55典型防火墙产品与防火墙技术发展

5.5.1典型防火墙产品1、国内个人防火墙软件中经典之作天网防火墙•个人防火墙软件在防火墙中是最低廉、最简单易用、最易于安装的一种面向个人用户的防御工具。尽管这样但个人防火墙软件仍可以有效地防御大多数黑客的攻击。下面介绍一下天网个人防火墙软件，它是国内个人防火墙软件的代表之一。天网个人防火墙是国内一款颇为有效的防火墙，它是由天网安全实验室推出的。适用平台：Windows98、Windows2000。对于初级用户几乎不用做任何专业设置，就可以有效的发挥作用。对于高级用户，天网允许进行他们自己的设置。用户可以对指定的协议、端口、IP地址进行过滤，完全监控所有的网络数据。总之天网防火墙具有访问控制、身份认证、应用选通、网络地址转换（NetworkAddressTranslation）、信息过滤、虚拟专网（VPN）、流量控制、虚拟网桥等功能。天网个人防火墙属于软件防火墙系列，因此安装相当简单，用户只需运行安装文件，按提示操作即可。•第一次运行天网时，您需要输入注册号。注册号可以免费获得，用户只需到天网的主页上进行注册即可，网址：http：／／．sky．net．cn。图5.25安装天网防火墙后的任务栏图标•天网启动后，缩为一个盾牌形图标，如图5.25所示。双击该图标，显示天网的主界面，如图5.26所示。图5.26天网防火墙主界面•（1）系统设置•图5.27系统设置主界面•选中开机后自动启动防火墙，天网个人版防火墙将在操作系统启动的时候自动启动，否则天网防火墙需要手工启动。•单击“防火墙自定义规则重置”按钮，防火墙将弹出如下窗口。图5.28天网防火墙提示信息界面•如果选择“确定”按钮，天网防火墙将会把防火墙的安全规则全部恢复为初始设置，用户对安全规则的修改和加入的规则将会全部被清除掉，例如：将重新设置在局域网内的地址；用户设定的天网防火墙预警的声音也将被取消。•（2）安全级别设置•天网防火墙安全级别分为高、中、低三级，默认的安全等级为中，其中安全设置如下：•低：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任内部网络，允许内部网络的机器访问提供的各种服务（文件、打印机共享服务）但禁止网络网络的机器访问这些服务。•中：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务（文件、打印机共享服务），内部网络和外部网路上的机器将无法看到天网防火墙所安装的主机。•高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务（文件、打印机共享服务），内部网络和外部网络上的机器将无法看到本机。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。•（3）断开/接通网络•如果按下断开/接通网络按钮，那么主机就将完全与网络断开了，就好象拔下了网线一样。•（4）程序规则设置•天网防火墙具有对应用程序数据包进行底层分析拦截功能，可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过。在天网个人版防火墙打开的情况下，启动的任何应用程序只要有通讯数据包发送和接收存在，都会先被天网个人版防火墙先截获分析，并弹出窗口，如下图：图5.29天网防火墙信息拦截界面•如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。如果你如果选中以后都允许选项，该程序将自加入到应用程序列表中，天网版防火墙将默认不会再拦截该程序发送和接受的数据包，但你可以通过应用程序设置来设置更为复杂的数据包过滤方式。应用程序规则的设置界面如下图所示：•单击该面板每一个程序的选项按钮即可设置应用程序的数据通过规则，如下图:•可以设置该应用程序禁止使用TCP或者UDP协议传输，以及设置端口过滤，让应用程序只能通过固定几个通讯端口或者一个通讯端口范围接收和传输数据，完成这些设置后，可以选择询问和禁止操作。对应用程序发送数据包的监察可以确认系统有那些程序正在进行通讯。通过这种对数据包的监察防火墙可以监视到攻击者对木马的控制通讯，防止木马程序向外网发送非法信息。（5）IP规则设置•IP规则设置是针对整个系统的数据包监测，IP规则设置的界面如下：•工具栏上的按钮主要有导入，增加，修改，删除按钮等。由于规则判断是由上而下的，可以通过点击调规则上下移动按钮调整规则的顺序。另外，只有相同协议的规则才可以调整相互顺序），当调整好顺序后，可按保存按钮保存你的修改。当规则增加或修改后，为了使新设定的规则生效，需要单击应用新规则按钮。•上图中IP规则部分列出了规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。在列表的左边为该规则是否有效的标志，如果标记为钩表示改规则有效，否则表示无效。当你改变某些设置后，请按保存按钮，以便使设置生效。•天网防火墙本身已经默认设置好了相当的安全级别，一般用户，并不需要自行更改。例如：•防御ICMP攻击：即别人无法用PING的方法来确定你的存在。但不影响你去PING别人。•防御IGMP攻击：IGMP是用于传播的一种协议。•TCP数据包监视：监视你机器上所有的TCP端口服务。这是一种对付木马程序的主要方法。•用户可以通过点击增加按钮或选择一条规则后按修改按钮，激活编辑窗口，以便用户进一步设置适合自己的规则。•输入规则的名称和说明，以便于查找和阅读。•选择该规则是对进入的数据包还是输出的数据包有效。对方的ip地址，用于确定选择数据包从那里来或是去哪里。任何地址是指可以接收从任何地方发来的数据包；局域网网络地址是指数据包来自和发向局域网；指定地址是用户输入的地址，指定的网络区域是你可以自己输入一个网络和掩码。还要录入该规则所对应的协议，在这里请注意，如果录入了IP协议的规则，一点要保证IP协议规则的最后一条的内容是：“对方地址：任何地址；动作：继续下一规则”。•TCP协议要填入本机的端口范围和对方的端口范围，如果只是指定一个端口，那么可以在起始端口处键入该端口，结束处，键入0。如果不想指定任何端口，只要在起始端口都键入0。ICMP规则要填入类型和代码。如果输入255，表示任何类型和代码都符合本规则。当一个数据包满足上面的条件时，你就可以对该包采取操作了：通行指让该数据包可以正常通过；拦截指让该数据包无法通过；继续下一规则指不对该数据包作任何处理，由该规则的下一条规则来确定对该包的处理操作。在执行这些规则的同时，还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容，并可以设置天网防火墙托盘图标是否闪烁来警告，或发出声音来进行提示。•建立规则的原则：•防火墙的规则检查顺序与列表顺序是一致的。•如果只想对内部网络开放某些端口或协议（但对外部网络关闭）时，可对内部网络的规则采用允许局域网网络地址的某端口、协议的数据包通行的规则，然后用任何地址的某端口、协议的规则拦截，就可实现你的目的。•如果录入了IP协议的规则，一定要保证IP协议规则的最后一条的内容是：对方地址为任何地址，动作是“继续下一规则，否则会其他协议的规则会执行不到。•不要滥用记录功能，一个定义不好的规则加上记录功能，会产生大量没有任何意义的日志，并浪费大量的系统资源。•（6）日志查看•天网防火墙将会把所有不合规则的数据包拦截并且记录下来，如果你选择了监视TCP和UDP数据包，那你发送和接受的每个数据包也将被记录下来。每条记录从左到右分别是发送/接受时间、发送IP地址、数据包类型、本机通讯端口，对方通讯端口，标志位•但不是所有的被拦截的数据包都意味着有人在攻击你，有些正常的数据包可能由于你设置的安全级别过高而不符合安全规则，也会被天网防火墙拦截下来并且报警，如你设置了禁止别人Ping你的主机，如果有人向你的主机发送Ping命令，天网防火墙也会把这些发来的ICMP数据拦截下来记录在日志上并且报警。安全日志可以导出和被删除，其上面左右两个按钮分别为存为文件和清空日志的按钮。•另外，天网网站可以为天网防火墙注册用户提供在线的系统检测服务。如下图。具体包括的项目和功能如下。•信息泄露检测：检测系统是否存在信息泄漏的危险性。如果你的电脑系统存在安全漏洞，检测系统会显示出你的计算机名，甚至会检测出你的共享文件目录和打印机的名称，并把共享目录里的具体内容列出来。•系统安全性检测：如果系统存在漏洞，很可能会成为网络上的攻击对象。该项检测的目的就是验证系统是否存在这样的漏洞。同时还提供了电脑网络安全软件，可以帮助用户填补这些漏洞。•网络端口扫描：扫描你的系统是否存在开放的易于被攻击的网络端口。DdosSlave扫描，在黑客攻击的事件中，许多接入互联网的计算机被黑客利用来作为攻击其他网站或计算机的跳板（又被称为“肉鸡”）。因为这些主机被黑客植入DDOS攻击的代理程序，所以黑客控制这些代理程序来对外攻击。DDOSSlave扫描是检查您的系统里是否存在这种代理程序。检测和扫描服务是通过天网网站对主机进行扫描实现的，完成后将给出一个完整的报告和适当的建议。图5.37天网网站安全漏洞报告界面•2、操作系统集成的防火墙--启用winxp中自带的防火墙•操作系统WINDOWSXP本身就具有Internet连接防火墙（ICF），即充当网络与外部世界之间的保卫边界的安全系统。Internet连接防火墙（ICF）是用来限制哪些信息可以小型办公网络或个人主机进入Internet（外部网络）以及从Internet进入小型办公网络或个人主机的一种工具软件。如果网络使用Internet连接共享（ICS）来为多台计算机提供Internet访问能力，在共享的Internet连接中启用ICF。当然ICS和ICF也可以单独启用。•工作原理：•ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通讯，并且检查所处理的每个消息的源和目标地址。ICF保留了所有源自ICF计算机的通讯表。在单独的主机中，ICF将跟踪源自该计算机的通信。与ICS一起使用时，ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。•只有当表中有匹配项时，才允许将传入Internet通信传送给网络中的计算机。源自外部源ICF计算机的通讯（如Internet）将被防火墙阻止，除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。ICF和个人主机或小型办公室通讯不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙。如果在ICS客户计算机的网络适配器上启用防火墙，则将干扰该主机和网络上的所有其他主机之间的某些通讯。ICF也具有日志功能能够记录被许可的和被拒绝的通信。•（1）配置防火墙1.启用或禁用Internet连接防火墙。•图5.38网络邻居属性窗口•方法：打开“网络连接”，单击要保护的拨号、LAN或高速Internet连接，然后在“本地连接属性”→“高级”→“设置”下，选择下面的一项：图5.39防火墙设置窗口•若要启用Internet连接防火墙，选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框。若要禁用Internet连接防火墙，请清除此复选框。•2）安全日志的设置•当选择“登录放弃的数据包”复选框时，每次通信尝试通过防火墙却被检测和拒绝的信息都被ICF收集。例如，如果Internet控制消息协议没有设置成允许传入的回显请求，如Ping和Tracert命令发出的请求，防火墙将接收到来自外部网络的回显请求，但防火墙会根据用户设置的规则放弃回显的数据并记录日志。Ping和Tracert都采用的是网际消息协议（ICMP）。•通过ICMP协议，可以使采用IP通讯的主机和路由器报告通信错误并交换受限控制和状态信息。在下列情况中通常自动发送ICM