- 掛牌上市企業(yè)
- 60秒人工響應(yīng)
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
Win XP防火墻全面應(yīng)用 |
| 發(fā)布時間: 2012/7/4 10:58:42 |
|
ICF是"Internet Connection Firewall"的簡稱,也就是因特網(wǎng)連接防火墻。ICF建立在你的電腦與因特網(wǎng)之間,它可以讓你請求的數(shù)據(jù)通過、而阻礙你沒有請求的數(shù)據(jù)包,是一個基于包的防火墻。所以,ICF的第一個功能就是不響應(yīng)Ping命令,而且,ICF還禁止外部程序?qū)Ρ緳C進行端口掃描,拋棄所有沒有請求的IP包。 個人電腦同服務(wù)器不一樣,一般不會提供諸如Ftp、Telnet、POP3等服務(wù),這樣可以被黑客們利用的系統(tǒng)漏洞就很少。所以,ICF可以在一定的程度上很好地保護我們的個人電腦。 ICF是狀態(tài)防火墻,可監(jiān)視通過的所有通訊,并且檢查所處理的每個消息的源和目標地址。為了防止未經(jīng)請求的通信進入系統(tǒng)端口,ICF保留了所有源自本地計算機的通訊表。在單獨的計算機中,ICF將跟蹤源自本地計算機的通信,所有Internet傳入通信都會針對于該表中的各項進行比較。只有當通訊表中有匹配項時(這說明通訊交換是從計算機或?qū)S镁W(wǎng)絡(luò)內(nèi)部開始的),才允許將傳入Internet通信傳送給網(wǎng)絡(luò)中的計算機。 源自外部ICF計算機(也就是入侵計算機)的通訊(如Internet非法訪問)將被防火墻阻止,除非在"服務(wù)"選項卡上設(shè)置允許該通訊通過。ICF不會向你發(fā)送活動通知,而是靜態(tài)地阻止未經(jīng)請求的通訊,防止像端口掃描這樣的常見黑客襲擊。 ICF的原理是通過保存一個通訊表格,記錄所有自本機發(fā)出的目的IP地址、端口、服務(wù)以及其他一些數(shù)據(jù)來達到保護本機的目的。 當一個IP數(shù)據(jù)包進入本機時,ICF會檢查這個表格,看到達的這個IP數(shù)據(jù)包是不是本機所請求的,如果是就讓它通過,如果在那個表格中沒有找到相應(yīng)的記錄就拋棄這個IP數(shù)據(jù)包。下面的例子可以很好地說明這個原理。當用戶使用Outlook Express來收發(fā)電子郵件的時侯,本地個人機發(fā)出一個IP請求到POP3郵件服務(wù)器。ICF會記錄這個目的IP地址、端口。當一個IP數(shù)據(jù)包到達本機的時候,ICF首先會進行審核,通過查找事先記錄的數(shù)據(jù)可以確定這個IP數(shù)據(jù)包是來自我們請求的目的地址和端口,于是這個數(shù)據(jù)包獲得通過。來看一下當使用Outlook Express客戶端郵件程序和郵件服務(wù)器時的情況。一旦有新的郵件到達郵件服務(wù)器時,郵件服務(wù)器會自動發(fā)一個IP數(shù)據(jù)包到Outlook客戶機來通知有新的郵件到達。這種通知是通過RPC Call來實現(xiàn)的。當郵件服務(wù)器的IP數(shù)據(jù)包到達客戶機時,客戶機的ICF程序就會對這個IP包進行審核發(fā)現(xiàn)本機的Outlook express客戶端軟件曾發(fā)出過對這個地址和端口發(fā)出IP請求,所以這個IP包就會被接受,客戶機當然就會收到發(fā)自郵件服務(wù)器的新郵件通知。然后讓Outlook Express去接收郵件服務(wù)器上的新郵件。 設(shè)置ICF 1、啟用或禁用Internet連接防火墻 打開"控制面板"中的"網(wǎng)絡(luò)連接"  單擊要保護的撥號、本地連接或其它Internet連接,然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"Internet 連接防火墻"下,選中如圖所示的項目:  若要啟用Internet連接防火墻,選中"通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網(wǎng)絡(luò)"復選框。若要禁用Internet連接防火墻,清除該復選框。 網(wǎng)絡(luò)服務(wù) 還是上面的"高級"選項卡,點擊下方的"設(shè)置"項,如下圖:  已經(jīng)有選中的項目表示網(wǎng)絡(luò)用戶能夠存取的服務(wù),如:messenger,遠程桌面,F(xiàn)TP,Telnet等。 對于一些常見的網(wǎng)絡(luò)服務(wù),如POP3,SMTP、HTTP等,系統(tǒng)會在需要的時候開放。 如果我們要設(shè)置一個新的服務(wù)項目,以常見的messenger文件傳輸為例,因為許多朋友都會在這方面遇到問題,實際上在HELP中寫的明白。 messenger的文件傳輸采用TCP6891-6900端口,可以在xp的防火墻設(shè)置里面增加TCP6891號端口,文件就可以順利發(fā)送了。文件傳輸?shù)倪M程,一般情況下我們添加一個就行了。 添加方法見圖:  按要求依次寫入"描述","本機的IP地址",使用的端口號(6891),然后確定即可。 安全日志 生成安全日志時使用的格式是W3C擴展日志文件格式,這與在常用日志分析工具中使用的格式類似。 打開"網(wǎng)絡(luò)連接",單擊要在其上啟用Internet連接防火墻(ICF)的連接,然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"設(shè)置"→"安全日志記錄"→"記錄選項"下,選擇下面的一項或兩項:  若要啟用對不成功的入站連接嘗試的記錄,請選中"記錄丟棄的數(shù)據(jù)包"復選框,否則禁用。 2、更改安全日志文件的路徑和文件名 打開"網(wǎng)絡(luò)連接",選擇要在其上啟用Internet連接防火墻的連接,然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"設(shè)置"→"安全日志記錄"→"日志文件選項"→"瀏覽"中,瀏覽要放置日志文件的位置。 在"文件名"中,鍵入新的日志文件名,然后單擊"打開"。打開后可查看其內(nèi)容。 還可以設(shè)置安全日志文件的大小,打開已啟用Internet連接防火墻的連接,然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"設(shè)置"→"安全日志記錄"→"日志文件選項"→"大小限制"中,使用箭頭按鈕調(diào)整大小限制。筆者認為,一般512K足夠了。 如果你在更改設(shè)置后有問題,可以還原默認的安全日志設(shè)置。打開啟用Internet連接防火墻的連接,然后點擊"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"設(shè)置"→"安全日志記錄"→"還原默認值"。 記錄成功的連接--這將登錄來源于家庭、小型辦公網(wǎng)絡(luò)或Internet的所有成功的連接。 當你選擇"登錄成功的外傳連接"復選框時,將收集每個成功通過防火墻的連接信息。例如,當網(wǎng)絡(luò)上的任何人使用Internet Explorer成功實現(xiàn)與某個網(wǎng)站的連接時,日志中將生成一條項目。 記錄放棄的數(shù)據(jù)包--這將登錄來源于家庭、小型辦公網(wǎng)絡(luò)或Internet的所有放棄的數(shù)據(jù)包。 當你選擇"登錄放棄的數(shù)據(jù)包"復選框時,每次通信嘗試通過防火墻卻被檢測和拒絕的信息都被ICF收集。例如,如果你的Internet控制消息協(xié)議沒有設(shè)置成允許傳入的回顯請求,如Ping和Tracert命令發(fā)出的請求,則將接收到來自網(wǎng)絡(luò)外的回顯請求,回顯請求將被放棄,然后日志中將生成一條項目。 Internet控制消息協(xié)議(ICMP) "網(wǎng)絡(luò)消息協(xié)議(ICMP)"是所需的TCP/IP標準,通過ICMP,使用IP通訊的主機和路由器可以報告錯誤并交換受限控制和狀態(tài)信息。 在下列情況中,通常自動發(fā)送ICM消息: IP數(shù)據(jù)報無法訪問目標。 IP路由器(網(wǎng)關(guān))無法按當前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)報。 IP路由器將發(fā)送主機重定向為使用更好的到達目標的路由。應(yīng)用Internet控制消息協(xié)議: 打開"網(wǎng)絡(luò)連接"。 單擊已啟用Internet連接防火墻的連接,在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→單擊"高級"→"設(shè)置"→"ICMP"選項卡上,選中希望你的計算機響應(yīng)的請求信息類型旁邊的復選框。  ICF的局限性 那么,ICF不能做什么?ICF可不可以完全替代現(xiàn)有的個人防火墻產(chǎn)品?ICF是通過記錄本機的IP請求來確定外來的IP數(shù)據(jù)包是不是"合法",這當然不可以用在服務(wù)器上。為什么呢?服務(wù)器上的IP數(shù)據(jù)包基本上都不是由服務(wù)器先發(fā)出,所以ICF這種方法根本就不可以對服務(wù)器的安全提供保護。當然你也可以通過相應(yīng)的設(shè)置讓ICF忽略所有發(fā)向某一端口的數(shù)據(jù)包,例如80端口。那么發(fā)向80端口的所有數(shù)據(jù)包都不會被ICF拋棄。從這種意義上講80端口就成為不設(shè)防的端口。這樣的防火墻產(chǎn)品是不可能用在應(yīng)用服務(wù)器上的,服務(wù)器上的防火墻產(chǎn)品都是基于建立各種策略來審核外來的IP數(shù)據(jù)包。ICF和基于應(yīng)用程序的個人防火墻產(chǎn)品也是不一樣的。基于應(yīng)用程序的個人防火墻會記錄每一個訪問Internet的程序,例如,通過設(shè)置可以讓IE有權(quán)來訪問Internet而Netscape的Navigator沒有權(quán)限來訪問Internet,即便兩個程序的目的IP地址和端口都是一樣的。Norton的個人防火墻(Personal Firewall)就是這樣一個典型的產(chǎn)品。簡而言之,ICF沒法提供基于應(yīng)用程序的保護,也沒法建立基于IP包的包審核策略。所以,ICF既不能完全替代現(xiàn)有的個人防火墻產(chǎn)品,也沒有辦法很好地工作在應(yīng)用服務(wù)器上。 筆者認為,Norton的個人防火墻和Zonealarm Pro可以提供較全方面的保護,但設(shè)置較為復雜。ICF并不能提供完全無懈可擊的防護,但是ICF對個人電腦提供防護是足夠的。在使用一些系統(tǒng)安全軟件對裝有ICF的個人電腦進行端口掃描后,常會給出了"系統(tǒng)安全"的評價。況且,ICF是Windows XP內(nèi)建的功能,占用的資源相當少且不用花額外的錢去購買。從ICF受益最多的應(yīng)該是那些仍然在使用Modem上網(wǎng)的朋友,在國內(nèi)絕大部分的用戶都是用Modem上網(wǎng)的。首先,你上網(wǎng)的時間不會太長,一般在幾小時上下(包月的除外)。其次,每次建立連接后撥號服務(wù)器都會分配一個新的IP地址(動態(tài)地址分配)給你,長時間占用一個相同的IP的可能性應(yīng)該很低。比起使用ADSL和其它寬帶的用戶來講,用Modem上網(wǎng)本身就安全了很多。 注意事項 ICF和家庭或小型辦公室通訊--不應(yīng)該在所有沒有直接連接到Internet的連接上啟用Internet連接防火墻,也就是最好不要在局域網(wǎng)中使用。如果在ICF客戶計算機的網(wǎng)絡(luò)適配器上啟用防火墻,則它將干擾該計算機和網(wǎng)絡(luò)上的其他計算機之間的一些通訊。如果網(wǎng)絡(luò)已經(jīng)具有互聯(lián)網(wǎng)防火墻或代理服務(wù)器,則不需要Internet連接防火墻,你應(yīng)該關(guān)閉它。 所以,使用一個重量級的防火墻實在是沒有太多的意義。而ICF則剛剛好,它既提供了一定的保護,而且又不太占用資源,不錯的,是"又經(jīng)濟,又實惠"。 本文出自:億恩科技【www.laynepeng.cn】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |
0371-60135900
京公網(wǎng)安備41019702002023號
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
