如何與多個(gè)防火墻政策配置怎么解決

　　防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。在本文中，我們將介紹Windows7中的Windows Firewall，以及如何與多個(gè)防火墻政策配置的問題，感興趣的朋友不要錯(cuò)過

　　Windows防火墻的發(fā)展史

　　Windows XP中的防火墻軟件僅提供簡單和基本的功能，且只能保護(hù)入站流量，阻止任何非本機(jī)啟動(dòng)的入站連接，默認(rèn)情況下，該防火墻是關(guān)閉的。SP2系統(tǒng)默認(rèn)情況下則為開啟，使系統(tǒng)管理員可以通過組策略來啟用防火墻軟件。Vista的防火墻是建立在新的Windows過濾平臺(tái)(WFP)上的，該防火墻添加了通過高級(jí)安全MMC管理單元過濾出站流量的功能。在Windows 7中，微軟公司已經(jīng)進(jìn)一步調(diào)整了防火墻的功能，讓防火墻更加便于用戶使用，特別是移動(dòng)計(jì)算機(jī)中，并且能夠支持多種防火墻政策。

　　Windows 7防火墻

　　在Vista中，Windows 7防火墻的基本設(shè)置是通過控制面板程序設(shè)置的，與Vista不同的是，你也可以通過控制面板訪問高級(jí)設(shè)置(包括配置出站連接過濾)，而不需要?jiǎng)?chuàng)建空的MMC并添加一個(gè)管理單元。只需要點(diǎn)擊左側(cè)面板中的高級(jí)設(shè)置連接即可

　　更多網(wǎng)絡(luò)選項(xiàng)

　　Vista防火墻允許用戶選擇公共網(wǎng)絡(luò)或者私人網(wǎng)絡(luò)，而在Windows 7中，你有三個(gè)選擇：公共網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)或者工作網(wǎng)絡(luò)，后兩者都被視為私人網(wǎng)絡(luò)。

　　如果你選擇“家庭網(wǎng)絡(luò)”選項(xiàng)，你可以建立一個(gè)Homegroup。在這種情況下，網(wǎng)絡(luò)發(fā)現(xiàn)(network discovery)是自動(dòng)開啟的，這樣你就能夠看到網(wǎng)絡(luò)中的其他計(jì)算機(jī)和設(shè)備，他們也能夠看到你的計(jì)算機(jī)。屬于Homegroup的計(jì)算機(jī)可以共享圖片、音樂、視頻和文檔庫，也可以共享硬件設(shè)備，如打印機(jī)等。如果你的文件夾中有不想共享的文件，也可以排除它們。

　　如果你選擇“工作網(wǎng)絡(luò)”，網(wǎng)絡(luò)發(fā)現(xiàn)默認(rèn)情況下是開啟的，但是你將無法創(chuàng)建或者加入Homegroup，如果你將計(jì)算機(jī)加入到Windows域(通過Control Panel | System | Advanced System Settings | Computer Name tab)并通過域控制器的驗(yàn)證，防火墻將會(huì)自動(dòng)將網(wǎng)絡(luò)視為域網(wǎng)絡(luò)。

　　當(dāng)你在機(jī)場、酒店或者咖啡館等位置連接到公共無線網(wǎng)絡(luò)或者使用移動(dòng)寬帶網(wǎng)絡(luò)時(shí)，應(yīng)該選擇“公共網(wǎng)絡(luò)”，網(wǎng)絡(luò)發(fā)現(xiàn)將會(huì)默認(rèn)為關(guān)閉，這樣網(wǎng)絡(luò)中的其他計(jì)算機(jī)就不能看到你的計(jì)算機(jī)，你也不能川劇或者歸屬于Homegroup。

　　對(duì)于所有網(wǎng)絡(luò)類型，默認(rèn)情況下，windows 7防火墻都會(huì)阻止對(duì)不在可允許程序名單上的程序的連接，Windows7允許你為每種網(wǎng)絡(luò)類型分別配置設(shè)置

　　多個(gè)有效模式

　　在Vista中，即使你已經(jīng)為公共網(wǎng)絡(luò)和私人網(wǎng)絡(luò)配置了情景模式，在特定時(shí)間內(nèi)只有一種是有效的。如果你的計(jì)算機(jī)同時(shí)連接到兩個(gè)不同的網(wǎng)絡(luò)，那事情就不妙了，這時(shí)將會(huì)采用最嚴(yán)格的模式來使用所有連接，這意味著在本地網(wǎng)絡(luò)你可能無法進(jìn)行所有需要的操作，因?yàn)榇藭r(shí)使用的是公共網(wǎng)絡(luò)模式的規(guī)則。在Windows7(和Server 2008 R2中)，可以同時(shí)為每個(gè)網(wǎng)絡(luò)適配器使用不同的模式，對(duì)私人網(wǎng)絡(luò)的連接使用私人網(wǎng)絡(luò)規(guī)則，而來自公共網(wǎng)絡(luò)的流量則使用公共網(wǎng)絡(luò)規(guī)則。

　　重要的小功能

　　在很多情況下，細(xì)小的變化可能帶來更高的可用性，微軟公司一直積極聽取來自用戶的意見，他們?cè)赪indows 7防火墻中加入了一些重要的小功能。例如，在Vista中，當(dāng)你創(chuàng)建防火墻規(guī)則時(shí)，你需要分別列出端口號(hào)和IP地址，而現(xiàn)在你只需要指定范圍，這樣就為這項(xiàng)常見的管理任務(wù)節(jié)省了很多時(shí)間。

　　你也可以創(chuàng)建連接安全規(guī)則來指定哪些端口或者協(xié)議受到防火墻控制臺(tái)中Ipsec要求的支配，而不需要使用netsh命令。對(duì)于那些更愿意使用GUI的人而言，這是個(gè)很方便的改進(jìn)。

　　連接安全規(guī)則還支持動(dòng)態(tài)加密，這意味著，如果服務(wù)器獲取一條來自客戶端計(jì)算機(jī)的未加密(但通過驗(yàn)證)的信息，可以通過要求加密來獲得更安全的通信。

　　使用高級(jí)設(shè)置配置文件

　　使用高級(jí)設(shè)置控制臺(tái)，你可以為每種網(wǎng)絡(luò)類型的配置文件進(jìn)行設(shè)置

　　對(duì)于每個(gè)配置文件，你可以進(jìn)行以下配置：

　　·Windows防火墻的開關(guān)狀態(tài)

　　·入站連接(阻止、阻止所有連接，或者允許)

　　·出站連接(允許或者阻止)

　　·顯示通知(當(dāng)程序被阻止時(shí)是否進(jìn)行通知顯示)

　　·對(duì)于組播或者廣播流量是否允許單播響應(yīng)

　　·除使用組策略防火墻規(guī)則外，還使用由本地管理員創(chuàng)建的本地防火墻規(guī)則

　　·除使用組策略連接安全規(guī)則外，還使用由本地管理員創(chuàng)建的本地連接安全規(guī)則

　　日志

　　Vista防火墻可以配置為記錄事件日志到一個(gè)文件中(默認(rèn)情況下為Windows\System32\LogFiles\Firewall\pfirewall.log)。在windows 7中，事件日志也可以記錄在Event Viewer的Applications 和Services部分，這樣更加容易訪問。要查看此日志，可以打開Event Viewer，在左窗格中，點(diǎn)擊Applications and Services Log | Microsoft | Windows | Windows Firewall中的高級(jí)安全選項(xiàng)，如圖4所示。

　　在事件查看日志中，你可以創(chuàng)建一個(gè)自定義視圖，過濾日志，搜索日志或者啟用詳細(xì)日志記錄。

　　Netsh 命令

　　Windows 7包含向后兼容的netsh防火墻，但是如果你運(yùn)行改命令，你會(huì)收到消息顯示，“重要，‘netsh防火墻’已經(jīng)過時(shí)，請(qǐng)使用netsh advfirewall防火墻”，如果想了解更多關(guān)于該新命令的信息。

　　補(bǔ)充閱讀：防火墻主要使用技巧

　　一、所有的防火墻文件規(guī)則必須更改。

　　盡管這種方法聽起來很容易，但是由于防火墻沒有內(nèi)置的變動(dòng)管理流程，因此文件更改對(duì)于許多企業(yè)來說都不是最佳的實(shí)踐方法。如果防火墻管理員因?yàn)橥话l(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改，那么他撞到槍口上的可能性就會(huì)比較大。但是如果這種更改抵消了之前的協(xié)議更改，會(huì)導(dǎo)致宕機(jī)嗎?這是一個(gè)相當(dāng)高發(fā)的狀況。

　　防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ)，因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí)，觀察誰進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障，讓整個(gè)協(xié)議管理更加簡單和高效。

　　二、以最小的權(quán)限安裝所有的訪問規(guī)則。

　　另一個(gè)常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的：即源(IP地址)，目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶都有足夠的端口來訪問他們所需的系統(tǒng)，常用方法是在一個(gè)或者更多域內(nèi)指定打來那個(gè)的目標(biāo)對(duì)象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò)，這些規(guī)則就會(huì)變得權(quán)限過度釋放，因此就會(huì)增加不安全因素。服務(wù)域的規(guī)則是開放65535個(gè)TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個(gè)攻擊矢量?

　　三、根據(jù)法規(guī)協(xié)議和更改需求來校驗(yàn)每項(xiàng)防火墻的更改。

　　在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題，應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中，我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。

　　四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

　　規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問題，因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則，卻從來不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對(duì)于達(dá)成規(guī)則共識(shí)是個(gè)好的開始。運(yùn)行無用規(guī)則的報(bào)表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團(tuán)隊(duì)。

如何與多個(gè)防火墻政策配置怎么解決相關(guān)文章：

1.juniper防火墻如何配置多個(gè)ip

2.mac OS X:開啟和配置防火墻

3.怎樣查看防火墻配置

4.華為USG多出口策略路由怎么配置

5.Win7下怎么設(shè)置域配置文件下的防火墻