们可以将网络组织结构的一部分与其余站点隔离。例如,财务部分与其它部分分开,人事档案部分与办公管理分开等。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。 Om #m":  
Om #m":  
Om #m":  
Om #m":  
五、防火墙的未来发展趋势
Om #m":  
Om #m":  
目前,防火墙技术已经引起了人们的注意,随着新技术的发展,混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。 Om #m":  
Om #m":  
  越来越多的客户端和服务器端的应用程序本身就支持代理服务方式。比如,许多WWW客户服务软件包就具有代理能力。而许多象SOCKS这样的软件在运行编译时也支持类代理服务。 Om #m":  
Om #m":  
  包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统,在CheckPointFirewall-1、KarlBrige/KarlBrouter以及MorningStarSecureConnectrouter中的包过滤规则可由路由器灵活、快速的来设置。一个输出的UDP数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则,允许其对应的UDP包进入内部网。 Om #m":  
Om #m":  
  被称为"第三代"产品的第一批系统已开始进入市场。例如,Border网络技术公司的Border产品和Truest信息系统公司的Gauntlet3.0产品从外部向内看起来像是代理服务(任何外部服务请求都来自于同一主机),而由内部向外看像一个包过滤系统(内部用户认为他们直接与外部网交互)。这些产品通过对大量内部网的外向连接请求的计帐系统和包的批次修改对防火墙的内外提供相关的伪像。KarlBridge/KarlBrouter产品拓展了包过滤的范围,它对应用层上的包过滤和授权进行了扩展。这比传统的包过滤要精细得多。 Om #m":  
Om #m":  
  目前,人们正在设计新的IP协议(也被称为IPversion6)。IP协议的变化将对防火墙的建立与运行产生深刻的影响。同时,目前大多数网络上的机器的信息流都有可能被偷看到,但更新式的网络技术如帧中继,异步传输模式(ATM)可将数据包源地址直接发送给目的地址,从而防止信息流在传输中途被泄露。 Om #m":  
Om #m":  
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
离线游志福

发帖
1168
金钱
5039
贡献值
108
交易币
110
好评度
409
家乡
性别
只看该作者 沙发  发表于: 2009-05-03
凡是网络存在的地方,就会不可避免的受到诸多不安全因素的威胁,为了保护企业信息的安全,在电脑上安装防火墙无疑是最明智、最有效的 Om #m":  
Om #m":  
  凡是网络存在的地方,就会不可避免的受到诸多不安全因素的威胁,为了保护企业信息的安全,在电脑上安装防火墙无疑是最明智、最有效的选择,即可以避免黑客的攻击,又保护了电脑的安全。但是你知道防火墙是如可工作的吗?不同的防火墙的差别在哪里呢?哪一款防火墙更适合你的使用呢?下面笔者就目前使用最多的四款网络防火墙进行导购,希望在你选购防火墙的时候,能够有所帮助。 Om #m":  
Om #m":  
  防火墙指能够隔离本地网络与外界网络之间的一道防御系统,通过防火墙可以非常有效的保护网络的安全,能够隔离风险区域与安全区域的连接,同时可以监控进出网络的通信,让安全的信息进入,而阻挡不安全的信息,通常防火墙具有以下几个方面的功能。 Om #m":  
Om #m":  
  1、限制他人进入电脑:通过防火墙可以有效的把你的电脑与网络隔离,阻止其它非法用户进入到你的电脑中,从而保护电脑中数据的安全。 Om #m":  
Om #m":  
  2、监控网络通信,保护http://it.china-b.com网络防火墙可以实时的监控进出电脑的通信信息,当有恶意信息进入电脑时,就会把其阻挡在系统之外,通过安全规则只允许安全的信息进入电脑,这样就可以有效的阻止电脑被其它人恶意扫描,避免受到网络攻击。 Om #m":  
Om #m":  
  3、记录事件功能:记录事件是每个防火墙不能缺少的功能,通过该功能可以记录防火墙监听到发生的一切事件上,如入侵者的来源、协议、端口与时间等,这样就可以让管理员分析入侵者的信息,有效的阻止入侵。 Om #m":  
Om #m":  
  防火墙在保护电脑安全方面具有举足轻重的功能,那么在选购防火墙时需要注意哪些方面的问题呢?对于企业个人用户来说,在选择防火墙时需要注册以下三个方面: Om #m":  
Om #m":  
  1、配置是否简单:由于企业个人用户对的电脑水平参差不齐,一款配置简单的防火墙能够在使用过程中减少很多不必要的麻烦。 Om #m":  
Om #m":  
  2、实用的安全策略:选购的防火墙应该能够忠实的支持自己的安全性策略,并能灵活的容纳新的服务与机构,改变所需要的安全策略,防火墙还应包含集中化的SMTP访问能力,以简化本地与远程系统的SMTP连接,实现本地Email的集中处理。 Om #m":  
Om #m":  
  3、性价比合理:在满足了实用与安全外,在选购防火墙时还需要注意软件的性价比,价格便宜,功能强大的防火墙是每一个用户所希望的。
离线游志福

发帖
1168
金钱
5039
贡献值
108
交易币
110
好评度
409
家乡
性别
只看该作者 板凳  发表于: 2009-05-03
在windows xp sp2中,windows防火墙有了许多新增特性,其中包括: Om #m":  
Om #m":  
  默认对计算机的所有连接启用、应用于所有连接的全新的全局配置选项、用于全局配置的新增对话框集、全新的操作模式、启动安全性、本地网络限制、异常流量可以通过应用程序文件名指定对internet协议第6版(ipv6)的内建支持、采用netsh和组策略的新增配置选项。 Om #m":  
Om #m":  
  本文将详细描述用于手动配置全新的windows防火墙的对话框集。与windows xp(sp2之前的版本)中的icf不同,这些配置对话框可同时配置ipv4和ipv6流量。 Om #m":  
Om #m":  
  windows xp(sp2之前的版本)中的icf设置包含单个复选框(在连接属性的“高级”选项卡上“通过限制或阻止来自internet对此计算机的访问来保护我的计算机和网络”复选框)和一个“设置”按钮,您可以使用该按钮来配置流量、日志设置和允许的icmp流量。 Om #m":  
Om #m":  
  在windows xp sp2中,连接属性的“高级”选项卡上的复选框被替换成了一个“设置”按钮,您可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许的icmp流量。 Om #m":  
Om #m":  
  “设置”按钮将运行全新的windows防火墙控制面板程序(可在“网络和internet连接与安全中心”类别中找到)。 Om #m":  
Om #m":  
  新的windows防火墙对话框包含以下选项卡: Om #m":  
Om #m":  
“常规” “异常” “高级” “常规”选项卡 Om #m":  
Om #m":  
  在“常规”选项卡上,您可以选择以下选项: Om #m":  
X/-KkC  
“启用(推荐)” X/-KkC  
X/-KkC  
  选择这个选项来对“高级”选项卡上选择的所有网络连接启用windows防火墙。 X/-KkC  
X/-KkC  
  windows防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在“异常”选项卡上进行配置。 X/-KkC  
X/-KkC  
“不允许异常流量” X/-KkC  
X/-KkC  
  单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽略,所有的连接都将受到保护,而不管“高级”选项卡上的设置如何。 X/-KkC  
X/-KkC  
“禁用” X/-KkC  
X/-KkC  
  选择这个选项来禁用windows防火墙。不推荐这样做,特别是对于可通过internet直接访问的网络连接。 X/-KkC  
X/-KkC  
  注意对于运行windows xp sp2的计算机的所有连接和新创建的连接,windows防火墙的默认设置是“启用(推荐)”。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这样的情况下,您必须识别出那些已不再运作的程序,将它们或它们的流量添加为异常流量。许多程序,比如internet浏览器和电子邮件客户端(如:outlook express),不依赖未请求的传入流量,因而能够在启用windows防火墙的情况下正确地运作。 X/-KkC  
X/-KkC  
  如果您在使用组策略配置运行windows xp sp2的计算机的windows防火墙,您所配置的组策略设置可能不允许进行本地配置。在这样的情况下,“常规”选项卡和其他选项卡上的选项可能是灰色的,而无法选择,甚至本地管理员也无法进行选择。 X/-KkC  
X/-KkC  
  基于组策略的windows防火墙设置允许您配置一个域配置文件(一组将在您连接到一个包含域控制器的网络时所应用的windows防火墙设置)和标准配置文件(一组将在您连接到像internet这样没有包含域控制器的网络时所应用的windows防火墙设置)。这些配置对话框仅显示当前所应用的配置文件的windows防火墙设置。要查看当前未应用的配置文件的设置,可使用netsh firewall show命令。要更改当前没有被应用的配置文件的设置,可使用netsh firewall set命令。 X/-KkC  
X/-KkC  
“异常”选项卡 X/-KkC  
X/-KkC  
  在“异常”选项卡上,您可以启用或禁用某个现有的程序或服务,或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上的“不允许异常流量”选项时,异常流量将被拒绝。 X/-KkC  
X/-KkC  
  对于windows xp(sp2之前的版本),您只能根据传输控制协议(tcp)或用户数据报协议(udp)端口来定义异常流量。对于windows xp sp2,您可以根据tcp和udp端口或者程序或服务的文件名来定义异常流量。在程序或服务的tcp或udp端口未知或需要在程序或服务启动时动态确定的情况下,这种配置灵活性使得配置异常流量更加容易。 X/-KkC  
X/-KkC  
  已有一组预先配置的程序和服务,其中包括: X/-KkC  
X/-KkC  
  文件和打印共享、远程助手(默认启用)、远程桌面、upnp框架,这些预定义的程序和服务不可删除。 X/-KkC  
X/-KkC  
  如果组策略允许,您还可以通过单击“添加程序”,创建基于指定的程序名称的附加异常流量,以及通过单击“添加端口”,创建基于指定的tcp或udp端口的异常流量。 X/-KkC  
X/-KkC  
  当您单击“添加程序”时,将弹出“添加程序”对话框,您可以在其上选择一个程序或浏览某个程序的文件名。 X/-KkC  
X/-KkC  
  当您单击“添加端口”时,将弹出“添加端口”对话框,您可以在其中配置一个tcp或udp端口。 X/-KkC  
X/-KkC  
  全新的windows防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时,您有两种选择: X/-KkC  
X/-KkC  
“任何计算机” X/-KkC  
X/-KkC  
  允许异常流量来自任何ip地址。 X/-KkC  
X/-KkC  
“仅只是我的网络(子网)” X/-KkC  
X/-KkC  
  仅允许异常流量来自如下ip地址,即它与接收该流量的网络连接所连接到的本地网段(子网)相匹配。例如,如果该网络连接的ip地址被配置为 192.168.0.99,子网掩码为255.255.0.0,那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的 ip地址。 X/-KkC  
X/-KkC  
  当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务,但是又不希望允许潜在的恶意internet用户进行访问,那么“仅只是我的网络(子网)”设定的地址范围很有用。 X/-KkC  
X/-KkC  
  一旦添加了某个程序或端口,它在“程序和服务”列表中就被默认禁用。 X/-KkC  
X/-KkC  
  在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。 X/-KkC  
X/-KkC  
“高级”选项卡 X/-KkC  
X/-KkC  
  “高级”选项卡包含以下选项: X/-KkC  
X/-KkC  
  网络连接设置、安全日志、icmp、默认设置 X/-KkC  
X/-KkC  
“网络连接设置” X/-KkC  
X/-KkC  
  在“网络连接设置”中,您可以: X/-KkC  
X/-KkC  
1、指定要在其上启用windows防火墙的接口集。要启用windows防火墙,请选中网络连接名称后面的复选框。要禁用windows防火墙,则清除该复选框。默认情况下,所有网络连接都启用了windows防火墙。如果某个网络连接没有出现在这个列表中,那么它就不是一个标准的网络连接。这样的例子包括internet服务提供商(isp)提供的自定义拨号程序。 X/-KkC  
X/-KkC  
2、通过单击网络连接名称,然后单击“设置”,配置单独的网络连接的高级配置。 X/-KkC  
X/-KkC  
  如果清除“网络连接设置”中的所有复选框,那么windows防火墙就不会保护您的计算机,而不管您是否在“常规”选项卡上选中了“启用(推荐)”。如果您在“常规”选项卡上选中了“不允许异常流量”,那么“网络连接设置”中的设置将被忽略,这种情况下所有接口都将受到保护。 X/-KkC  
X/-KkC  
  当您单击“设置”时,将弹出“高级设置”对话框。 X/-KkC  
X/-KkC  
  在“高级设置”对话框上,您可以在“服务”选项卡中配置特定的服务(仅根据tcp或udp端口来配置),或者在“icmp”选项卡中启用特定类型的icmp流量。 X/-KkC  
X/-KkC  
  这两个选项卡等价于windows xp(sp2之前的版本)中的icf配置的设置选项卡。 X/-KkC  
X/-KkC  
“安全日志” X/-KkC  
X/-KkC  
  在“安全日志”中,请单击“设置”,以便在“日志设置”对话框中指定windows防火墙日志的配置,在“日志设置”对话框中,您可以配置是否要记录丢弃的数据包或成功的连接,以及指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。 X/-KkC  
X/-KkC  
“icmp” X/-KkC  
X/-KkC  
  在“icmp”中,请单击“设置”以便在“icmp”对话框中指定允许的icmp流量类型, X/-KkC  
X/-KkC  
  在“icmp”对话框中,您可以启用和禁用windows防火墙允许在“高级”选项卡上选择的所有连接传入的icmp消息的类型。icmp消息用于诊断、报告错误情况和配置。默认情况下,该列表中不允许任何icmp消息。 X/-KkC  
X/-KkC  
  诊断连接问题的一个常用步骤是使用ping工具检验您尝试连接到的计算机地址。在检验时,您可以发送一条icmp echo消息,然后获得一条icmp echo reply消息作为响应。默认情况下,windows防火墙不允许传入icmp echo消息,因此该计算机无法发回一条icmp echo reply消息作为响应。为了配置windows防火墙允许传入的icmp echo消息,您必须启用“允许传入的echo请求”设置。 X/-KkC  
X/-KkC  
“默认设置” X/-KkC  
X/-KkC  
  单击“还原默认设置”,将windows防火墙重设回它的初始安装状态。 X/-KkC  
X/-KkC  
  当您单击“还原默认设置”时,系统会在windows防火墙设置改变之前提示您核实自己的决定
快速回复
限100 字节
 
上一个 下一个