廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1801 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 初探Vista防火牆高級配置功能
初探Vista防火牆高級配置功能

剛看到Vista的防火牆,也許你會覺得它與WinXP SP2的防火牆沒有什麼區別。不過一旦通過MMC控制臺進入防火牆的高級設置功能,你就會 發現它可以讓用戶自行設置輸入和輸出的網路規則,滿足用戶的各種需求。
  早在Windows XP時代,微軟就在系統中加入了內置的防火牆,這就是我們最初見到的Internet Connection Firewall (ICF),它可以提供基本 的包過濾功能。到了XP SP2時,這個內置的防火牆被正式更名為Windows Firewall,並且有了明顯的改進,比如提供了啟動和關機時的保護能 力,但是依舊是單向的防護,即只能對進入電腦的數據進行攔截審查。因此很多電腦用戶仍然選擇了第三方的個人防火牆產品,比如Kerio或 ZoneAlarm。
  在Windows Vista中,Windows Firewall有了長足進步,它不但可以像XP SP2那樣通過控制面板訪問防火牆用戶介面,還為技術人員提供了通過 MMC控制臺配置防火牆高級功能的途經。在本文中,我會向大家介紹如何對Vista中的防火牆進行高級配置。
一個功能兩種介面
  為什麼微軟會對防火牆的基本配置和高級配置採用兩種完全不同的介面呢?我想這可能是微軟為不懂技術的用戶著想,擔心複雜的配置會讓他 們誤操作,從而導致網路連接問題或者網路安全風險的發生。不管什麼原因,從基本的防火牆配置介面看,Vista中的防火牆設置與SP2中的非 常相似。(二者還是存在些許不同,比如在SP2版本的“Exceptions”選項卡中的“Edit”按鈕在Vista中改為“Properties”按鈕。)
基本配置
  在XP中,用戶可以在“General”選項卡中直接開啟或關閉防火牆,並可以同時攔截所有程式,而不需要考慮例外情況。如圖1所示。

圖1:在基本配置介面的“General”選項卡中開啟或關閉防火牆
  “Block All Programs”選項是一個很便利的選項,尤其當用戶處於一個公開的Wi-Fi網路時。它可以讓系統臨時禁止“例外”中規定的任何程 序訪問網路,而當用戶處於一個相對安全的網路環境時,再關閉這個選項,恢復先前設置。
  和XP一樣,在Vista 防火牆的基本設置中,例外也是在“Exceptions”選項卡中進行設置。用戶可以通過選中相應的程式或服務解除防火牆對 他們的阻止如圖2所示。

圖2:通過復選框可以取消防火牆對某些程式和服務的阻止狀態

如果用戶希望取消阻止的某個程式,而該程式不在阻止列表中,用戶可以通過點擊“Add Program”按鈕來添加。在添加程式對話方塊,用戶可以 從程式列表或者通過文件瀏覽器選擇該程式。通過“Change Scope”選項,用戶可以僅在某個範圍允許程式訪問網路。其範圍包括:
  ·任何電腦,包括互聯網上的電腦。
  ·僅我的局域網路 (子網) 。
  ·自定義IP地址或者子網範圍。
另外,用戶還可以選擇在防火牆攔截軟體後是否要發出報警。
“Advanced”選項卡可以讓用戶選擇需要受到防火牆保護的網路連接,如圖3所示。

圖3:在“Advanced”選項卡中,用戶可以選擇允許防火牆提供保 護的網路
  在這個選項卡中,用戶還可以配置日誌內容(丟包或者成功連接的記錄),設置日誌的最大容量。設置系統該如何回應ICMP請求。在默認情況 下,只有響應的ICMP請求包會被接收,其餘的ICMP請求均被禁止。如圖4所示。

圖4:用戶可以設定何種ICMP請求會被允許或拒絕
  通過恢復到默認設置的按鈕,用戶可以取消所有修改,將防火牆的設置恢復到系統安裝的默認狀態。
  現在到了最令人興奮的部分了:Vista防火牆的高級設置。要想查看這些高級設置內容,用戶需要建立一個自定義的MMC。以下是建立方法:
  1.點擊 Start | Programs | Accessories 然後選擇 Run.
  2.在運行欄中鍵入 mmc.exe 。用戶也許需要輸入管理權證書或點擊進行運行程式認證。
  3.進入MMC後,點擊File | Add/Remove Snap-in.
  4.在Available Snap-ins列表中向下滾動並選擇Windows Firewall With Advanced Security。雙擊或者選中它然後點擊Add 按鈕。
  5.在Select Computer對話方塊,選擇默認(Local Computer)然後點擊Finish。
  6.在Add/Remove Snap-ins對話方塊中點擊OK。
  現在用戶可以像圖5那樣擴展左側的樹狀列表,就會在右側看到Vista 防火牆的高級設置頁面了。

圖5:在Advanced Security MMC中對Vista防火牆進行流入和流出 數據規則的設定


多防火牆配置
  在Vista中,用戶可以為防火牆定制多種配置,比如適合企業域的網路配置(用戶的筆記本可以在公司域中登錄或登出),或者適闔家庭的網路 配置(比如家庭點到點的網路),又或者是適合公眾網路環境的配置(比如在機場酒店連接到公開的WI-FI網路)。每種配置都是相互獨立的。 因此,當用戶處於企業網路中時,甚至可以關閉Vista的防火牆,因為企業網路中基本上都帶有更高級的防火牆,而在連接到家庭網路或者公眾 無線網路時,則可以及時打開防火牆。
  要改變各種配置,用戶可以通過Windows Firewall Properties進行設置。在其中的Domain, Private, 以及 Public Profile選項卡中,用戶可 以開啟或關閉防火牆,還可以對發送以及接收到的連接請求進行遮罩或通過。在這三種配置中,默認均為發送連接可以通過,接收到的連接請 求則被拒絕(允許例外)。用戶也可以將所有連接均設為遮罩,包括例外列表中的程式。Private Profile選項卡如圖6所示。(每種配置選項 卡中的內容都一樣)

圖6:用戶可以針對不同的配置環境設置不同的規則
  通過Customize按鈕,用戶可以對每個配置進行更個性化的調整。比如用戶可以設置當接收到的連接請求被拒絕時,系統發出警報資訊,還可以 設置是否接收多播或廣播時產生的unicast響應。另外,用戶還可以在配置項目中設置日誌選項(可以對丟包或成功連接等情況進行記錄)。
IPSec設置
  通過IPSec Settings選項卡,用戶可以對IPSec項目進行設置,包括Key Exchange,Data Protection,Authentication Method。在默認情況下 ,所有設置均為默認值,即採用Group Policy Object等級。用戶可以點擊Custom按鈕自行配置各個參數:
  Key Exchange: 用戶可以選擇安全和加密方法,並可以對方法按照優先級進行排序,如圖7所示。用戶還可以選擇Key Exchange Algorithm ,默認情況下為Diffie-Hellman Group 2。如果用戶的網路環境中全部為Vista系統,為了實現更高的安全性,用戶可以選擇Elliptic Curve Diffie-Hellman P-384。此外用戶還可以按時間或進程選擇密鑰生存週期。

圖7:用戶可以自定義密鑰交換規則
  Data Protection:用戶可以對所有採用IPSec的連接進行數據加密(非默認值)。用戶還可以選項實現數據安全和加密的演算法。如圖8所示 。

圖8:用戶可以設置用於數據安全和加密的演算法

Authentication Methods: 可供用戶選項的認證方式有多種,如圖9所示: 採用Kerberos方式驗證用戶和電腦,採用Kerberos驗證計算 機,採用Kerberos驗證用戶,通過指定的CA對電腦進行驗證,或者在自定義中選則通過NTLMv2或preshared key進行驗證。在自定義中,用戶 可以設定第一和第二驗證方式,(除非用戶將首選方法選擇為preshared key驗證,否則不會出現候選方式)。

圖9:用戶可以選擇多種認證方式或者自定義認證參數
  一旦用戶設置好每種配置以及IPSec屬性,就可以進行下一步有關電腦連接安全方面的設置了,這個設置用來決定何時以及如何在兩台電腦間 (或一組電腦間)建立安全連接。要進行相關設置,用戶需要右鍵點擊控制臺面板左側的Computer Connections Security並選擇New Rule。這 一步會開啟New Connection Security Rule Wizard,即新連接安全規則嚮導,如圖10所示,用戶可以在如下類別中選擇規則類型:
  ·Isolation: 基於域成員或系統健康狀態等標準的受限制連接。
  ·Authentication exemption: 可以指定某些電腦與本機連接不需要認證。
  ·Server to server: 指定某些電腦之間的連接不需要認證。
  ·Tunnel: 該規則用於在網關系統間進行連接認證。
  ·Custom: 如果以上規則沒有適合的,用戶可以自定義規則。

圖10:創建連接安全規則,確定何時以及如何建立安全連接
  下一步是提供規則所需的條件。比如當用戶建立了一個自定義規則,就需要指定終點,終點包含了一台或者一組電腦。用戶可以通過IP地址或 者地址範圍對一台以及多臺電腦進行設定,用戶還可以將一個預先確定的地址作為終點之一,比如默認網關,DNS伺服器,DHCP伺服器或者本地 子網。
  對於一些規則類別,用戶需要確立規則條件。比如:
  ·用戶可以要求對全部發送和接收的連接進行驗證,這意味著在任何情況下都要使用認證,但這並不是必須的。
  ·用戶可以要求對發送的連接進行認證或者對接收的連接請求進行認證。沒有通過認證的接收到的請求將被遮罩,而發送的連接請求也會被 驗證。
  ·用戶可以要求同時對接收和發送的連接進行認證。沒有認證的連接均被拒絕。
  ·用戶也可以選擇對於任何連接均不需要認證。
  接下來,用戶需要選擇認證方式,這一點和上面介紹的IPSec屬性配置項目非常類似(取決於用戶創建的規則類別)。
  最後,用戶需要選擇當前的規則適用於哪種防火牆配置,併為這個規則命名,並填寫介紹(可選)。用戶建立的規則將出現在頁面中央部分, 如圖11所示:

圖11:當用戶選擇左側的Computer Connection Security時,中間會出現相應的規則

用戶可以通過配置或狀態(啟用/禁用)過濾規則。因此,用戶可以只顯示當前配置下的安全規則,或者只顯示被禁用的規則。用戶還可以通過 View功能表選擇中間區域所顯示的內容列,如圖12所示。

圖12:用戶可以設定中間面板所顯示的內容
  用戶可以隨時通過右鍵點擊中間的規則,然後選擇Disable Rule或Delete禁用或刪除該規則。當需要應用該規則時,可以通過同樣的方法啟用 規則。另外,通過右鍵點擊規則,選擇Properties,用戶還可以對規則進行各種修改。
  用戶所能進行的操作均列在控制臺介面的右側,通過右鍵點擊規則也可以實現相應功能。
  為了創建對應某個程式或某個端口的安全規則,用戶需要建立接收和發送規則。Vista本身內置了一系列規則,如圖13所示。通過點擊左側的 Inbound Rules或Outbound Rules,用戶可以看到這些內置的規則。

圖13:Vista防火牆內置了大量接收和發送規則
  要禁用或刪除這些預製的規則,或者創建規則,用戶可以右鍵點擊相應規則,或者點擊右側所出現的相應功能。通過選擇規則的Properties, 用戶可以修改規則。每個規則的Properties頁面如圖14所示:

圖14:用戶可以在接收和發送規則的屬性對話方塊中對規則進行修改態
  要建立新的接收和發送規則,用戶可以從下拉功能表或右鍵點擊控制臺面板,選擇New Rule。之後會開啟一個新規則嚮導,如圖15所示。

圖15:通過嚮導,用戶可以建立新的發送和接收規則

在嚮導對話方塊的第一屏,用戶可以選擇電腦上的某個應用程式可以通過防火牆並建立端口,或者選擇一個windows服務(默認),另外,用戶還 可以自定義規則。這裡我們以為某個程式建立連接規則為例進行講解。我們選擇Program並點擊Next。
  在下一屏,用戶需要選擇將規則應用於所有程式或者僅針對某個程式。如果選擇某個程式,用戶需要打開瀏覽器,定位該程式。
  接下來,用戶需要選擇當該程式試圖建立連接時(本例中,由於我們所建立的是接收規則,因此這裡是指程式接收到連接請求),防火牆的動 作。用戶可以選擇以下防火牆動作:
  ·允許該程式的所有連接,包括安全的和不安全的。
  ·僅允許安全的連接。如果用戶選擇了此項,那麼還可以選擇對該連接的數據進行加密,從而保護數據安全。如果用戶不選擇此功能,該連 接將需要認證並對數據進行完整性檢測,但是不對數據進行加密。用戶還可以選擇該連接優先於Block規則,這樣便於管理員通過遠程管理工具 對電腦進行管理。
  ·攔截所有連接。如果用戶希望攔截所有進入的連接,比如P2P軟體的連接請求,可以選擇此項。
  在下一屏,用戶可以選擇將該規則應用於全部防火牆配置或者某個防火牆配置中。同時,還要為該規則命名。
  對於針對某個端口的規則設定,與上面說到的基本類似,唯一不同的是,用戶需要輸入TCP或UDP端口號,而不是程式位置。用戶可以針對某個 軟體或者某個端口的某種協議進行規則制定,另外還可以將規則應用於某個或某些終點(電腦或電腦組)。
監視
  高級防火牆配置的一個最有用的功能,也是我們建立防火牆Advanced Security MMC控制臺最主要的原因,就是監視功能。在監視功能中,用戶 可以查看各種規則和他們的屬性狀態,如圖16所示。

圖16:通過監視功能,用戶可以查看所有規則的狀態和屬性
  通過控制臺右側的可用功能列表,用戶可以將防火牆規則導出為txt文本文件,或者以逗號分隔的數據庫文件(.csv)。
總結
  雖然Vista的防火牆表面上和Windows XP SP2的防火牆沒有什麼區別,但是一旦用戶通過控制臺進入到防火牆的高級配置中,就會發現Vista防 火墻的功能和配置參數遠多於XP SP2。Vista防火牆不但可以對發送和接收的數據進行攔截和審查,還可以讓用戶自定義規則,完全可以滿足用 戶的各種需求。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-23 09:25 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.101228 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言