Windows XP防火牆深層探索

odinhuang

人们现在已习惯在Internet上花费大量时间。随着ADSL和宽带网路的普及，人们在Internet上的时间越来越长，个人电脑的安全问题将会变得越来越突出。有统计表明黑客们在每天24小时扫瞄拨号连线的使用者，当然他们的目的并不是我们这些普通上网使用者，而是那些使用VPN在家办公的使用者。突破这些使用者的个人电脑总比突破层层设防的公司网路要容易得多。若果你是使用DSL或其他宽带网路的使用者，那么你的危险将更大了，因为在使用DSL后，你的IP位址将很长时间不变，这无疑给那些黑客带来了很大的便利。我们当然可以选用一些现有的个人防火墙产品，比如说Norton的个人防火墙产品，Zone Labs的ZoneAlarm，以及国内厂商开发的天网防火墙等等。这些个人防火墙产品依据的防黑客原理通常不一样，例如Norton的Personal Firewall(个人防火墙)是基于套用程式的（Application Level）。基于套用程式的防火墙在使用上相当麻烦，因为你必须要为每一个访问Internet的程式设定策略。而随着策略的增多，防火墙的效率也逐步下降，况且过多的策略也会相互矛盾、影响，给系统安全带来漏洞。更糟糕的是，这些个人防火墙产品都非常占用系统资源。 3 l0 |/ z+ h! `- }7 w; T! l ! @! ^. \  G) m. g1 ~' uWindows XP号称是随着Windows发布以来最伟大的升级，Windows XP给我们带来了很多新的特性，互联网连线防火墙（Internet Connection Firewall，以下简称ICF）就是其中的一个新的特性。下面我们就来谈谈这个ICF，看看它到底能为我们做什么（注：我们在谈ICF的时候都是以Norton的Personal Firewall来做参考和对比的，原因有二：其一，Norton的产品无论在国外还是在国内都是第一流的产品；其二，Norton的这款产品也可以代表这一类产品的技术特点）。 ' I7 e& ]3 v" F( x0 c% r ICF的工作原理 ICF就像一个在你的个人电脑和外部Internet世界建立的虚拟盾牌，它可以让你请求的资料通过、而阻碍你没有请求的封包，是一个基于包的防火墙。黑客们的攻击基本上都是由Ping一个IP位址开始的。当Ping通之后通常都是使用一些软体来进行连接埠扫瞄。攻击一台个人电脑和攻击一台主电脑还是有一点不同的。攻击主电脑时目的通常是早已锁定的，即便Ping不通也不会认为目的主电脑已经关机了；但是攻击个人电脑就不同了，通常黑客们是通过扫瞄一段IP位址开始来锁定目的，或是是个人电脑的使用者在使用ICQ之类的软体时暴露了自己的IP位址。对于第一种的情况，Ping不通的IP位址通常被认为没有使用而忽略过去。所以，ICF的第一个功能就是不响应Ping指令，而且，ICF还禁止外部程式对本机进行连接埠扫瞄，抛弃所有没有请求的IP包。个人电脑同伺服器不一样，一般不会提供例如Ftp、Telnet等服务，这样可以被黑客们利用的系统漏洞就很少。所以，ICF可以在一定的程度上很好地保护我们的个人电脑。 ( p2 T$ d0 F8 h ICF是通过储存一个表格，记录所有自本机发出的目的IP位址、连接埠、服务以及其他一些资料来达到保护本机的目的。 当一个IP封包进入本机时，ICF会检查这个表格，看到达的这个IP封包是不是本机所请求的，若果是就让它通过，若果在那个表格中没有找到相应的记录就抛弃这个IP封包。下面的例子可以很好地说明这个原理。当使用者使用Outlook Express来收发电子信件的时侯，近端个人机发出一个IP请求到POP3信件伺服器。ICF会记录这个目的IP位址、连接埠。当一个IP封包到达本机的时候，ICF首先会进行审核，通过寻找事先记录的资料可以确定这个IP封包是来自我们请求的目的位址和连接埠，于是这个封包获得通过。当使用Outlook用户端信件程式和Exchange信件伺服器时情况有所不同。一旦有新的信件达到Exchange信件伺服器时，Exchange就会自动发一个IP封包到Outlook客户机来知会有新的信件到达。这种知会是通过RPC Call来实现的。当Exchange的IP封包到达客户机时，客户机的ICF程式就会对这个IP包进行审核发现本机并没有对这个位址和连接埠发出IP请求，所以这个IP包就会被抛弃，客户机当然就不会收到发自Exchange信件伺服器的新信件知会。手动让Outlook去接收Exchange信件伺服器上的新信件当然是可以的。 ICF的局限性 那么，ICF不能做什么？ICF可不可以完全替代现有的个人防火墙产品？ICF是通过记录本机的IP请求来确定外来的IP封包是不是“合法”，这当然不可以用在伺服器上。为什么呢？伺服器上的IP封包基本上都不是由伺服器先发出，所以ICF这种方法根本就不可以对伺服器的安全提供保护。当然你也可以通过相应的设定让ICF忽略所有发向某一连接埠的封包，例如80连接埠。那么发向80连接埠的所有封包都不会被ICF抛弃。从这种意义上讲80连接埠就成为不设防的连接埠。这样的防火墙产品是不可能用在套用伺服器上的，伺服器上的防火墙产品都是基于建立各种策略来审核外来的IP封包。ICF和基于套用程式的个人防火墙产品也是不一样的。基于套用程式的个人防火墙会记录每一个访问Internet的程式，例如，通过设定可以让IE有权来访问Internet而Netscape的Navigator没有权限来访问Internet，即便两个程式的目的IP位址和连接埠都是一样的。Norton的个人防火墙（Personal Firewall）就是这样一个典型的产品。简而言之，ICF没法提供基于套用程式的保护，也没法建立基于IP包的包审核策略。所以，ICF既不能完全替代现有的个人防火墙产品，也没有办法很好地工作在套用伺服器上。 + T1 t' {, k7 c: X" W2 u 3 J, i5 V4 S( B# p" g  W! Y如何选取 8 r& ?" k2 |# E. I$ l! x' v  T  W那我们应该如何选取？笔者认为，Norton的Personal Firewall可以提供全方面的保护，即便这种保护是建立在繁琐的设定基础上的。在它能成功地为你提供一次有效的防护之前，会给你带来足够的烦恼。ICF并不能提供完全无懈可击的防护，但是ICF对个人电脑提供防护是足够的。在使用Shield Up对装有ICF的个人电脑进行连接埠扫瞄后，Shield Up 给出了“最安全模式”（Full Stealth Mode）的评价，这也是Shield Up对安全评价的最高等级。况且，ICF是Windows XP内建的功能，占用的资源相当少且不用花额外的钱去购买。其实从ICF受益最多的应该是那些仍然在使用Modem上网的朋友，实际上这部分使用者占了50%以上，而在国内绝大部分的使用者都是用Modem上网的。用Modem上网有其自身的特点，首先，你上网的时间不会太长，一般在几小时上下（包月的除外）。其次，每次建立连线后拨号伺服器都会分配一个新的IP位址给你，长时间占用一个相同的IP的可能性应该很低。比起使用DSL和宽带的使用者来讲，用Modem上网本身就安全了很多。所以，使用一个重量级的防火墙实在是没有太多的意义。而ICF则刚刚好，它既提供了一定的保护，而且又不太占用资源，真的是“刚刚好”！ 怎样使用ICF * [- ?( P6 [( a0 U3 l我们谈了这么多，那ICF到底该怎样使用？当你建立一个新的连线的时候，精灵程式就会问你是否要启用ICF。在每一个连线的属性→进阶选项中也可以让你选取启用或是取消ICF功能。在你启用ICF之后，在进阶选项的下部就会出现“设定”按钮，点选设定就可以对ICF进行进一步的设定。ICF的设定主要有三部分：第一部分是服务项。通过设定这一部分可以让ICF对某些服务不进行审核。TCP/IP的服务都是由连接埠来区分的，你可以分别对TCP、UDP或是IP Protocol进行设定，在这一项中已经有了一些可选的预设设定。当然你可以建立自己的设定。第二部分是关于日志的。ICF可以把它所抛弃的IP封包以及获准通过的IP封包都记录在案以便可以让你进行进一步的分析。第三部分就是关于ICMP的，ICMP通常用于Ping、Tracert程式以及路由的动态实现，我的建议是禁止所有的ICMP响应除非你有特别的需要。 定期分析日志可以发现潜在的安全问题，ICF的日志分为两部分：一部分是ICF审核通过的IP封包，而另一部分就是ICF抛弃的IP封包。日志一般存于Windows目录之下，档案名是pfirewall.log。其档案格式符合W3C延伸记录档格式（W3C Extended Log File Format），分为两部分，分别是档案头（Head Information）和档案主体（Body Information）。档案头主要是关于pfirewall.log这个档案的说明，需要注意的主要是档案主体部分。档案主体部分记录有每一个成功通过ICF审核或是被ICF所抛弃的IP封包的讯息，内含源位址、目的位址、连接埠、时间、协定以及其他一些讯息。理解这些讯息需要较多的TCP/IP协定的知识。   V; v0 }' C0 b; b0 j+ a 在实际的使用中应尽量避免在局域网中使用ICF，它可能会给一些网路套用带来影响。在个人电脑中使用也可能会对一些程式的执行带来影响。例如，OICQ的“语音世界”功能就是建立在双方交互的基础上的，而ICF会影响这些交互过程从而使得连线无法建立。解决这样的问题也很简单，一种当然是取消ICF，但这不是推荐的方法。另一种方法就是找到到底OICQ使用哪个连接埠来实现语音功能，在前面介绍的属性→进阶→设定→服务中来加入一项自订设定从而使ICF忽略这个连接埠的检验。这样，OICQ的语音功能就可以标准使用了。 5 v9 V6 M9 r$ M7 D 总之，ICF是Windows XP提供的一项新的功能，它并不是用来取代现有的个人防火墙产品，但是ICF能够为个人电脑提供相当的保护。我们为获得在网路上的安全所需要做的就是在建立连线的时候选取使用ICF，在需要的时候作出必要的设定，并且定期检视日志。当然，最先要做的就是购买Windows XP的家用或是专业版，并把它们安装起来。