摘要:微软作为操作系统的行业领军人也在逐步发展其自身的防火墙技术,同系统集成的防火墙已经从XP时代的遮遮掩掩到Vista阶段的逐步成熟而走向前台。同系统功能上的无缝结合和独有的安全策略手段也为防火墙技术的发展建立了全新的发展模式。
关键字:TCP/IP;端口;VPN

0 引言
    过去的计算时代,没有人会考虑在单独的计算机上安装防火墙。那时候 Internet,TCP/IP 并不存在,LAN 协议应用范围极小。重要的数据都保存在大型机或文件服务器,人们保留在他们台式计算机上的信息很少会是关键性的,计算机自身的重量也一定程度上确保了相当的物理安全性。如果存在到 Internet 的连接,那么中间很可能有一些协议转换器,在网络边缘还可能有数据包筛选路由器,而且很可能配置了太多的规则和异常处理。现代的计算环境和这样的过去年代差别很大。每个设备都连接到 Internet,并且便携式设备是当前的标准,可以随时随地通过Wi-Fi连接工作。
    安全控制不断发展以应对威胁,但有时候远远落在后面。病毒曾经是客户端的问题,原因是人们相互交换软盘,所以防病毒程序首先出现在客户端。此后,随着电子邮件得到广泛使用以及恶意软件逐渐演变为依靠电子邮件传播的蠕虫,反恶意软件的程序开始发展并出现在电子邮件网关上。随着Web的兴起,恶意软件逐渐演变为木马,反恶意软件工具随之出现在 Internet 访问代理服务器上。这是一个广为了解的发展过程,没有人对此有异议。现在让我们把同样的逻辑用到防火墙,。虽然网络边缘的防火墙足以抵御原先的威胁,但现在的威胁已不同以往,它们更加复杂,更加普遍。更不用说现在的设备和工作方式都与过去大相径庭。许多计算机在本地保存敏感的信息,而且在大量的时间里它们都处在公司网络之外,防火墙必须演化成单个客户端的保护机制 。
1、 系统客户端防火墙安全配置
    许多人没有意识到最初发布Windows® XP包括客户端防火墙。默认情况下该防火墙是关闭的,如果开启了该防火墙,它可能使用户免受Nimda、Slammer、Blaster、Sasser 以及网络端口上未经请求的通信之害。Windows XP Service Pack 2 (SP2)在默认情况下启动了防火墙,创建了Internet 和公司网两个配置文件,并允许启用组策略 。但是,采用 Windows XP SP2 防火墙有应用程序的顾虑和安全性表演两个障碍。许多人担心防火墙会使他们的应用程序无法正常工作。但这种情况很少出现,因为防火墙允许所有出站通信离开您的计算机,但是阻止所有不属于对先前出站请求进行应答的入站通信。此设计唯一给客户端应用程序造成麻烦是应用程序创建了一个侦听的套接字并期待接收入站请求。Windows XP 防火墙允许为程序或端口进行简单的异常情况配置。更大的阻碍是其他客户端防火墙生产商所做的安全性表演。有些人相信 Windows XP 防火墙的设计(即允许所有的出站通信不受阻碍地离开)对于客户端防火墙来说功能上是不够的。这种观点认为,一个能够胜任的客户端防火墙应该阻止所有未经用户专门许可的通信,不论是入站还是出站。
    Windows 筛选平台作为新网络堆栈的一部分,是 Windows Vista 防火墙的根基。与 Windows XP 类似,Windows Vista 在默认情况下阻止入站通信。根据计算机运行的配置文件的不同,有可能存在网络服务的默认异常情况。如果愿意,用户可以编写允许入站连接的规则。仍然与 Windows XP 类似,Windows Vista 在默认情况下允许来自所有交互式进程的出站通信,但对参与服务限制的服务采取出站通信限制。同样可以编写阻止额外出站连接的规则。Windows XP 和 Windows Vista 之间的最大区别是新的高级安全界面和对配置及规则的完全组策略支持。用户界面,即高级安全 MMC 管理单元提供了所有全新的功能和灵活性。netsh 命令有了新的环境,通过它可以编写添加和删除规则的脚本,设置和显示全局及逐个配置文件策略,以及显示防火墙的活动状态。
   高级安全 MMC 是向导驱动的。创建规则时,用户可以选择四种类型之一:程序、端口、预定义或者自定义。在编写规则时可以引用许多元素,它们都适用于本地规则和通过组策略应用的规则。其中包括:Active Directory 用户和计算机帐户及组、源和目标 IP 地址、源和目标 TCP 及 UDP 端口、IP 协议号、程序和服务、接口类型(有线、无线和远程访问)以及 ICMP 类型和代码。
    配置之后,防火墙将按如下顺序处理规则:
    服务限制 Windows Vista 中的某些服务对自身进行限制,以降低受到另一个 Blaster 类型攻击的可能性。其中一项限制是服务需要的端口列表。防火墙将强制实施此限制,防止服务使用(或者被引导使用)任何其他端口。
    连接安全性规则 高级安全 MMC 包括了 IPsec 以及防火墙。所有包括 IPsec 策略的规则都将随后得到处理。
    身份验证绕行:允许通过指定身份验证的计算机绕过其他规则。
    阻止规则:明确阻止指定的传入或传出通信。
    允许规则:明确允许指定的传入或传出通信。
2、网络配置
    Windows Vista 定义了三种网络配置文件:域、专用和公共。如果计算机已加入域并已成功登入域,计算机将自动应用域配置文件 — 没有机会自己作选择。如果计算机连接到一个没有域的内部网络,管理员应当应用专用配置文件,如果计算机直接连接到 Internet,应当应用公共配置文件 。
    一旦出现网络变动时,一个名为网络位置感知 (NLA) 的服务将会检测到该变动 。例如,网络变动时收到了新的 IP 地址或发现了新的默认网关,或者得到了新的接口,则它构建一个网络配置文件,其中包括有关现有接口的信息、计算机是否已通过某域控制器的身份验证,网关的 MAC 地址等,并给它分配一个 GUID 。NLA 随后通知防火墙,然后防火墙应用相应的策略,上述的三个配置文件都各自定义了策略。如果这是计算机以前从未见过的新接口,而且 NLA 也没有选择域配置文件,那么将看到一个对话框,要求您指出将要连接到什么类型的网络。这里有三种选择:“Home”、“Work”和“Public”。但是用户永远不会看到域配置文件,因为在计算机登录到某个域时,NLA 会自动选择它。事实上,“Home”和“Work”都对应于专用配置文件。功能上它们是等同的,只有图标不同。在 Windows Vista 中,网络配置文件应用于计算机中的所有接口。NLA 决策树的概况需要根据有无任何接口连接到分类为公共的网络来判断,如果有,将计算机的配置文件设置为公共,然后退出。有无任何接口连接到分类为专用的网络?如果有,将计算机的配置文件设置为专用,然后退出。是否所有接口都看到了域控制器,计算机是否已成功登录?如果是,将计算机的配置文件设置为域,然后退出。否则,将计算机的配置文件设置为公共。
    目标是尽可能选择最具限制性的配置文件,如果计算机的以太网端口已连接到公司网,而无线 NIC 连接到私有网络,计算机将选用公共配置文件而非域配置文件。如果计算机直接连接到 Internet,或连接到家庭 LAN,通过 VPN 连接到公司网,那么的计算机将继续应用公共或专用配置文件 。防火墙的域配置文件策略虽然包括有关远程协助、远程管理、文件和打印机共享等内容,而客户端又选择了其他配置文件,那么将无法与客户端连接。用户可以编写防火墙规则,允许需要的任何入站连接,然后将规则仅应用于VPN 连接,即使客户端没有应用域配置文件,仍然可以通过VPN来管理。
3、出站连接控制
虽然客户端防火墙中出站保护的典型形式仅仅是安全性表演。然而,有一种形式的出站控制却十分有用。以管理员身份对不希望许可的通信类型进行控制,Windows Vista 防火墙已经采取了这种对于服务限制的措施 。防火墙只允许服务与其声称需要的端口进行通信,而阻止服务试图进行的任何其他活动。在此基础上,为了符合组织的安全策略,可以编写其他规则来允许或阻止特定通信外围防护已经消失。每个计算机必须承担起自我保护的责任。正如同反恶意软件已从客户端移向边缘,防火墙必须从边缘移向客户端。现在和将来,同微软操作系统集成的防火墙可供所有的客户端使用,而防火墙自身的功能日渐强大和同系统无缝结合的天然优势注定会使用户的使用安全性更上一城楼。

文章如转载,请注明转载自:http://www.5iadmin.com/post/573.html