五分钟安全顾问：使用Internet连接防火墙

http://www.sina.com.cn 2004年11月08日 14:28 新浪科技

　　文/Microsoft China

　　即使您考虑在第三方软件或硬件防火墙方面投资，您都应该考虑使用Windows XP的 Internet Connection Firewall(Internet 连接防火墙，ICF)防火墙来帮助保护您的家用网络或小型办公网络。Windows XP Home Edition 和 Windows XP Professional 中都包括ICF。同样，该特性也适合于家用网络或小型办公网络解决方案，其中需要保护的用户和计算机相对较少。如果您不使用防火墙，ICF 可以提供强大的保护，而无需支付任何额外的费用。如果您使用某种防火墙，可以在防火墙后用 ICF 来分割您的网络，或者保护内部网中其他的计

<SCRIPT LANGUAGE="JavaScript1.1" SRC="http://122.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|Tech|techpip&db=sina&local=yes&js=on"></SCRIPT> <NOSCRIPT><A HREF="http://122.adsina.allyes.com/main/adfclick?user=AFP6_for_SINA|Tech|techpip&db=sina"><IMG SRC="http://122.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|Tech|techpip&db=sina" WIDTH=360 HEIGHT=300 BORDER=0></a></NOSCRIPT>

算机无权访问的特定计算机。(如果您的用户不止有几位，就需要考虑采用 Internet Security and Acceleration(ISA)产品。这是一款具有工业水准的防火墙，运行于 Windows 2000 和Windows .NET Server。)

　　在Internet上，数据通过Internet协议(Internet Protocol，IP)进行传送。因而，Internet 上的每台计算机都使用这种语言。如果计算机连接到 Internet，系统就会给它分配一个 IP 地址用以对其进行唯一性标识。IP 通信会转到特定的端口——例如，在端口 80 上发送到计算机的请求会被发送到其所属的 Web 服务器(HTTP)。同样，在相同的计算机上发送到端口 25 的请求属于简单邮件传输协议(Simple Mail Transfer Protocol，SMTP)请求，因此，该请求应该由计算机的邮件服务器软件进行处理。Web 服务器决不会知道端口 25 上的通信，而邮件服务器也完全不在意端口80上的通信。

　　在默认情况下，启用 ICF 可以自动阻止从外部网络传输到您的计算机的所有端口的全部通信。这实际上使端口扫描程序无法看到您的计算机。这类黑客工具反复尝试网络地址上的不同端口，以了解如何攻击特定的计算机。黑客常常对 DSL 和电缆调制解调器服务运行端口扫描程序，以查看其是否可以找到某台不安全的机器；在ICF 运行时，端口扫描程序决不会看到您的计算机。

　　如果您需要使 Internet 用户能够与您的计算机进行通信(当您运行 Web 服务器或使用像 Morpheus 这样的流行的对等程序时，您可能会有这种需要)，您可以选择允许对指定端口进行通信，为此，您可以在“公共网络连接”的“属性”窗口的“高级”选项卡中单击“设置”按钮。虽然 Code Red 和 Nimda 病毒证明了修补服务的重要性(即便这些病毒还未被防火墙发现)，但是在您打开面向外界的端口之后，就非常有必要应用该服务的任何修补程序并且使之保持最新。Windows Update 提供了一个简单的方法来确保您获得最新的 Windows XP 服务。

　　保护单台计算机

　　如果您的计算机直接连接到您的 Internet 连接上，或者在计算机和 Internet 之间没有防火墙，您就应该启用 ICF 来限制您的计算机对未知来源的可访问性。如果不使用 ICF 或另一种类型的防火墙，您的计算机就会暴露给 Internet 上所有其他的计算机，这可能使您的数据和服务易受攻击。　　

五分钟安全顾问：使用Internet连接防火墙
图1：在没有防火墙的情况下，计算机暴露给 Internet 上的每台计算机

　　如果您想切断所有来自其他计算机的未经请求的通信，就可以简单地启用 ICF(带有默认设置)，为此，您可以在“网络连接”的“属性”窗口中单击“高级”选项卡上的复选框。然而，如果您想让其他的计算机访问您正在托管的服务，您就需要让 ICF 知道可以允许计算机对其进行访问。对于您可能在您的计算中运行的任何服务，ICF 都是很容易配置的，并且还预配置了针对常规协议和服务(如：HTTP、FTP 和 SMTP)的定义。即使您需要开放的服务或程序不在默认列表中，您也可以通过定义其所用的内部和外部 TCP 端口进行添加。

　　保护多台计算机

　　ICF 本身可以用来保护连接到 Internet 的单台计算机，比如：直接连接到 DSL 或电缆调制解调器的计算机。通过与同样包含在 Windows XP 的两个版本中的 Internet Connection Sharing(Internet 连接共享，ICS)协同工作，运行 ICF 且带有两块网卡的计算机可以用作您的整个本地网络的防火墙。　　

五分钟安全顾问：使用Internet连接防火墙
图2：小型网络通过使用 Internet Connection Sharing 来共享受保护的连接。

　　在这种环境中，ICF 在连接到 Internet 的公用网络连接上进行配置，而 ICS 则在专用内部网络中进行配置。如果您将在专用网络上配置 ICF，您就需要告诉您的计算机，您的专用网络不是受信任的，并且限制该网络和您的计算机之间的通信。例如，ICF 将阻止您的网络上的客户端和 ICS 服务器之间的通信，从而使专用网络上的所有计算机不与您正在尝试共享的连接相接触。

　　如果您的硬件防火墙没有连接共享功能，您就可以使之与 ICS 协同工作来提供一个简单的解决方案。如上图所示，配置您的网络，但要将外部 NIC 连接到该防火墙。在您的内部连接中配置 ICS 的方法与上面的做法完全一样，但是因为已经有了一个防火墙，所以您不需要在连接到您的防火墙的外部连接上启用 ICF。

　　迎接外部世界

　　ICF 充当所有内部机器的代理——如果 ICS 客户端需要与外部机器进行通信，则要求 ICS 服务器(ICS 服务器也正在运行 ICF)对其进行通信。该服务器将请求发送到公用网络，然后将请求转发到客户端。因此，客户端的 IP 地址不是公用的。如果外部计算机试图发起新的会话，就会将所有的通信都发送到 ICF 服务器。这不一定是您想要看到的。如果您需要 Internet 计算机访问您的网络中的一台机器(如：Web 服务器)上的特定服务，您可以配置 ICF 服务器，使特定端口上的通信重定向到内部机器。如果这样做，外部计算机就会将它们的请求从 Internet 发送到 ICF 服务器，而 ICF 服务器又会将它们转发到托管该服务的内部计算机。

　　操作如果您需要允许外部计算机使用您的本地网络中的机器上的 Web 服务器，您可以执行下列操作：

　　1.确保 ICS 和 ICF 已经启用并正常工作。

　　2.在 ICF 服务器上，打开已启用 ICF 的连接的“连接属性”窗口。

　　3.切换到“高级”选项卡并单击“设置”。

　　4.转到“高级设置”的“服务”选项卡，取消选定Web 服务器(HTTP)框并单击“编辑”。

　　5.在“服务设置”窗口中，输入您的内部 Web 服务器的名称（图3）。

五分钟安全顾问：使用Internet连接防火墙
图3 输入您的内部 Web 服务器的名称

　　注意到必须同时启用 ICS 和 ICF才能使用这些转发功能，这一点非常重要。

　　保持警惕

　　任何防火墙解决方案的一个重要方面就是要注意通过您的防火墙的通信。必须监控您投入使用的任何安全性解决方案以确保其有效。Internet Connection Firewall 具有安全日志记录特性，您可以启用该特性来记录所有被丢弃的数据包(被拒绝)、所有的成功连接或者同时记录两者。您应该开启安全日志记录，并且定期查看日志，以检查是否受到攻击。

　　Internet Connection Sharing 和 Internet Connection Firewall 提供了强大而经济的解决方案来保护家庭和办公室中的小型网络。虽然需要花一些时间和精力，但是您可以将一个解决方案投入使用，从而保护您的网络免受大多数攻击，应该仔细地进行规划，以便使您的安全防护措施发挥最大效用。Internet Connection Firewall 和 Internet Connection Sharing 服务是整个安全性问题中具有价值的组成部分，但是不应依赖于单一的防范措施。您应该采取其他步骤，比如：强密码、病毒防护和物理安全实施，来获得最高的安全性。