防火墙的启用:【开始】→【程序】→【附件】→【通讯】→【网络连接】,打开网络连接对话框,点击【高级】选项,出现【Windows防火墙】对话框,点击【启用】按钮,如图5-5所示。
需要拒绝所有连接时,选择【不允许例外】复选框,安全性最高,Windows阻止程序时不通知用户,并且在【例外】选项卡中的程序也会被阻止。
需要对外提供服务时,取消【不允许例外】复选框,在【例外】选项卡中的程序或端口允许被访问,不在【例外】选项卡中的程序和端口不允许被外界访问。
转到【例外】选项卡,添加允许端口,例如当本机需要对外界提供WWW服务时,将开放80端口等待/监听客户端连接,点选【添加】端口,输入端口名、端口号和使用协议,则外界只允许访问本机80端口即WWW服务,其他端口/服务都拒绝被访问。
包过滤技术特点
因为CPU用来处理包过滤的时间相对很少,这种防护措施对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。
因为包过滤技术不保留前后连接信息,所以很容易实现允许或禁止访问。
因为包过滤技术是在TCP/IP层实现,包过滤一个很大的弱点是不能在应用层级别上进行过滤,所以防护方式比较单一。
包过滤技术作为防火墙的应用有两类:一是路由设备在完成路由选择和数据转换之外,同时进行包过滤;二是在一种称为屏蔽路由器的路由设备的启动包过滤功能。
2) 代理技术
代理技术又称为应用网关技术。应用代理防火墙运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于服务器来说它又是一台客户机。
当代理服务器接收到客户的请求后,会检查用户请求是否符合相关安全策略的要求,如果符合的话代理服务器会代表客户,去服务器那里取回所需信息再转发给客户,如图5-6所示。
应用代理防火墙作用在应用层,控制应用层的服务,在内部网络向外部网络申请服务时起到中间转接作用。
内部网络只接受代理提出的服务请求,拒绝外部网络其他结点的直接请求。
代理防火墙代替受保护网的主机向外部网发送服务请求,并将外部服务请求响应的结果返回给受保护网的主机。
受保护网内部用户对外部网访问时,也需要通过代理防火墙,才能向外提供请求,这样外网只能看到防火墙,从而隐藏了受保护网内部地址,提高了安全性,其数据流如图5-7所示。
代理服务器接受内、外部网络的通信数据包,根据自己的安全策略进行过滤,不符合安全协议的信息被拒绝或丢弃。
应用代理防火墙工作在TCP/IP协议的应用层,针对特定的网络应用服务协议进行过滤,使用代理软件来转发和过滤特定的应用层服务,只允许有代理的服务通过防火墙;并且能够对数据包进行分析并形成相关的报告。
应用代理防火墙另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。
在实际工作中,代理服务器一般由专用工作站系统来完成。
目前常见的应用代理防火墙产品有:商业版代理(cache)服务器,开源防火墙软件TIS FWTK(Firewall toolkit)、Apache和Squid等。
应用代理防火墙优点
防火墙理解应用层协议,可以实施更细粒度的访问控制,因此比包过滤更安全、更易于配置,界面友好。
防火墙不允许内外网主机的直接连接,安全检查只需要详细检查几个允许的应用程序,比较容易对进出数据进行日志和审计。
应用代理防火墙缺点
额外的处理负载,应用代理防火墙的处理速度比包过滤防火墙要慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。
对每一个应用,都需要一个专门的代理,灵活性不够。用户可能需要改造网络的结构甚至应用系统。
3) 状态检测技术
状态检测防火墙既具备包过滤防火墙的速度和灵活,也有应用代理防火墙的安全优点,是对包过滤和应用代理功能的一种平衡。
状态检测防火墙采用一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。
动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此与包过滤防火墙的静态过滤规则表相比,具有更好的灵活性和安全性,其工作原理图和检测流程图如图5-8、图5-9所示。
