學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識 >

如何與多個防火墻政策配置怎么解決

時間: 加城1195 分享

  防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。在本文中,我們將介紹Windows7中的Windows Firewall,以及如何與多個防火墻政策配置的問題,感興趣的朋友不要錯過

  Windows防火墻的發(fā)展史

  Windows XP中的防火墻軟件僅提供簡單和基本的功能,且只能保護入站流量,阻止任何非本機啟動的入站連接,默認(rèn)情況下,該防火墻是關(guān)閉的。SP2系統(tǒng)默認(rèn)情況下則為開啟,使系統(tǒng)管理員可以通過組策略來啟用防火墻軟件。Vista的防火墻是建立在新的Windows過濾平臺(WFP)上的,該防火墻添加了通過高級安全MMC管理單元過濾出站流量的功能。在Windows 7中,微軟公司已經(jīng)進一步調(diào)整了防火墻的功能,讓防火墻更加便于用戶使用,特別是移動計算機中,并且能夠支持多種防火墻政策。

  Windows 7防火墻

  在Vista中,Windows 7防火墻的基本設(shè)置是通過控制面板程序設(shè)置的,與Vista不同的是,你也可以通過控制面板訪問高級設(shè)置(包括配置出站連接過濾),而不需要創(chuàng)建空的MMC并添加一個管理單元。只需要點擊左側(cè)面板中的高級設(shè)置連接即可

  更多網(wǎng)絡(luò)選項

  Vista防火墻允許用戶選擇公共網(wǎng)絡(luò)或者私人網(wǎng)絡(luò),而在Windows 7中,你有三個選擇:公共網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)或者工作網(wǎng)絡(luò),后兩者都被視為私人網(wǎng)絡(luò)。

  如果你選擇“家庭網(wǎng)絡(luò)”選項,你可以建立一個Homegroup。在這種情況下,網(wǎng)絡(luò)發(fā)現(xiàn)(network discovery)是自動開啟的,這樣你就能夠看到網(wǎng)絡(luò)中的其他計算機和設(shè)備,他們也能夠看到你的計算機。屬于Homegroup的計算機可以共享圖片、音樂、視頻和文檔庫,也可以共享硬件設(shè)備,如打印機等。如果你的文件夾中有不想共享的文件,也可以排除它們。

  如果你選擇“工作網(wǎng)絡(luò)”,網(wǎng)絡(luò)發(fā)現(xiàn)默認(rèn)情況下是開啟的,但是你將無法創(chuàng)建或者加入Homegroup,如果你將計算機加入到Windows域(通過Control Panel | System | Advanced System Settings | Computer Name tab)并通過域控制器的驗證,防火墻將會自動將網(wǎng)絡(luò)視為域網(wǎng)絡(luò)。

  當(dāng)你在機場、酒店或者咖啡館等位置連接到公共無線網(wǎng)絡(luò)或者使用移動寬帶網(wǎng)絡(luò)時,應(yīng)該選擇“公共網(wǎng)絡(luò)”,網(wǎng)絡(luò)發(fā)現(xiàn)將會默認(rèn)為關(guān)閉,這樣網(wǎng)絡(luò)中的其他計算機就不能看到你的計算機,你也不能川劇或者歸屬于Homegroup。

  對于所有網(wǎng)絡(luò)類型,默認(rèn)情況下,windows 7防火墻都會阻止對不在可允許程序名單上的程序的連接,Windows7允許你為每種網(wǎng)絡(luò)類型分別配置設(shè)置

  多個有效模式

  在Vista中,即使你已經(jīng)為公共網(wǎng)絡(luò)和私人網(wǎng)絡(luò)配置了情景模式,在特定時間內(nèi)只有一種是有效的。如果你的計算機同時連接到兩個不同的網(wǎng)絡(luò),那事情就不妙了,這時將會采用最嚴(yán)格的模式來使用所有連接,這意味著在本地網(wǎng)絡(luò)你可能無法進行所有需要的操作,因為此時使用的是公共網(wǎng)絡(luò)模式的規(guī)則。在Windows7(和Server 2008 R2中),可以同時為每個網(wǎng)絡(luò)適配器使用不同的模式,對私人網(wǎng)絡(luò)的連接使用私人網(wǎng)絡(luò)規(guī)則,而來自公共網(wǎng)絡(luò)的流量則使用公共網(wǎng)絡(luò)規(guī)則。

  重要的小功能

  在很多情況下,細(xì)小的變化可能帶來更高的可用性,微軟公司一直積極聽取來自用戶的意見,他們在Windows 7防火墻中加入了一些重要的小功能。例如,在Vista中,當(dāng)你創(chuàng)建防火墻規(guī)則時,你需要分別列出端口號和IP地址,而現(xiàn)在你只需要指定范圍,這樣就為這項常見的管理任務(wù)節(jié)省了很多時間。

  你也可以創(chuàng)建連接安全規(guī)則來指定哪些端口或者協(xié)議受到防火墻控制臺中Ipsec要求的支配,而不需要使用netsh命令。對于那些更愿意使用GUI的人而言,這是個很方便的改進。

  連接安全規(guī)則還支持動態(tài)加密,這意味著,如果服務(wù)器獲取一條來自客戶端計算機的未加密(但通過驗證)的信息,可以通過要求加密來獲得更安全的通信。

  使用高級設(shè)置配置文件

  使用高級設(shè)置控制臺,你可以為每種網(wǎng)絡(luò)類型的配置文件進行設(shè)置

  對于每個配置文件,你可以進行以下配置:

  ·Windows防火墻的開關(guān)狀態(tài)

  ·入站連接(阻止、阻止所有連接,或者允許)

  ·出站連接(允許或者阻止)

  ·顯示通知(當(dāng)程序被阻止時是否進行通知顯示)

  ·對于組播或者廣播流量是否允許單播響應(yīng)

  ·除使用組策略防火墻規(guī)則外,還使用由本地管理員創(chuàng)建的本地防火墻規(guī)則

  ·除使用組策略連接安全規(guī)則外,還使用由本地管理員創(chuàng)建的本地連接安全規(guī)則

  日志

  Vista防火墻可以配置為記錄事件日志到一個文件中(默認(rèn)情況下為Windows\System32\LogFiles\Firewall\pfirewall.log)。在windows 7中,事件日志也可以記錄在Event Viewer的Applications 和Services部分,這樣更加容易訪問。要查看此日志,可以打開Event Viewer,在左窗格中,點擊Applications and Services Log | Microsoft | Windows | Windows Firewall中的高級安全選項,如圖4所示。

  在事件查看日志中,你可以創(chuàng)建一個自定義視圖,過濾日志,搜索日志或者啟用詳細(xì)日志記錄。

  Netsh 命令

  Windows 7包含向后兼容的netsh防火墻,但是如果你運行改命令,你會收到消息顯示,“重要,‘netsh防火墻’已經(jīng)過時,請使用netsh advfirewall防火墻”,如果想了解更多關(guān)于該新命令的信息。

  補充閱讀:防火墻主要使用技巧

  一、所有的防火墻文件規(guī)則必須更改。

  盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動管理流程,因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改,會導(dǎo)致宕機嗎?這是一個相當(dāng)高發(fā)的狀況。

  防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障,讓整個協(xié)議管理更加簡單和高效。

  二、以最小的權(quán)限安裝所有的訪問規(guī)則。

  另一個常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個或者更多域內(nèi)指定打來那個的目標(biāo)對象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò),這些規(guī)則就會變得權(quán)限過度釋放,因此就會增加不安全因素。服務(wù)域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

  三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。

  在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中,我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。

  四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

  規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題,因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會讓防火墻團隊知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對于達成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。


如何與多個防火墻政策配置怎么解決相關(guān)文章:

1.juniper防火墻如何配置多個ip

2.mac OS X:開啟和配置防火墻

3.怎樣查看防火墻配置

4.華為USG多出口策略路由怎么配置

5.Win7下怎么設(shè)置域配置文件下的防火墻

4041627