新的 XP SP2 包含新的 Windows ,它取代了装有 Service Pack 1 (SP1) 和未装 Service Pack 的 Windows XP 所附带的 Internet 连接防火墙 (ICF)。Windows 防火墙是状态防火墙,它会断开非请求的传入通信,这些通信指并非为响应计算机的请求而发送的通信(请求通信)或被指定为可允许的非请求通信(例外通信)。Windows 防火墙针对依靠非请求传入通信攻击计算机的恶意用户和程序提供了一定程度的保护。
在装有 SP1 和未装 Service Pack 的 Windows XP 中,默认情况下对所有连接都禁用 ICF,除非通过网络设置向导或 Internet 连接向导进行更改。通过连接属性的“高级”选项卡上的一个复选框,可对每个连接手动启用 ICF,您还可从该选项卡通过指定传输控制 (TCP) 或用户数据报 (UDP) 端口来配置例外通信的集合。
Windows XP SP2 中的 Windows 防火墙有许多更改,包括下列几条:
• 默认情况下对计算机的所有连接都启用
• 应用于所有连接的新全局配置选项
• 用于本地配置的一组新对话框
• 新的操作模式
• 启动性
• 可按范围指定例外通信
• 可按应用程序文件名指定例外通信
• 对 IPv6 的内置支持
• 关于 Netsh 和组策略的新配置选项
默认情况下对计算机的所有连接都启用 Windows XP SP2 中的 Windows 防火墙默认情况下是全局启用的。这意味着在默认情况下,运行装有 SP2 的 Windows XP 的计算机的所有连接都启用 Windows 防火墙,包括 LAN(有线和无线)、拨号和虚拟专用网 (VPN) 连接。新连接在默认情况下也启用 Windows 防火墙。
尽管此行为为基于 Windows XP 的计算机提供了更多保护,但此默认行为也可能对组织网络的信息技术 (IT) 部门带来关于应用程序兼容性和管理网络上计算机的能力的不利后果。
有关如何在企业环境中在 Windows XP SP2 中部署 Windows 防火墙的更多信息,请参阅 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(为装有 Service Pack 2 的 Microsoft Windows XP 部署 Windows 防火墙设置)。
应用于所有连接的新全局配置选项 Windows XP SP2 中的 Windows 防火墙允许您配置应用于计算机的所有连接的设置(全局配置)。在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,ICF 设置是针对每个连接配置的,这意味着如果您要对多个连接启用 Windows 防火墙并配置例外通信,就必须分别配置每个连接。当您更改全局 Windows 防火墙设置时,该更改会应用到所有启用 Windows 防火墙的连接。
Windows XP SP2 中的 Windows 防火墙也允许针对每个连接进行配置。特定于连接的配置会覆盖全局配置。
用于本地配置的一组新对话框 在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,ICF 的设置包括一个复选框(连接属性的“高级”选项卡上的“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框)和一个可用于配置例外通信、日志设置和允许的 ICMP 通信的“设置”按钮。
在 Windows XP SP2 中,复选框已被“设置”按钮取代,该按钮可在控制面板中启动新的 Windows 防火墙组件。您可从新的“Windows 防火墙”对话框配置常规设置、程序和服务的权限、连接特定设置、日志设置以及允许的 ICMP 通信。
下图显示新的“Windows 防火墙”对话框。
新的操作模式 在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,ICF 要么启用(允许请求的和例外的通信),要么禁用(允许所有通信)。
在 Windows XP SP2 中,可选择新的操作模式,它对应“Windows 防火墙”对话框的“常规”选项卡中的“不允许例外”复选框。当 Windows 防火墙在此新模式下运行时,所有非请求的通信都会被断开,包括例外通信在内。此模式可用于在已知的网络攻击期间或恶意程序传播时暂时锁定计算机。一旦网络攻击结束并且安装了合适的更新程序以阻止今后的攻击行为,就可将 Windows 防火墙置于允许例外通信的正常操作模式(对应“打开(推荐)”选项)。
启动性 在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,当 Internet 连接防火墙 (ICF)/Internet 连接共享 (ICS) 服务成功启动时,ICF 在启用它的连接上是活动的。因此,当运行装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 的计算机启动时,从该计算机在网络上启用到 ICF 开始保护连接之间有一个延迟。此延迟使计算机有可能在启动时遭到非请求通信的攻击。
在 Windows XP SP2 中,有一个用于执行状态包过滤的启动策略,它允许计算机使用动态主机配置 (DHCP) 和域名系统 (DNS) 执行基本网络启动任务,以及与域控制器通信来获取组策略更新。一旦 Windows 防火墙 (WF)/Internet 连接共享 (ICS) 服务启动,它就使用其配置并删除启动策略。启动策略设置是不能进行配置的。
可按范围指定例外通信 在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,例外通信可源自任何 IP 地址。在 Windows XP SP2 中,Windows 防火墙允许您指定例外通信可源自三个范围之一:任何 IP 地址,一个与接收通信的连接相连的本地子网匹配的 IP 地址,或源自一个或多个 IPv4 地址或 IPv4 地址范围的列表。
这对家庭联网可能很有用,在这种情况下您可能希望允许本地家庭网络上连接到同一子网的计算机访问程序或服务,但不允许潜在的恶意 Internet 用户进行访问。在此情况下,您只要为本地子网配置例外通信。
可按应用程序文件名指定例外通信 在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,您要通过指定与特定应用程序或服务通信对应的 TCP 和 UDP 端口集来手动配置例外通信。对于不知道应用程序或服务的 TCP 和 UDP 端口集是什么或不知道如何找到它们的用户来说,这可能很难配置。而且此配置对于不在特定的 UDP 或 TCP 端口集上侦听的应用程序也不起作用。
为了使例外通信的指定更简便,可以在装有 SP2 的 Windows XP 中配置程序的文件名(应用程序或服务)。当程序运行时,Windows 防火墙会监视程序侦听的端口并把它们自动添加到例外通信的列表中。
为了允许您为通常允许的非请求传入通信快速启用例外,Windows 防火墙预定义了常用 Windows 组件和服务的程序,如“文件和打印机共享”与“远程协助”。另外,Windows 防火墙中的通知机制允许本地管理员在被提示后自动将新程序添加到例外程序列表。
对 IPv6 的内置支持 Windows XP SP2 包含网际协议版本 6 (IPv6),它包括在 Advanced Networking Pack for Windows XP 中。Windows 防火墙中包含 IPv6 支持,并且自动在所有 IPv6 连接上启用。IPv4 和 IPv6 共享相同的例外通信设置。例如,如果将文件和打印共享通信设置为例外,则基于 IPv4 和基于 IPv6 的非请求传入文件和打印共享通信都是被允许的。
关于 Netsh 和组策略的新配置选项 在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,要启用或禁用 ICF 只能通过“网络连接”文件夹、网络设置向导和 Internet 连接向导。要配置例外通信,要么必须使用“网络连接”文件夹,要么您的应用程序必须能识别 ICF,在此情况下它运行时会自动启用例外通信。
在 Windows XP SP2 中,您有以下附加配置选项:
• Netsh 命令
Netsh 是一个命令行工具,可通过它配置网络组件的设置。要配置组件,它必须通过 Netsh 上下文支持一组命令。装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 没有用于 Windows 防火墙的 Netsh 上下文。在 Windows XP SP2 中,现在您可通过“netsh 防火墙”上下文中的一系列命令配置 Windows 防火墙设置。您可使用 Netsh 创建 Netsh 脚本来自动配置一组用于 TCP/IP 和 IPv6 的 Windows 防火墙设置。有关更多信息,请参阅 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(为装有 Service Pack 2 的 Microsoft Windows XP 部署 Windows 防火墙设置)的附录 B。
• 新配置 API
在装有 SP1 的 Windows XP 和未安装 Service Pack 的 Windows XP 中,有一些可被应用程序用于自动配置例外通信和配置 ICF 设置的 API。在 Windows XP SP2 中,有一些新的 API,通过它们可以为所有可通过 Windows 防火墙控制面板小程序使用的项配置 Windows 防火墙的全局设置以及连接特定设置。可使用这些 API 创建可由用户在组织网络上运行的自定义配置程序。有关新 Windows 防火墙 API 的信息,请参阅 Windows Software Development Kit (SDK) 中的 Windows Firewall(Windows 防火墙)。
• 对使用组策略配置设置的广泛支持
要在使用 Active Directory® 目录服务的组织网络中集中配置大量计算机,可通过计算机配置组策略为运行装有 SP2 的 Windows XP 的计算机部署 Windows 防火墙设置。一组新的计算机配置组策略 Windows 防火墙设置允许网络管理员使用组策略对象配置 Windows 防火
【责编:admin】
--------------------next---------------------