如何与多个防火墙政策配置怎么解决
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。在本文中,我们将介绍Windows7中的Windows Firewall,以及如何与多个防火墙政策配置的问题,感兴趣的朋友不要错过
Windows防火墙的发展史
Windows XP中的防火墙软件仅提供简单和基本的功能,且只能保护入站流量,阻止任何非本机启动的入站连接,默认情况下,该防火墙是关闭的。SP2系统默认情况下则为开启,使系统管理员可以通过组策略来启用防火墙软件。Vista的防火墙是建立在新的Windows过滤平台(WFP)上的,该防火墙添加了通过高级安全MMC管理单元过滤出站流量的功能。在Windows 7中,微软公司已经进一步调整了防火墙的功能,让防火墙更加便于用户使用,特别是移动计算机中,并且能够支持多种防火墙政策。
Windows 7防火墙
在Vista中,Windows 7防火墙的基本设置是通过控制面板程序设置的,与Vista不同的是,你也可以通过控制面板访问高级设置(包括配置出站连接过滤),而不需要创建空的MMC并添加一个管理单元。只需要点击左侧面板中的高级设置连接即可
更多网络选项
Vista防火墙允许用户选择公共网络或者私人网络,而在Windows 7中,你有三个选择:公共网络、家庭网络或者工作网络,后两者都被视为私人网络。
如果你选择“家庭网络”选项,你可以建立一个Homegroup。在这种情况下,网络发现(network discovery)是自动开启的,这样你就能够看到网络中的其他计算机和设备,他们也能够看到你的计算机。属于Homegroup的计算机可以共享图片、音乐、视频和文档库,也可以共享硬件设备,如打印机等。如果你的文件夹中有不想共享的文件,也可以排除它们。
如果你选择“工作网络”,网络发现默认情况下是开启的,但是你将无法创建或者加入Homegroup,如果你将计算机加入到Windows域(通过Control Panel | System | Advanced System Settings | Computer Name tab)并通过域控制器的验证,防火墙将会自动将网络视为域网络。
当你在机场、酒店或者咖啡馆等位置连接到公共无线网络或者使用移动宽带网络时,应该选择“公共网络”,网络发现将会默认为关闭,这样网络中的其他计算机就不能看到你的计算机,你也不能川剧或者归属于Homegroup。
对于所有网络类型,默认情况下,windows 7防火墙都会阻止对不在可允许程序名单上的程序的连接,Windows7允许你为每种网络类型分别配置设置
多个有效模式
在Vista中,即使你已经为公共网络和私人网络配置了情景模式,在特定时间内只有一种是有效的。如果你的计算机同时连接到两个不同的网络,那事情就不妙了,这时将会采用最严格的模式来使用所有连接,这意味着在本地网络你可能无法进行所有需要的操作,因为此时使用的是公共网络模式的规则。在Windows7(和Server 2008 R2中),可以同时为每个网络适配器使用不同的模式,对私人网络的连接使用私人网络规则,而来自公共网络的流量则使用公共网络规则。
重要的小功能
在很多情况下,细小的变化可能带来更高的可用性,微软公司一直积极听取来自用户的意见,他们在Windows 7防火墙中加入了一些重要的小功能。例如,在Vista中,当你创建防火墙规则时,你需要分别列出端口号和IP地址,而现在你只需要指定范围,这样就为这项常见的管理任务节省了很多时间。
你也可以创建连接安全规则来指定哪些端口或者协议受到防火墙控制台中Ipsec要求的支配,而不需要使用netsh命令。对于那些更愿意使用GUI的人而言,这是个很方便的改进。
连接安全规则还支持动态加密,这意味着,如果服务器获取一条来自客户端计算机的未加密(但通过验证)的信息,可以通过要求加密来获得更安全的通信。
使用高级设置配置文件
使用高级设置控制台,你可以为每种网络类型的配置文件进行设置
对于每个配置文件,你可以进行以下配置:
·Windows防火墙的开关状态
·入站连接(阻止、阻止所有连接,或者允许)
·出站连接(允许或者阻止)
·显示通知(当程序被阻止时是否进行通知显示)
·对于组播或者广播流量是否允许单播响应
·除使用组策略防火墙规则外,还使用由本地管理员创建的本地防火墙规则
·除使用组策略连接安全规则外,还使用由本地管理员创建的本地连接安全规则
日志
Vista防火墙可以配置为记录事件日志到一个文件中(默认情况下为Windows\System32\LogFiles\Firewall\pfirewall.log)。在windows 7中,事件日志也可以记录在Event Viewer的Applications 和Services部分,这样更加容易访问。要查看此日志,可以打开Event Viewer,在左窗格中,点击Applications and Services Log | Microsoft | Windows | Windows Firewall中的高级安全选项,如图4所示。
在事件查看日志中,你可以创建一个自定义视图,过滤日志,搜索日志或者启用详细日志记录。
Netsh 命令
Windows 7包含向后兼容的netsh防火墙,但是如果你运行改命令,你会收到消息显示,“重要,‘netsh防火墙’已经过时,请使用netsh advfirewall防火墙”,如果想了解更多关于该新命令的信息。
补充阅读:防火墙主要使用技巧
一、所有的防火墙文件规则必须更改。
尽管这种方法听起来很容易,但是由于防火墙没有内置的变动管理流程,因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改,那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改,会导致宕机吗?这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础,因此团队的所有成员都必须达成共识,观察谁进行了何种更改。这样就能及时发现并修理故障,让整个协议管理更加简单和高效。
二、以最小的权限安装所有的访问规则。
另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的:即源(IP地址),目的地(网络/子网络)和服务(应用软件或者其他目的地)。为了确保每个用户都有足够的端口来访问他们所需的系统,常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络,这些规则就会变得权限过度释放,因此就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量?
三、根据法规协议和更改需求来校验每项防火墙的更改。
在防火墙操作中,日常工作都是以寻找问题,修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题,应用新产品和业务部门的过程中,我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神,而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则。
规则膨胀是防火墙经常会出现的安全问题,因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则,却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。
如何与多个防火墙政策配置怎么解决相关文章: