Windows和Linux防火墙实例

一、Windows系统中的防火墙实例

Windows防火墙是一个基于主机的状态防火墙，它丢弃所有未请求的传入流量，即那些既没有对应于为响应计算机的某个请求而发送的流量（请求的流量），也没有对应于已指定为允许的未请求的流量（异常流量）。Windows防火墙提供某种程度的保护，避免那些依赖未请求的传入流量来攻击的恶意用户和程序。这里以对目前常用的Windows XP Service Pack 2自带防火墙为实例，介绍它的基本配置及应用。

打开Windows XP的访问控制面板，这里包括Windows自带防火墙。Windows XP SP2与之前的Windows系列相比，自带防火墙新增了以下主要特性：

1、默认对计算机的所有连接启用。

2、应用于所有连接的全局配置选项。

3、用于全局配置的新增对话框集。

4、全新的操作模式。

5、启动安全性。

6、本地网络限制。

7、异常流量可以通过应用程序文件名指定。

8、对Internet协议第6版（IP V6）的内建支持，配置对话框可同时配置IPv4和IPv6流量。

9、采用Netsh和组策略的新增配置选项。

打开自带防火墙，可以看到对话框中包含“常规”、“异常”和“高级”三个选项卡，如图7-9所示。完成这些选项卡的设置，便可以实现对Windows防火墙的基本安全配置。新的Windows防火墙对话框包含以下选项卡：

图7-9 Windows防火墙的“常规”选项卡

在“常规”选项卡上，主要有以下几个可选项：

（1）“启用（推荐）”

选择这个选项可以对“高级”选项卡上所选择的所有网络连接启用Windows防火墙，这也是默认功能。Windows防火墙启用后将仅允许请求的和例外的传入流量。例外的网

络流量可在“例外”选项卡上进行配置。当防火墙启用之后，大多数应用程序，比如IE浏览器和电子邮件客户端等，不依赖未请求的传入流量，因而能够在启用Windows防火墙的情况下正确地运行。然而，存在个别依赖未请求的传入流量的程序或服务。为此，需要在“例外”选项卡上把它们设置为例外的通信。

（2）“不允许例外”

选择这个选项将仅允许请求的传入流量，拒绝异常的传入流量，即“例外”选项卡上的设置将被忽略，所有的网络连接都将受到保护，这里不再局限于“高级”选项卡上设置的网络。

（3）“关闭（不推荐功能）”

选择这个选项来禁用Windows防火墙，特别是对于可通过Internet直接访问的网络连接，不建议关闭防火墙。

值得注意的是，在使用组策略配置运行Windows XP 自带防火墙，如果所配置的组策略是“不允许进行本地配置”，那么“常规”选项卡和其他选项卡上的选项功能将被禁用，显示为灰色的，甚至本地管理员也无法进行选择。

基于组策略的Windows防火墙设置允许配置一个域配置文件，可实现对连接到一个包含有域控制器的网络所需要的基本防火墙设置。此外，也允许设置标准配置文件，完成对连接到Internet时所需要的防火墙设置。这些配置对话框仅显示当前所应用的配置文件的防火墙设置。要查看当前未应用的配置文件设置，可使用netsh firewall show命令。要更改当前没有被应用的配置文件设置，可使用netsh firewall set命令。

在“例外”选项卡，如图7-10所示，可以启用或禁用某个现有的程序或服务，或者添加、修改和删除例外的程序或服务，从而维护“例外”列表。当选中“常规”选项卡上选择了“不允许例外”选项时，例外网络通信将被拒绝。主要有以下可选内容：

图7-10 “例外”选项卡

在“异常”选项卡上，对于Windows XP SP2之前的版本，仅能根据传输控制协议（TCP）或用户数据报协议（UDP）端口来定义例外网络通信。而对于Windows XP SP2，可以根

据TCP和UDP端口或者程序或服务的文件名来定义例外。在程序或服务的TCP或UDP 端口未知或需要在程序或服务启动时动态确定的情况下，更需要这种具有灵活性的配置方式。

此外，例外程序和服务中有一组预先设置的程序和服务，如文件和打印机共享、远程协助、远程桌面等，这些Windows系统预定义的程序和服务不可删除。

在组策略允许的情况下，可以通过单击“添加程序”，创建新的例外程序或服务；通过单击“添加端口”，创建新的例外的TCP或UDP端口等。

单击“添加程序”后弹出的对话框如图7-11所示，这里便可以通过列出的已安装程序或浏览查找所需添加的例外程序进行选择。

除了可以添加新的例外程序，Windows XP SP2防火墙的特性之一就是可以进一步通过激活“更改范围”功能，重新选择例外程序或端口的应用范围，如图7-12和图7-13所示。这里，范围定义了允许发起例外网络通信的网段，可更新的范围主要有三种方式：来自Internet的任意计算机，仅限于与本机同属于一个子网的计算机，基于子网掩码自定义网段等。当希望本地子网上的计算机访问某个程序或服务，但是又不希望允许潜在的恶意Internet用户进行访问，可以直接选择第2种方式；当仅允许一台IP地址为

192.168.0.99的主机及它所在的一段子网内的主机访问例外程序或服务时，可以再给出子网掩码为255.255.0.0。这样，允许来自192.168.0.1到192.168.255.254范围内的IP地址的主机和本机例外程序有网络通信。

图7-11 添加例外程序或服务

图7-12 例外程序受限的更新范围图7-13 例外程序自定义的更新范围

在“例外”选项卡上，单击“添加端口”功能时，将弹出配置TCP或UDP端口的对话框，如图7-14所示。并且也可以进一步更改例外的应用范围，类似于图7-13和图7-14，这里不再赘述。

按照图7-11 到图7-14的使用方式添加了某个例外程序或端口之后，它在“程序和服务”列表中就被默认禁用。若启用之后，它们对于“高级”选项卡上所选择的所有网络连接都将处于启用状态。

图7-14 例外程序添加端口

打开“高级”选项卡，如图7-15所示，主要包括网络连接设置、存储安全日志、设置ICMP和还原Windows防火墙默认设置等。