作者:許本新
具有高級安全性的 Windows 防火牆它結合了主機防火牆和 IPSec(Internet 協議安全)。具有高級安全性的 Windows 防火牆,在每臺運行此版本 Windows 的計算機上運行,並對可能穿越邊界網絡或源於組織內部的網絡***提供本地保護。它還提供計算機到計算機的連接安全,使用戶可以對通信要求身份驗證和數據保護。
具有高級安全性的 Windows 防火牆是一種狀態防火牆,檢查並篩選 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 流量的所有數據包。默認情況下阻止傳入流量,除非是對主機請求(請求的流量)的響應,或者被特別允許(即創建了防火牆規則允許該流量)。通過配置具有高級安全性的 Windows 防火牆設置(指定端口號、應用程序名稱、服務名稱或其他標準)可以顯式允許流量。
使用具有高級安全性的 Windows 防火牆還可以請求或要求計算機在通信之前互相進行身份驗證,並在通信時使用數據完整性或數據加密。
1. 高級安全的 Windows 防火牆界面認識
單擊“開始”菜單,然後選擇“管理工具”,如果系統提示用戶輸入管理員密碼或進行確認,請鍵入密碼或提供確認。雙擊“高級安全的 Windows 防火牆”如圖1-1所示。在窗口的左側提供了相關“高級安全的 Windows 防火牆”選項功能列表,例如,監視、防火牆、連接安全規則、安全關聯、主模式、快速模式等。
l 監視 使用此文件夾同時監視使用具有高級安全性的 Windows 防火牆管理單元創建的防火牆規則和連接安全規則。使用此文件夾無法查看使用 IP 安全策略管理單元創建的策略。“監視概述”頁顯示活動的配置文件(域、專用或公用)以及該配置文件的設置。
l 防火牆 使用此文件夾監視所有啓用的防火牆規則,包括活動配置文件的防火牆規則和通過使用組策略對象 (GPO) 分發的防火牆規則。只監視活動的(已應用的)防火牆規則。
l 連接安全規則 此文件夾列出所有啓用的連接安全規則以及有關其設置的詳細信息。連接安全規則使用 Internet 協議安全 (IPSec) 來保護本計算機與其他計算機之間的通訊。連接安全規則定義用於形成安全關聯 (SA) 的身份驗證、密鑰交換、數據完整性或加密。SA 定義用於保護從發送方到接收方的通信的安全性。
l 安全關聯 此文件夾列出所有主模式和快速模式 SA 以及有關其設置和終結點的詳細信息。
l 主模式 此文件夾列出所有主模式 SA 以及有關其設置和終結點的詳細信息。可以使用此文件夾查看終結點的 IP 地址。
l 快速模式 此文件夾列出所有快速模式 SA 以及有關其設置和終結點的詳細信息。可以使用此文件夾查看終結點的 IP 地址。
2.高級安全windows防火牆詳細介紹
具有高級安全性的 Windows 防火牆一般使用兩組規則配置其如何響應傳入和傳出流量。防火牆規則確定允許或阻止哪種流量。連接安全規則確定如何保護此計算機和其他計算機之間的流量。通過使用防火牆配置文件(根據計算機連接的位置應用),可以應用這些規則以及其他設置。還可以監視防火牆活動和規則。
(1)防火牆規則
配置防火牆規則以確定阻止還是允許流量通過具有高級安全性的 Windows 防火牆。傳入數據包到達計算機時,具有高級安全性的 Windows 防火牆檢查該數據包,並確定它是否符合防火牆規則中指定的標準。如果數據包與規則中的標準匹配,則具有高級安全性的 Windows 防火牆執行規則中指定的操作,即阻止連接或允許連接。如果數據包與規則中的標準不匹配,則具有高級安全性的 Windows 防火牆丟棄該數據包,並在防火牆日誌文件中創建條目(如果啓用了日誌記錄)。對規則進行配置時,可以從各種標準中進行選擇:例如應用程序名稱、系統服務名稱、TCP 端口、UDP 端口、本地 IP 地址、遠程 IP 地址、配置文件、接口類型(如網絡適配器)、用戶、用戶組、計算機、計算機組、協議、ICMP 類型等。規則中的標準添加在一起;添加的標準越多,具有高級安全性的 Windows 防火牆匹配傳入流量就越精細。
(2)連接安全規則
可以使用連接安全規則來配置本計算機與其他計算機之間特定連接的 IPSec 設置。具有高級安全性的 Windows 防火牆使用該規則來評估網絡通信,然後根據該規則中所建立的標準阻止或允許消息。在某些環境下具有高級安全性的 Windows 防火牆將阻止通信。如果所配置的設置要求連接安全(雙向的驗證),而兩臺計算機無法互相進行身份驗證,則將阻止連接。
(3)入站規則
入站規則明確允許或者明確阻止與規則條件匹配的通信。例如,可以將規則配置爲明確允許受 IPSec 保護的遠程桌面通信通過防火牆,但阻止不受 IPSec 保護的遠程桌面通信。首次安裝 Windows 時,將阻止入站通信,若要允許通信,用戶必須創建一個入站規則。在沒有適用的入站規則的情況下,也可以對具有高級安全性的 Windows 防火牆所執行的操作(無論允許還是阻止連接)進行配置。
(4)出站規則
出站規則明確允許或者明確拒絕來自與規則條件匹配的計算機的通信。例如,可以將規則配置爲明確阻止出站通信通過防火牆到達某一臺計算機,但允許同樣的通信到達其他計算機。默認情況下允許出站通信,因此必須創建出站規則來阻止通信。無論在默認情況下是允許或是阻止連接,都可以配置默認操作。
(5)防火牆配置文件
可以將防火牆規則和連接安全規則以及其他設置應用於一個或多個防火牆配置文件。然後將這些配置文件應用於計算機,這取決於連接計算機的位置。可以配置計算機何時連接到域、專用網絡(例如家庭網絡)或公用網絡(例如 Internet 展臺)的配置文件。
(6)防火牆規則和連接安全規則之間如何關聯
防火牆規則允許通信通過防火牆,但不確保這些通信的安全。若要使用 IPSec 確保通信安全,可以創建連接安全規則。但是,創建連接安全規則不允許通信通過防火牆。如果防火牆默認的行爲不允許該通信通過,則必須創建防火牆規則來實現此操作。連接安全規則不應用於程序或服務,它們應用於構成兩個終結點的計算機之間。
(7)配置規則
因爲具有高級安全性的 Windows 防火牆在默認情況下阻止所有非請求 TCP/IP 傳入通信,因此可能需要對作爲服務器、偵聽程序或者對等端的程序或服務配置程序、端口和系統服務規則。當服務器角色或配置更改時,必須根據實際情況對程序、端口和系統服務規則進行管理。
要點: 防火牆規則的設置爲標準(連接請求針對此標準來匹配規則)添加了逐漸增長的限制級別。例如,如果未在“程序和服務”選項卡中指定程序或服務,將允許所有與其他條件相匹配的程序和服務連接。因此,添加更詳細的標準會使規則變得越來越嚴格,因此,匹配的可能性也就越小。
3.入站規則設置
防火牆的出站規則的配置方法與入站規則大致相同,所以在這以入站規則的配置爲例,介紹給大家。
(1)新建入站規則
① 鼠標右鍵單擊圖1-1左上角的 ,打開“新建入站規則嚮導”,如圖1-2“新建入站規則嚮導”所示。在“新建入站規則嚮導”的“規則類型”窗口中,您可以創建四種類型的規則,分別是:程序、端口、預定義、自定義。(此處作者以端口爲例,創建一條禁止TCP協議的21號端口入站的規則,其它設置可以參照此處設置進行)。
② 選擇圖1-2的“端口”單選框,然後點擊“下一步”。在接下來的“新建入站規則嚮導”的“協議和端口”窗口中。由於作者創建的是TCP協議的21號端口規則,所以在該窗口中“該規則應用於TCP還是UDP”選擇“TCP”;然後在“該規則應用於所有本地端口還是特定本地端口”欄中,選擇“特定本地端口”並填寫“21”,然後點擊“下一步”按鈕。
③ 在圖1-3中有三種選擇。分別是:“允許連接”、“只允許安全連接”、“阻止連接”。
l 允許連接 選擇該項則不會阻止,允許使用IPSec保護和未保護的連接。
l 只允許安全連接 選擇該項則只允許使用IPSec保護的連接。
l 阻止連接 選擇該項則不允許使用連接,阻止IPSec保護的連接和未保護的連接。
作者創建的規則旨在讓用戶不能連接到21號端口上,所以我選擇的是第三個選項目,然後點擊“下一步”按鈕。(您在創建具體規則的時候需要按照實際的需要來進行具體配置)。
④ 指定新規則應用的應用時機,主要針對的有三種情況可供選擇,它們分別是,“域”、“專用”“公用”。
l 域 當該防火牆是用於連接到域的網絡時候,用來實現對域的網絡保護,則選擇該項。
l 專用 當該防火牆是用於連接到專用的網絡時候,用來實現對專用的網絡保護,則選擇該項。
l 公用 當該防火牆是用於連接到公用的網絡時候,用來實現對公用的網絡保護,則選擇該項。
建議用戶根據自己的網絡環境實際情況進行選擇。作者在此處是希望防火牆規則應用到專用網絡,所以選擇的是“專用”如圖10-4
所示。
⑤ 最後給你創建的規則命名,然後點擊“完成”。
注意:Windows Vista防火牆的出站規則創建方法可以參照上述步驟進行,這裏不再贅述。
4.配置防火牆的IPSec規則
(1)什麼是IPSec
IPSec (Internet 協議安全)是一個工業標準網絡安全協議,爲 IP網絡通信提供透明的安全服務,保護 TCP/IP 通信免遭竊聽和篡改,可以有效抵禦網絡***,同時保持易用性。IPSec有兩個基本目標:一是保護IP數據包安全;二是爲抵禦網絡***提供防護措施。
IPSec結合密碼保護服務、安全協議組和動態密鑰管理三者來實現上述兩個目標,不僅能爲企業局域網與撥號用戶、域、網站、遠程站點以及Extranet之間的通信提供強有力且靈活的保護,而且還能用來篩選特定數據流。 IPSec是基於一種端-對-端的安全模式。這種模式有一個基本前提假設,就是假定數據通信的傳輸媒介是不安全的,因此通信數據必須經過加密,而掌握加解密方法的只有數據流的發送端和接收端,兩者各自負責相應的數據加解密處理,而網絡中其他只負責轉發數據的路由器或主機無須支持IPSec。
(2)Windows Vista防火牆的IPSec規則配置
Windows Vista防火牆的最大改進就是防火牆規則和IPSec規則的設置已經進行了完善的集成,方便IT管理人員進行設置。案例,假設網絡管理員需要在公司的Windows Vista防火牆上添加一條規則,以便讓財務部的員工(財務部員工所在組CW groups)能夠安全藉助特定的應用程序,通過80端口訪問計算機,訪問該服務器的連接必須經過加密,以便確保財務部信息的安全。
爲了實現這一目的該公司的網絡管理員就可以通過配置Windows Vista自帶的防火牆“帶高級安全設置的Windows防火牆”實現。具體配置方法如下。
① 在“帶有高級安全設置的Windows防火牆”管理單元窗口左側的控制檯樹定位到“入站規則”,然後單擊右側任務窗格里的“新規則”鏈接,即可打開“新建入站規則嚮導”對話框。
② 選擇“端口”單選按鈕,然後單擊“下一步”按鈕。接下來選擇“TCP”單選按鈕,並在“特定本地端口”單選按鈕右側的文本中輸入“80”。然後單擊“下一步”按鈕。
③ 接着選擇“只允許安全連接”單選框,並勾選“要求加密連接”複選框,然後單擊“下一步”。
④ 接着勾選“只允許來自下列用戶的連接”複選框,然後單擊“添加”按鈕,在打開的對話框中輸入財務部門員工所屬的組的名稱(CW groups),然後單擊“檢查名稱”按鈕,並單擊“確定”按鈕,將用戶添加到“只允許來自下列用戶的連接”列表中。單擊“下一步”。
⑤ 指定該規則的配置文件,由於本案例僅要求在連接到公司的域環境時應用該策略,所以可以清空“專用”和“共用”複選框,然後單擊“下一步”按鈕。
⑥ 最後指定規則名稱和描述信息,單擊“完成”即可。
這樣一來,只有該公司域中的特定用戶(所有屬於CW groups組的財務部成員),纔可以通過專用應用程序,連接到服務器的80端口,以便處理財務部的信息,同時網絡連接被加密,很安全。