全面解读Windows XP sp2 防火墙
四、Windows XP SP2的防火墙真的安全吗?
Windows防火墙在原则上是对由外向内的通信(inbound)全部进行限制,而由内向外的通信(outbound)及其应答则完全不加限制。Windows防火墙只在像服务器那样运行的应用程序开始通信时才会发出警告。 以登录联众世界为例:在所有网络链接上打开防火墙,现在,登陆联众世界试试,一样登陆,根本不需要通过防火墙允许。选择了“不允许例外”,结果还是一样。而用zonealarm的时候,任何程序都得经过防火墙的允许。这是为什么?
前面已经提到了Windows防火墙的特点“只阻截所有传入的未经请求的流量”也就是说,Windows防火墙对主动出站流量不作处理,所以登陆联众世界/IE等没有安全提示,而zonealarm等个人防火墙对所有出、入站流量都作审查,所以有安全提示(除非设置审查但不提示)。但是,为什么QQ/MSN/MYIE2等又有安全提示呢?这是因为QQ/MSN/MYIE2等试图在本地开后门--端口等待远程请求连接,显然这种不安全行为被Windows防火墙拦截并作出安全提示,这相当于QQ/MSN/MYIE2等作为提供某种服务的服务器端。如图所示,MYIE2在本开了1067端口,QQ使6000和6001处在监听状态,而联众世界却没有开放任何端口。
取消通知的方法是:防火墙设置-例外-取消选择“Windows防火墙组织程序时通知我”。
五、Windows XP SP2的防火墙可以限制某个应用程序访问网络吗?
Windows XP SP2的防火墙置不适用于不对特定 UDP 或 TCP 端口集合进行监听的应用程序,不能限制某个应用程序访问网络,但是,却可以限制对谁提供哪些服务,这一点也不同于早期版本的Windows防火墙。
虽然Windows防火墙不可以限制出站通讯,但是Windows XP内置的Internet Protocol security (IPSec)却可以提供这种保护,使用IPSec规则,可以指定通讯是被阻断(丢弃数据)还是被放行(允许),同时能保护加密的入站和出站通讯。在这三种情况下(阻断、允许、保护),IPSec能够配置原地址和目标地址范围。同时使用IPSec规则和Windows防火墙可以给网络提供更强大的安全保护。
对早期Windows防火墙而言,如果开启了某些服务,它将允许所有人访问这些服务,但是SP2的防火墙却可以精确的设置是对某台计算机或者某些子网允许连接;如果没有开启服务,则所有连接都将被拒绝。设置方法:安全中心-防火墙设置-例外-编辑(某个服务)-更改范围-自定义列表。自定义列表的说明,如果对某个IP提供服务,设置子网掩码为全1,例如192.168.0.3/255.255.255.255;如果针对某个子网提供服务,设置正确的子网掩码,如192.168.0.1/255.255.255.128,多个项目之间用“,”号隔离。
如上所述,ICF和基于应用程序的个人防火墙产品是不一样的。基于应用程序的个人防火墙可以控制每一个访问Internet的程序,但是不能限制某个应用程序访问网络,使用使用IPSec规则可以提供对计算机向外发出的报文进行过滤的功能。
如上所述,ICF和基于应用程序的个人防火墙产品是不一样的。基于应用程序的个人防火墙可以控制每一个访问Internet的程序,但是不能限制某个应用程序访问网络,使用使用IPSec规则可以提供对计算机向外发出的报文进行过滤的功能。 
这样可能带来新问题!如果企业网络同时连接外部网络,比如INTERNET,对外开放这些丝谑遣话踩摹indows XP SP2防火墙考虑到了这个安全问题,在“编辑服务”选项中点击“更改范围”,在弹出的对话框中选择“仅我的网络(子网)”,这样设置后,文件和打印共享服务只对内部提供提供,而对外而言服务是不可见的,这样就安全多了。
|
