身份大公开
1.真实身份:ICF增强版
Windows XP/2003中原来曾经自带一个称为ICF(Internet Connection Firewall)的防火墙,但由于功能简单加之其设置方法相对隐蔽,所以致使很多用户甚至根本不知道有ICF这个东西存在。直到Windows XP SP2 RC版之后,才由原来的ICF升级为现在的Windows Firewall,即Windows防火墙(SP2早期的Beta版本中仍然使用ICF),并且集成在Windows XP SP2另一个新组件“安全中心”里。
2.为什么要用Windows Firewall
Windows XP的目标就是集成大多数常用软件的基本功能,显然微软原先也是以此定位来设计ICF的。但ICF实在是个失败产品,而迫切渴望在网络防火墙领域能尽快分一杯羹的微软终于下决心在Windows XP的SP2中集成全新的Windows Firewall。至于为什么要用Windows Firewall,基本可以归纳为2点:
①集成在Windows XP中,无需额外安装(这就是垄断的力量)。
②工作于系统最底层,效率最高(没有一家公司会比微软更了解其自己的产品)。
3.大家对Windows Firewall的评价
目前对Windows Firewall的评价大多来自网上,网上流传着一种说法:Windows Firewall很弱,防外不防内。什么是“防外不防内”?是否真的“防外不防内”?今天我们通过实验来鉴定这种说法,在此之前,先来介绍一下Windows Firewall的基本使用。
教你学用Windows Firewall
1.防火墙的开启
第一步:打开“网络连接”,在其中选中需要添加防火墙的连接图标,右击此图标选择“属性”。
第二步:在弹出的连接属性窗口中,选择“高级”选项卡,在下方的“Windows防火墙”栏中点击“设置”按钮。
第三步:在“Windows防火墙”窗口的“常规”选项中,选择“启用”(见图1)。
警告:如果勾选了“不允许例外”,防火墙在阻止程序时不会提示用户,而且会忽略“例外”选项页中建立的规则,这样就最大限度地保证计算机系统的安全性,一般该功能应用于公共场所的计算机,启用该功能后系统将只能使用Windows自带的程序进行网络通讯(比如IE和OE)。
2.规则谁来定
通常防火墙都有自己一套默认的规则,并且允许用户在使用过程中添加自定义的规则以便允许或禁止特定程序用相应的端口发送/接收外网的数据。而Windows Firewall也不例外,不过其默认规则只有四条,而且这些默认规则是不可以删除的(见图2)。
防火墙自定义规则可以由系统自动添加或者是用户手动添加。
①自动添加:我们在第一次使用应用程序进行网络通讯时,Windows Firewall默认都会自动弹出如图3所示的对话框,提示是否阻止程序进行网络通讯。可供选择的按钮有“保持阻止”或“解除阻止”,系统都会自动在Windows Firewall中添加一个应用程序的规则,点击“保持阻止”时自动去除该规则的勾选,表示该条规则未生效,此应用程序仍无法访问网络;而点击“解除阻止”时则自动在列表中勾选该规则,表示该程序可以进行网络通讯。
②手动添加:在“Windows防火墙”设置窗口中选择“例外”选项卡,点击“添加程序”按钮并在弹出窗口中选择需要创建规则的应用程序。而“添加端口”按钮则可以设置开放一个特定端口,这样以后所有程序都可以通过该端口访问网络而不会提示被阻止。“编辑”和“删除”按钮分别可以对现有规则进行设置和删减。另外,在选择“添加程序”、“添加端口”和“编辑”时,点击其窗口下方的“更改范围”按钮可以选择该规则的应用范围,比如“任何计算机(包括Internet上的计算机)”、“仅我的网络(子网)”还是“自定义列表”。
实例:只让局域网中IP为192.168.0.2的计算机访问我的共享资源
在“Windows防火墙”设置窗口中选择“例外”选项卡,在其中的“程序和服务”列表中选中“文件和打印机共享”(确认该项为已勾选状态),点击下方的“编辑”按钮。点击弹出的“编辑服务”窗口左下角的“更改范围”按钮,选择“自定义列表”,并在其下方的输入框中输入“192.168.0.2”(不含引号),点击“确定”按钮关闭窗口并保存设置。
3.网络连接故障解决
①一些BT下载软件无法正常连接或下载速度奇慢。
解决方法:在“程序和服务”列表中勾选“UPnP框架”。
②文件共享权限已经设置好了,但别人就是无法连接。
解决方法:在“程序和服务”列表中勾选“文件和打印机共享”。
③远程协助和远程桌面功能无法正常使用。
解决方法:在“程序和服务”列表中勾选对应的“远程协助”及“远程桌面”。
4.其他问题
①设置错误出了问题怎么办
在“Windows防火墙”设置窗口中选择“高级选项卡”,在最下方的“默认设置”框中点击“还原为默认值”。
②有多条网络连接,不想都使用Windows Firewall
在“Windows防火墙”设置窗口中选择“高级”选项卡,在“网络连接设置”框的连接列表中去除不想启用Windows防火墙的连接项的勾选(见图4),点击“确定”保存设置。
看透Windows Firewall的弱点
1.“防外不防内”是否属实
网上一直流传Windows Firewall防外不防内的弱点,有些网友担心这样会导致数据外泄。其实所谓的“防外不防内”是指程序对外发送数据时防火墙不会拦截,而接受外网数据时防火墙才会拦截。而Windows Firewall和以前版本中的ICF一样,不会拦截本地对外的主动出站连接,同时也不会拦截由于出站初始化造成的入站数据,但并不说明这样就会造成数据的泄露,因为程序在建立对外传输数据的连接时,还需要接收来自外网的ACK应答信息,此时防火墙就会拦截了。所以说“防外不防内”的说法是不确切的。
2.惊天漏洞揭密
在确认“防外不防内”的说法不正确后,可能很多朋友都以为这个防火墙完美无缺了。不过,在对Windows Firewall进行了较为深入的研究后,笔者发现其存在致命的缺陷(//“致命的缺陷”用黑体)!
首先,Windows Firewall中建立的所有规则都是存放在注册表中的,经过分析,我们找到了这个分支:[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/ Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]。
在其下以应用程序完整路径作为名称新建字符串值,键值由程序的完整路径开头,以冒号:隔开,后面依次为开放的端口、操作、防火墙中的显示数据(见图5),以MSN Messenger(以下简称MSN)为例:
G:/Program Files/MSN Messenger/msnmsgr.exe:*:Enabled:MSN Messenger
其中“G:/Program Files/MSN Messenger/msnmsgr.exe”是MSN的完整路径;“*”是指任何端口;“Enabled”是指允许访问网络(也就是刚才设置列表中的勾选状态),如改为“Disabled”则为禁止访问网络;最后的“MSN Messenger”是这条规则在Windows Firewall规则列表中显示的名称。
这也就是说,无论任何程序(包括正常的程序或者有害的病毒、木马程序),只要将自身加入这个注册表位置,就能够绕过Windows Firewall访问网络!已经有报告指出网上已经出现了一些利用该方法绕过Windows Firewall的间谍程序(Spyware)。这真的是微软的一个设计缺陷吗?
3.“缺陷”的由来
在Windows XP的权限规则中,Users组是无权对Windows Firewall进行设置的,也就是说如果用户以Users组成员的账户登录系统,他根本无法更改注册表中关于防火墙规则的分支,他所运行的程序也无权对注册表中的这个位置进行更改。但我们习惯于使用Administrator账户登录系统,自然就被病毒得手了。
4.绕过“缺陷”保安全
①使用第三方防火墙取代Windows Firewall,如Outpost Firewall。
②根据微软提倡的方法使用计算机:日常操作时使用Users组用户登录,进行系统设置或者安装软件时使用Administrators等高权限的组用户登录。
③经常留意Windows Firewall中的例外规则列表,发现可疑程序立即删除。