如何與多個防火墻政策配置怎么解決
防火墻借由監測所有的封包并找出不符規則的內容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。在本文中,我們將介紹Windows7中的Windows Firewall,以及如何與多個防火墻政策配置的問題,感興趣的朋友不要錯過
Windows防火墻的發展史
Windows XP中的防火墻軟件僅提供簡單和基本的功能,且只能保護入站流量,阻止任何非本機啟動的入站連接,默認情況下,該防火墻是關閉的。SP2系統默認情況下則為開啟,使系統管理員可以通過組策略來啟用防火墻軟件。Vista的防火墻是建立在新的Windows過濾平臺(WFP)上的,該防火墻添加了通過高級安全MMC管理單元過濾出站流量的功能。在Windows 7中,微軟公司已經進一步調整了防火墻的功能,讓防火墻更加便于用戶使用,特別是移動計算機中,并且能夠支持多種防火墻政策。
Windows 7防火墻
在Vista中,Windows 7防火墻的基本設置是通過控制面板程序設置的,與Vista不同的是,你也可以通過控制面板訪問高級設置(包括配置出站連接過濾),而不需要創建空的MMC并添加一個管理單元。只需要點擊左側面板中的高級設置連接即可
更多網絡選項
Vista防火墻允許用戶選擇公共網絡或者私人網絡,而在Windows 7中,你有三個選擇:公共網絡、家庭網絡或者工作網絡,后兩者都被視為私人網絡。
如果你選擇“家庭網絡”選項,你可以建立一個Homegroup。在這種情況下,網絡發現(network discovery)是自動開啟的,這樣你就能夠看到網絡中的其他計算機和設備,他們也能夠看到你的計算機。屬于Homegroup的計算機可以共享圖片、音樂、視頻和文檔庫,也可以共享硬件設備,如打印機等。如果你的文件夾中有不想共享的文件,也可以排除它們。
如果你選擇“工作網絡”,網絡發現默認情況下是開啟的,但是你將無法創建或者加入Homegroup,如果你將計算機加入到Windows域(通過Control Panel | System | Advanced System Settings | Computer Name tab)并通過域控制器的驗證,防火墻將會自動將網絡視為域網絡。
當你在機場、酒店或者咖啡館等位置連接到公共無線網絡或者使用移動寬帶網絡時,應該選擇“公共網絡”,網絡發現將會默認為關閉,這樣網絡中的其他計算機就不能看到你的計算機,你也不能川劇或者歸屬于Homegroup。
對于所有網絡類型,默認情況下,windows 7防火墻都會阻止對不在可允許程序名單上的程序的連接,Windows7允許你為每種網絡類型分別配置設置
多個有效模式
在Vista中,即使你已經為公共網絡和私人網絡配置了情景模式,在特定時間內只有一種是有效的。如果你的計算機同時連接到兩個不同的網絡,那事情就不妙了,這時將會采用最嚴格的模式來使用所有連接,這意味著在本地網絡你可能無法進行所有需要的操作,因為此時使用的是公共網絡模式的規則。在Windows7(和Server 2008 R2中),可以同時為每個網絡適配器使用不同的模式,對私人網絡的連接使用私人網絡規則,而來自公共網絡的流量則使用公共網絡規則。
重要的小功能
在很多情況下,細小的變化可能帶來更高的可用性,微軟公司一直積極聽取來自用戶的意見,他們在Windows 7防火墻中加入了一些重要的小功能。例如,在Vista中,當你創建防火墻規則時,你需要分別列出端口號和IP地址,而現在你只需要指定范圍,這樣就為這項常見的管理任務節省了很多時間。
你也可以創建連接安全規則來指定哪些端口或者協議受到防火墻控制臺中Ipsec要求的支配,而不需要使用netsh命令。對于那些更愿意使用GUI的人而言,這是個很方便的改進。
連接安全規則還支持動態加密,這意味著,如果服務器獲取一條來自客戶端計算機的未加密(但通過驗證)的信息,可以通過要求加密來獲得更安全的通信。
使用高級設置配置文件
使用高級設置控制臺,你可以為每種網絡類型的配置文件進行設置
對于每個配置文件,你可以進行以下配置:
·Windows防火墻的開關狀態
·入站連接(阻止、阻止所有連接,或者允許)
·出站連接(允許或者阻止)
·顯示通知(當程序被阻止時是否進行通知顯示)
·對于組播或者廣播流量是否允許單播響應
·除使用組策略防火墻規則外,還使用由本地管理員創建的本地防火墻規則
·除使用組策略連接安全規則外,還使用由本地管理員創建的本地連接安全規則
日志
Vista防火墻可以配置為記錄事件日志到一個文件中(默認情況下為Windows\System32\LogFiles\Firewall\pfirewall.log)。在windows 7中,事件日志也可以記錄在Event Viewer的Applications 和Services部分,這樣更加容易訪問。要查看此日志,可以打開Event Viewer,在左窗格中,點擊Applications and Services Log | Microsoft | Windows | Windows Firewall中的高級安全選項,如圖4所示。
在事件查看日志中,你可以創建一個自定義視圖,過濾日志,搜索日志或者啟用詳細日志記錄。
Netsh 命令
Windows 7包含向后兼容的netsh防火墻,但是如果你運行改命令,你會收到消息顯示,“重要,‘netsh防火墻’已經過時,請使用netsh advfirewall防火墻”,如果想了解更多關于該新命令的信息。
補充閱讀:防火墻主要使用技巧
一、所有的防火墻文件規則必須更改。
盡管這種方法聽起來很容易,但是由于防火墻沒有內置的變動管理流程,因此文件更改對于許多企業來說都不是最佳的實踐方法。如果防火墻管理員因為突發情況或者一些其他形式的業務中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改,會導致宕機嗎?這是一個相當高發的狀況。
防火墻管理產品的中央控制臺能全面可視所有的防火墻規則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發現并修理故障,讓整個協議管理更加簡單和高效。
二、以最小的權限安裝所有的訪問規則。
另一個常見的安全問題是權限過度的規則設置。防火墻規則是由三個域構成的:即源(IP地址),目的地(網絡/子網絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統,常用方法是在一個或者更多域內指定打來那個的目標對象。當你出于業務持續性的需要允許大范圍的IP地址來訪問大型企業的網絡,這些規則就會變得權限過度釋放,因此就會增加不安全因素。服務域的規則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?
三、根據法規協議和更改需求來校驗每項防火墻的更改。
在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統為中心的。在安裝最新防火墻規則來解決問題,應用新產品和業務部門的過程中,我們經常會遺忘防火墻也是企業安全協議的物理執行者。每項規則都應該重新審核來確保它能符合安全協議和任何法規協議的內容和精神,而不僅是一篇法律條文。
四、當服務過期后從防火墻規則中刪除無用的規則。
規則膨脹是防火墻經常會出現的安全問題,因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們了解這些新規則,卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網絡以及應用軟件更新周期對于達成規則共識是個好的開始。運行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火墻團隊。
如何與多個防火墻政策配置怎么解決相關文章: