標題:
〔分享〕Windows XP防火牆深層探搜
[打印本頁]
作者:
TCG
時間:
2005-10-12 11:51 AM
標題:
〔分享〕Windows XP防火牆深層探搜
人們現在已習慣在Internet上花費大量時間。隨著ADSL和寬帶網路的普及,人們在Internet上的時間越來越長,個人電腦的安全問題將會變得越來越突出。有統計表明黑客們在每天24小時掃瞄撥號連線的使用者,當然他們的目的並不是我們這些普通上網使用者,而是那些使用VPN在家辦公的使用者。突破這些使用者的個人電腦總比突破層層設防的公司網路要容易得多。若果你是使用DSL或其他寬帶網路的使用者,那麼你的危險將更大了,因為在使用DSL後,你的IP位址將很長時間不變,這無疑給那些黑客帶來了很大的便利。我們當然可以選用一些現有的個人防火牆產品,比如說Norton的個人防火牆產品,Zone Labs的ZoneAlarm,以及國內廠商開發的天網防火牆等等。這些個人防火牆產品依據的防黑客原理通常不一樣,例如Norton的Personal Firewall(個人防火牆)是基於套用程式的(Application Level)。基於套用程式的防火牆在使用上相當麻煩,因為你必須要為每一個訪問Internet的程式設定策略。而隨著策略的增多,防火牆的效率也逐步下降,況且過多的策略也會相互矛盾、影響,給系統安全帶來漏洞。更糟糕的是,這些個人防火牆產品都非常佔用系統資源。
Windows XP號稱是隨著Windows發佈以來最偉大的升級,Windows XP給我們帶來了很多新的特性,互聯網連線防火牆(Internet Connection Firewall,以下簡稱ICF)就是其中的一個新的特性。下面我們就來談談這個ICF,看看它到底能為我們做什麼(註:我們在談ICF的時候都是以Norton的Personal Firewall來做參考和對比的,原因有二:其一,Norton的產品無論在國外還是在國內都是第一流的產品;其二,Norton的這款產品也可以代表這一類產品的技術特點)。
ICF的工作原理
ICF就像一個在你的個人電腦和外部Internet世界建立的虛擬盾牌,它可以讓你請求的資料通過、而阻礙你沒有請求的封包,是一個基於包的防火牆。黑客們的攻擊基本上都是由Ping一個IP位址開始的。當Ping通之後通常都是使用一些軟體來進行連接埠掃瞄。攻擊一台個人電腦和攻擊一台主電腦還是有一點不同的。攻擊主電腦時目的通常是早已鎖定的,即便Ping不通也不會認為目的主電腦已經關機了;但是攻擊個人電腦就不同了,通常黑客們是通過掃瞄一段IP位址開始來鎖定目的,或是是個人電腦的使用者在使用ICQ之類的軟體時暴露了自己的IP位址。對於第一種的情況,Ping不通的IP位址通常被認為沒有使用而忽略過去。所以,ICF的第一個功能就是不響應Ping指令,而且,ICF還禁止外部程式對本機進行連接埠掃瞄,拋棄所有沒有請求的IP包。個人電腦同伺服器不一樣,一般不會提供例如Ftp、Telnet等服務,這樣可以被黑客們利用的系統漏洞就很少。所以,ICF可以在一定的程度上很好地保護我們的個人電腦。
ICF是通過儲存一個表格,記錄所有自本機發出的目的IP位址、連接埠、服務以及其他一些資料來達到保護本機的目的。 當一個IP封包進入本機時,ICF會檢查這個表格,看到達的這個IP封包是不是本機所請求的,若果是就讓它通過,若果在那個表格中沒有找到相應的記錄就拋棄這個IP封包。下面的例子可以很好地說明這個原理。當使用者使用Outlook Express來收發電子信件的時侯,近端個人機發出一個IP請求到POP3信件伺服器。ICF會記錄這個目的IP位址、連接埠。當一個IP封包到達本機的時候,ICF首先會進行審核,通過尋找事先記錄的資料可以確定這個IP封包是來自我們請求的目的位址和連接埠,於是這個封包獲得通過。當使用Outlook用戶端信件程式和Exchange信件伺服器時情況有所不同。一旦有新的信件達到Exchange信件伺服器時,Exchange就會自動發一個IP封包到Outlook客戶機來知會有新的信件到達。這種知會是通過RPC Call來實現的。當Exchange的IP封包到達客戶機時,客戶機的ICF程式就會對這個IP包進行審核發現本機並沒有對這個位址和連接埠發出IP請求,所以這個IP包就會被拋棄,客戶機當然就不會收到發自Exchange信件伺服器的新信件知會。手動讓Outlook去接收Exchange信件伺服器上的新信件當然是可以的。
ICF的局限性
那麼,ICF不能做什麼?ICF可不可以完全替代現有的個人防火牆產品?ICF是通過記錄本機的IP請求來確定外來的IP封包是不是「合法」,這當然不可以用在伺服器上。為什麼呢?伺服器上的IP封包基本上都不是由伺服器先發出,所以ICF這種方法根本就不可以對伺服器的安全提供保護。當然你也可以通過相應的設定讓ICF忽略所有發向某一連接埠的封包,例如80連接埠。那麼發向80連接埠的所有封包都不會被ICF拋棄。從這種意義上講80連接埠就成為不設防的連接埠。這樣的防火牆產品是不可能用在套用伺服器上的,伺服器上的防火牆產品都是基於建立各種策略來審核外來的IP封包。ICF和基於套用程式的個人防火牆產品也是不一樣的。基於套用程式的個人防火牆會記錄每一個訪問Internet的程式,例如,通過設定可以讓IE有權來訪問Internet而Netscape的Navigator沒有權限來訪問Internet,即便兩個程式的目的IP位址和連接埠都是一樣的。Norton的個人防火牆(Personal Firewall)就是這樣一個典型的產品。簡而言之,ICF沒法提供基於套用程式的保護,也沒法建立基於IP包的包審核策略。所以,ICF既不能完全替代現有的個人防火牆產品,也沒有辦法很好地工作在套用伺服器上。
如何選取
那我們應該如何選取?筆者認為,Norton的Personal Firewall可以提供全方面的保護,即便這種保護是建立在繁瑣的設定基礎上的。在它能成功地為你提供一次有效的防護之前,會給你帶來足夠的煩惱。ICF並不能提供完全無懈可擊的防護,但是ICF對個人電腦提供防護是足夠的。在使用Shield Up對裝有ICF的個人電腦進行連接埠掃瞄後,Shield Up 給出了「最安全模式」(Full Stealth Mode)的評價,這也是Shield Up對安全評價的最高等級。況且,ICF是Windows XP內建的功能,佔用的資源相當少且不用花額外的錢去購買。其實從ICF受益最多的應該是那些仍然在使用Modem上網的朋友,實際上這部分使用者佔了50%以上,而在國內絕大部分的使用者都是用Modem上網的。用Modem上網有其自身的特點,首先,你上網的時間不會太長,一般在幾小時上下(包月的除外)。其次,每次建立連線後撥號伺服器都會分配一個新的IP位址給你,長時間佔用一個相同的IP的可能性應該很低。比起使用DSL和寬帶的使用者來講,用Modem上網本身就安全了很多。所以,使用一個重量級的防火牆實在是沒有太多的意義。而ICF則剛剛好,它既提供了一定的保護,而且又不太佔用資源,真的是「剛剛好」!
怎樣使用ICF
我們談了這麼多,那ICF到底該怎樣使用?當你建立一個新的連線的時候,精靈程式就會問你是否要啟用ICF。在每一個連線的屬性→進階選項中也可以讓你選取啟用或是取消ICF功能。在你啟用ICF之後,在進階選項的下部就會出現「設定」按鈕,點選設定就可以對ICF進行進一步的設定。ICF的設定主要有三部分:第一部分是服務項。通過設定這一部分可以讓ICF對某些服務不進行審核。TCP/IP的服務都是由連接埠來區分的,你可以分別對TCP、UDP或是IP Protocol進行設定,在這一項中已經有了一些可選的預設設定。當然你可以建立自己的設定。第二部分是關於日誌的。ICF可以把它所拋棄的IP封包以及獲准通過的IP封包都記錄在案以便可以讓你進行進一步的分析。第三部分就是關於ICMP的,ICMP通常用於Ping、Tracert程式以及路由的動態實現,我的建議是禁止所有的ICMP響應除非你有特別的需要。
定期分析日誌可以發現潛在的安全問題,ICF的日誌分為兩部分:一部分是ICF審核通過的IP封包,而另一部分就是ICF拋棄的IP封包。日誌一般存於Windows目錄之下,檔案名是pfirewall.log。其檔案格式符合W3C延伸記錄檔格式(W3C Extended Log File Format),分為兩部分,分別是檔案頭(Head Information)和檔案主體(Body Information)。檔案頭主要是關於pfirewall.log這個檔案的說明,需要注意的主要是檔案主體部分。檔案主體部分記錄有每一個成功通過ICF審核或是被ICF所拋棄的IP封包的訊息,內含源位址、目的位址、連接埠、時間、協定以及其他一些訊息。理解這些訊息需要較多的TCP/IP協定的知識。
在實際的使用中應盡量避免在局域網中使用ICF,它可能會給一些網路套用帶來影響。在個人電腦中使用也可能會對一些程式的執行帶來影響。例如,OICQ的「語音世界」功能就是建立在雙方交互的基礎上的,而ICF會影響這些交互過程從而使得連線無法建立。解決這樣的問題也很簡單,一種當然是取消ICF,但這不是推薦的方法。另一種方法就是找到到底OICQ使用哪個連接埠來實現語音功能,在前面介紹的屬性→進階→設定→服務中來加入一項自訂設定從而使ICF忽略這個連接埠的檢驗。這樣,OICQ的語音功能就可以標準使用了。
總之,ICF是Windows XP提供的一項新的功能,它並不是用來取代現有的個人防火牆產品,但是ICF能夠為個人電腦提供相當的保護。我們為獲得在網路上的安全所需要做的就是在建立連線的時候選取使用ICF,在需要的時候作出必要的設定,並且定期檢視日誌。當然,最先要做的就是購買Windows XP的家用或是專業版,並把它們安裝起來。
作者:
ytsz
時間:
2006-3-18 11:20 PM
感謝大大分享對防火牆基本知識~~!!
作者:
Fiend
時間:
2006-6-4 06:43 PM
先copy下來再慢慢研究
謝謝提供相關資訊
作者:
fm06
時間:
2006-6-5 12:11 PM
感謝大大這麼詳細介紹說明防火牆的功用
辛苦你
作者:
陳辰
時間:
2006-6-7 11:08 AM
謝謝您詳細的解說
讓我對防火牆更了解
作者:
xp20060726
時間:
2010-4-15 03:56 PM
挺複雜深奧的喔! 先商藏起來再研究!~
感謝 TCG區版兄您的分享!!
歡迎光臨 網際論壇 (http://centurys.net/)
Powered by Discuz! 2.5