如何與多個防火牆政策配置怎麼解決
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。在本文中,我們將介紹Windows7中的Windows Firewall,以及如何與多個防火牆政策配置的問題,感興趣的朋友不要錯過
Windows防火牆的發展史
Windows XP中的防火牆軟體僅提供簡單和基本的功能,且只能保護入站流量,阻止任何非本機啟動的入站連線,預設情況下,該防火牆是關閉的。SP2系統預設情況下則為開啟,使系統管理員可以通過組策略來啟用防火牆軟體。Vista的防火牆是建立在新的Windows過濾平臺***WFP***上的,該防火牆添加了通過高階安全MMC管理單元過濾出站流量的功能。在Windows 7中,微軟公司已經進一步調整了防火牆的功能,讓防火牆更加便於使用者使用,特別是移動計算機中,並且能夠支援多種防火牆政策。
Windows 7防火牆
在Vista中,Windows 7防火牆的基本設定是通過控制面板程式設定的,與Vista不同的是,你也可以通過控制面板訪問高階設定***包括配置出站連線過濾***,而不需要建立空的MMC並新增一個管理單元。只需要點選左側面板中的高階設定連線即可
更多網路選項
Vista防火牆允許使用者選擇公共網路或者私人網路,而在Windows 7中,你有三個選擇:公共網路、家庭網路或者工作網路,後兩者都被視為私人網路。
如果你選擇“家庭網路”選項,你可以建立一個Homegroup。在這種情況下,網路發現***network discovery***是自動開啟的,這樣你就能夠看到網路中的其他計算機和裝置,他們也能夠看到你的計算機。屬於Homegroup的計算機可以共享圖片、音樂、視訊和文件庫,也可以共享硬體裝置,如印表機等。如果你的資料夾中有不想共享的檔案,也可以排除它們。
如果你選擇“工作網路”,網路發現預設情況下是開啟的,但是你將無法建立或者加入Homegroup,如果你將計算機加入到Windows域***通過Control Panel | System | Advanced System Settings | Computer Name tab***並通過域控制器的驗證,防火牆將會自動將網路視為域網路。
當你在機場、酒店或者咖啡館等位置連線到公共無線網路或者使用移動寬頻網路時,應該選擇“公共網路”,網路發現將會預設為關閉,這樣網路中的其他計算機就不能看到你的計算機,你也不能川劇或者歸屬於Homegroup。
對於所有網路型別,預設情況下,windows 7防火牆都會阻止對不在可允許程式名單上的程式的連線,Windows7允許你為每種網路型別分別配置設定
多個有效模式
在Vista中,即使你已經為公共網路和私人網路配置了情景模式,在特定時間內只有一種是有效的。如果你的計算機同時連線到兩個不同的網路,那事情就不妙了,這時將會採用最嚴格的模式來使用所有連線,這意味著在本地網路你可能無法進行所有需要的操作,因為此時使用的是公共網路模式的規則。在Windows7***和Server 2008 R2中***,可以同時為每個網路介面卡使用不同的模式,對私人網路的連線使用私人網路規則,而來自公共網路的流量則使用公共網路規則。
重要的小功能
在很多情況下,細小的變化可能帶來更高的可用性,微軟公司一直積極聽取來自使用者的意見,他們在Windows 7防火牆中加入了一些重要的小功能。例如,在Vista中,當你建立防火牆規則時,你需要分別列出埠號和IP地址,而現在你只需要指定範圍,這樣就為這項常見的管理任務節省了很多時間。
你也可以建立連線安全規則來指定哪些埠或者協議受到防火牆控制檯中Ipsec要求的支配,而不需要使用netsh命令。對於那些更願意使用GUI的人而言,這是個很方便的改進。
連線安全規則還支援動態加密,這意味著,如果伺服器獲取一條來自客戶端計算機的未加密***但通過驗證***的資訊,可以通過要求加密來獲得更安全的通訊。
使用高階設定配置檔案
使用高階設定控制檯,你可以為每種網路型別的配置檔案進行設定
對於每個配置檔案,你可以進行以下配置:
·Windows防火牆的開關狀態
·入站連線***阻止、阻止所有連線,或者允許***
·出站連線***允許或者阻止***
·顯示通知***當程式被阻止時是否進行通知顯示***
·對於組播或者廣播流量是否允許單播響應
·除使用組策略防火牆規則外,還使用由本地管理員建立的本地防火牆規則
·除使用組策略連線安全規則外,還使用由本地管理員建立的本地連線安全規則
日誌
Vista防火牆可以配置為記錄事件日誌到一個檔案中***預設情況下為Windows\System32\LogFiles\Firewall\pfirewall.log***。在windows 7中,事件日誌也可以記錄在Event Viewer的Applications 和Services部分,這樣更加容易訪問。要檢視此日誌,可以開啟Event Viewer,在左窗格中,點選Applications and Services Log | Microsoft | Windows | Windows Firewall中的高階安全選項,如圖4所示。
在事件檢視日誌中,你可以建立一個自定義檢視,過濾日誌,搜尋日誌或者啟用詳細日誌記錄。
Netsh 命令
Windows 7包含向後相容的netsh防火牆,但是如果你執行改命令,你會收到訊息顯示,“重要,‘netsh防火牆’已經過時,請使用netsh advfirewall防火牆”,如果想了解更多關於該新命令的資訊。
補充閱讀:防火牆主要使用技巧
一、所有的防火牆檔案規則必須更改。
儘管這種方法聽起來很容易,但是由於防火牆沒有內建的變動管理流程,因此檔案更改對於許多企業來說都不是最佳的實踐方法。如果防火牆管理員因為突發情況或者一些其他形式的業務中斷做出更改,那麼他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改,會導致宕機嗎?這是一個相當高發的狀況。
防火牆管理產品的中央控制檯能全面可視所有的防火牆規則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發現並修理故障,讓整個協議管理更加簡單和高效。
二、以最小的許可權安裝所有的訪問規則。
另一個常見的安全問題是許可權過度的規則設定。防火牆規則是由三個域構成的:即源***IP地址***,目的地***網路/子網路***和服務***應用軟體或者其他目的地***。為了確保每個使用者都有足夠的埠來訪問他們所需的系統,常用方法是在一個或者更多域內指定打來那個的目標物件。當你出於業務持續性的需要允許大範圍的IP地址來訪問大型企業的網路,這些規則就會變得許可權過度釋放,因此就會增加不安全因素。服務域的規則是開放65535個TCP埠的ANY。防火牆管理員真的就意味著為黑客開放了65535個攻擊向量?
三、根據法規協議和更改需求來校驗每項防火牆的更改。
在防火牆操作中,日常工作都是以尋找問題,修正問題和安裝新系統為中心的。在安裝最新防火牆規則來解決問題,應用新產品和業務部門的過程中,我們經常會遺忘防火牆也是企業安全協議的物理執行者。每項規則都應該重新稽核來確保它能符合安全協議和任何法規協議的內容和精神,而不僅是一篇法律條文。
四、當服務過期後從防火牆規則中刪除無用的規則。
規則膨脹是防火牆經常會出現的安全問題,因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們瞭解這些新規則,卻從來不會讓防火牆團隊知道他們不再使用某些服務了。瞭解退役的伺服器和網路以及應用軟體更新週期對於達成規則共識是個好的開始。執行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火牆團隊。