(1)了解Windows防火墙的相关知识
(2)使用Windows自带的防火墙来加固系统和进行安全检查
Windows 防火墙是在Windows XP SP2中取代原来的Internet Connection Firewall的更新版本,默认状态下防火墙在所有的网卡界面均为开启状态,无论是Windows Xp全新安装还是升级安装,这个选项都可以在默认的情况下给网络连接提供更多的保护。在大多数情况下,系统会自动提醒用户进行安全设置,包括杀毒软件、防火墙以及系统补丁自动更新,当WindowsXp系统打开防火墙后,如果设置得当可以从一定程度上加强系统的安全。
步骤1:启用WindowsXP中的防火墙。单击“开始”-“设置”-“控制面板”,在控制面板中双击“Windows防火墙”图标,打开“Windows防火墙”窗口,如图1所示,选中“启用(推荐)”。
说明
(1)在常规选项卡中有“启用(推荐)”、“不允许例外”以及“关闭(不推荐)” 三个选项。“启用(推荐)”表示启用Windows防火墙;当选择“不允许例外”后Windows 防火墙将拦截所有的连接该计算机的网络请求, 包括在例外选项卡中列表的应用程序和系统服务。另外,防火墙也将拦截文件和打印机共享,还有网络设备的侦测。
(2)使用不允许例外选项的Windows防火墙比较适用于连接在公共网络上个人计算机,它拦截了绝大部分应用程序,但仍然可以浏览网页,发送接受电子邮件,或者使用即使通讯软件。
(3)例外选项卡中允许添加阻止规则例外的程序和端口来允许特定的进站通讯。
步骤2:使用例外选项。在“常规”中不选中“不允许例外”,然后单击“例外”标签,如图2所示,在“程序和服务”中会显示通过Windows防火墙的程序和服务,选中表示通过防火墙,单击“添加程序”按钮添加允许通过防火墙的程序。在本例中Flashget程序就是允许通过防火墙。
图2使用防火墙的例外
说明
(1)选中名称下的程序或者服务选项后,单击“编辑”按钮可以更改应用程序的访问范围。
(2)选中名称下的程序或者服务选项后,单击“添加端口”按钮可以更改应用程序的访问允许访问端口,如图3所示,输入名称后在端口号中输入允许的端口号,然后选中TCP或者UDP网络协议。
图3添加端口
步骤3:启用和查看防火墙日志。单击“高级”标签,然后单击“安全日志记录”中的设置按钮,打开“日志设置”窗口,如图4所示,分别选中记录选项下的“记录被丢弃的数据包”和“记录成功的连接”选项。
图4 设置防火墙日志
说明
(1)Windows防火墙默认不对日志进行记录。
(2)在“名称”中可以更改防火墙日志记录文件的路径和名称。
(3)直接打开该日志文件(pfirewall.log)后,可以查看那些IP访问本地计算机,如图5所示,其中最重要的就是连接日志记录。
图5 设置防火墙日志
步骤4:使用命令行工具来对防火墙进行配置。Windows防火墙的配置和状态信息可以通过命令行 Netsh.exe 获得。可以使用 “netsh firewall”命令来获取防火墙信息和修改防火墙设定,在命令提示符下输入“netsh firewall”命令后会显示其详细参数:
? - 显示命令列表。
add - 添加防火墙配置。
delete - 删除防火墙配置。
dump - 显示一个配置脚本。
help - 显示命令列表。
reset - 将防火墙配置重置为默认值。
set - 设置防火墙配置。
show - 显示防火墙配置。安全警告
(1)使用“netsh firewall show allowedprogram”命令可以查看Windows防火墙允许的应用程序。
(2)使用“netsh firewall show”命令可以查看有关防火墙的帮助信息。
(3)使用“netsh firewall add allowedprogram”命令添加防火墙允许的程序配置,例如“add allowedprogram C:\MyApp\MyApp.exe MyApp ENABLE”表示允许“C:\MyApp\MyApp.exe”程序通过防火墙。
(4)在入侵过程中利用“netsh firewall show allowedprogram”命令可以将木马程序添加到允许Windows防火墙通过的列表中,因此可以通过查看“例外”中的程序来进行安全检查。
小结
本案例介绍了Windows防火墙的相关知识以及如何使用Windows防火墙。通过配置Windows防火墙可以加固系统,而通过查看安全日志以及审查例外中的应用程序可以进行系统安全检查。
