Windows防火墙

Windows防火墙（精选4篇）

Windows防火墙 第1篇

关键词：Windows构架,防火墙,网络封包拦截技术

引言

随着网络技术的迅速发展, 网络安全问题日益突出, 个人防火墙得到广泛应用。文章通过介绍防火墙的发展、防火墙种类及Windows构架下个人防火墙技术, 提出了基于Windows构架网络数据包拦截的个人防火墙设计。

1 防火墙介绍

1.1 防火墙的发展

防火墙是实现内外网络的隔离, 以保护内网免受外部网络的非法入侵而造成损害。防火墙发展共经历了四个阶段:

第一个阶段:静态包过滤防火墙。采用包过滤技术, 网络访问和数据过滤完全依赖于路由器, 且过滤规则完全由路由器提供。这类防火墙处理快速, 但过滤规则简单不能够拦截到较低层的数据, 但实现了数据包过滤[1]。

第二个阶段:防火墙用户化, 提供给用户可实现数据过滤功能的套件。相比第一代防火墙, 它是工作在电路层的防火墙, 仍采用包过滤技术。用户需要做系统的配置, 对用户提出较高的要求[2]。

第三个阶段:应用层防火墙, 采用纯软件的方式实现, 安全性大有提高。它提供了很好的操作界面, 不需要用户进行复杂的系统配置, 因此这类防火墙深受用户喜欢[3]。

第四个阶段:具有安全操作系统的防火墙, 防火墙本身就具有自己的操作系统, 尽管它的核心技术仍然是数据包过滤技术, 但是它采用自适应的代理技术, 使防火墙有一定的自我适应能力, 在安全性上较前面各阶段的防火墙有了进一层的突破[4]。

防火墙的四个发展阶段从本质上讲就是静态包过滤和动态包过滤两个主要阶段。

1.2 防火墙种类

防火墙为实现对内部网络的保护, 工作在以太网与内部网之间, 通过过滤和阻挡有害的网络数据, 进而保护内部网络免损害。

从技术上运用上防火墙可分为包过滤技术、应用代理网关技术及状态检测技术三类[1], 下面分别介绍这三类防火墙技术:

1.2.1 包过滤技术

第一、二代防火墙均采用这种技术, 核心在于对数据包的处理分析以及应用程序处理规则的设置。工作时将网络数据包进行拦截后与静态的安全规则进行对比分析, 判断是否应该对此程序或数据包放行。

1.2.2 应用代理网关技术

防火墙将内网与Internet直接通信桥梁彻底隔断。只要设置好过滤规则, 危险的数据包是不可能传到内网中去。此类防火墙需用户进行系统配置, 且其安全策略的设置相当繁琐, 处理速度较慢。

1.2.3 状态检测技术

状态检测技术采用对数据包动态的过滤完成对传输层数据通信的控制。传输的所有数据包, 先按照静态规则进行比对分析, 如放行, 防火墙仍保持对数据包跟踪, 此后如发现数据包内容与之前拦截数据包记录的状态表内容不一致时, 系统自动将这个数据包丢弃。此类技术实现对数据包全程跟踪, 多次安全考核。较前面两种应用范围更广, 但存在处理较慢的毛病。

2 Windows个人防火墙及与网络封包拦截

2.1 Windows个人防火墙简介

Windows个人防火墙是根据Windows网络协议架构, 通过在操作系统中插入Hook程序的方式, 对所有网络通信的数据进行检查分析, 并将危险的信息过滤掉。Windows个人防火墙的由防火墙进程、驱动程序和过滤规则集组成。驱动程序是防火墙核心, 实现对网络数据的拦截、分析及应用程序的询问等工作;过滤规则集则定义一些安全规则, 实现数据包过滤放行与否的原则[3]。

2.2 WINDOWS网络封包拦截技术

网络封包拦截技术是Windows构架系统的个人防火墙的技术核心。WINDOWS系统构架下数据拦截只能在应用层和核心层上进行。应用层网络封包拦截有基于Winsock 2 SPI技术, 核心层网络封包拦截有基于NDIS中间层驱动程序、基于NDIS-HOOK钩子驱动和基于TDI过滤驱动程序。下面对这四种采取不同技术的防火墙作比较:

2.2.1 基于Winsock2SPI技术:

SPI技术程序能够获得Winsock进程通信的详情, 通过嵌入自己的处理函数来完成数据流加密等用户程序自定义的处理, 但由于SPI仅实现对基于Winsock的数据包进行拦截, 对传输层的通信数据包无能为力无法拦截TCP/IP数据包, 因而有一定的局限性。

2.2.2 基于TDI过滤驱动程序:

通过TDI接口数据封包拦截, 同时拦截应用程序通信交互的接口中所要发送的通信数据包。对通讯数据包的分析, 可以防止不明应用程序对本机的攻击。但系统中TDI接口位于第四层, 对网络层的数据通信无法实现拦截。

2.2.3 基于NDIS过滤钩子程序:

通过编写钩子程序将自己的处理函数嵌入Microsoft的NDIS接口规范中, 实现网络数据拦截。仅能实现“钓鱼”拦截, 安全性较差。

2.2.4 基于NDIS中间层驱动程序:

此拦截技术可以截获所有的网络通信数据包, 在底层上完成数据包的交互, 但截获的数据包分析复杂, 可读性差, 实际应用少。这种技术却具有较高的安全性。

拦截技术各有长短, 单靠某一种拦截技术设计出来的防火墙往往达不到需要的安全级别。如费尔个人防火墙采用了SPI、NDIS-HOOK驱动程序两种拦截技术。尽管Windows构架下网络封包拦截技术多样, 要想研究出更为理想的个人防火墙就须在拦截技术上扬长避短, 多种技术相结合方式进行。

4 个人防火墙设计

基于Windows系统的国外比较出色的PC防火墙有卡巴斯基、麦咖啡、诺顿等等;我们国家比较出色的有瑞星、江民、天网、360等。下文个人防火墙设计进行描述。

4.1 系统功能分析

文章所设计防火墙是在应用层进行封包截获, 基于Winsock 2SPI技术, 主要实现以下功能:

(1) 实现计算机实时保护, 免被非法程序的攻击; (2) 完成应用程序的处理具有记忆功能, 对同一个或同一类型的应用程序处理动作统一; (3) 实现应用程序的入网操作进行分析过滤; (4) 记录应用程序联网动作及处理方案、数据通信等详情的日志记录文件; (5) 即时通报非法外在攻击, 并做出处理动作;总的说来, 此系统是基于Windows用户封包截获技术的基础下提出的, 其核心功能是应用层网络封包拦截。

4.2 系统流程图

防火墙系统包括三个方面:防火墙进程 (.exe) 、防火墙驱动程序 (.vxd或者.sys) 及防火墙安全控制规则集。工作流程如图1所示。

由上述工作流程图可知, 系统详细功能模块如图2所示。

主模块实现应用程序安装 (包括卸载) 、用户注册、安全规则编辑、安全规则设置、防火墙系统工作模式设置、日志读写、日志记录及其文件处理及显示功能;控管规则文件实现与主模块中的安全规则编辑进行交互;日志文件模块实现与主模块中的读写日志文件进行交互;驱动程序模块是实现系统的核心。它由主模块引导执行, 包含:网络数据包封包过滤模块、安全控管规则模块、工作模式模块及生成日志模块。这些模块与主模块交互以完成相应的工作。

4.3 监控界面

个人防火墙系统应用程序监控界面如图3所示, 用户可以看到当前正在与互联网连接访问的应用程序的进程, 可以清楚的此进程的路径、远端IP及端口、本机端口等信息。

5 结束语

文章首先对防火墙的发展和种类进行了介绍, 并对在各阶段其实现技术上的差异进行分析比较结合Windows个人防火墙原理和网络封包拦截技术, 提出了一种基于Windows构架下网络数据包拦截技术的个人防火墙的实现方案。

参考文献

[1]陈琪, 屈光, 高传善.Windows单机版防火墙包过滤多种方案比较与实现[J].计算机应用与软件, 2005 (5) :114-116.

[2]谢辉.包过滤技术在个人安全防御系统的研究与实现[D].西安:西安科技大学计算机学院, 2006.

[3]蔡思飞.包过滤主机防火墙技术的研究[D].太原:太原理工大学, 2006.

Windows防火墙 第2篇

在通过 Windows Azure平台提供PaaS云服务和两个SaaS解决方案――Office 365及Dynamics CRM Online――之后，微软准备提供另一新选择，为希望建立自己的私有IaaS云的客户提供基于Windows Server 8的解决方案。除Windows Server之外，这个解决方案还使用了AppFabric和System Center，下图展示了细节：

Windows Server 8 (WS8)允许企业从传统的或虚拟化的数据中心转移到“云端”，WS8能够自动分配资源，并允许多用户创建彼此隔离的虚拟机(VM)，以保证可扩展性和可管理性。不仅如此，通过Live Migration，可以在集群、子网或WAN子网络间的Hyper-V主机中迁移多个运行中的虚拟机，而无需停止服务或重新配置IP地址，Storage Migration可用来在网络间不停机地移动虚拟化硬盘，微软在BUILD 上介绍了上述特性。Live Migration允许企业从内部的基于Hyper-V的虚拟化解决方案迁移到私有的或托管云上，而无需停机，

在安全方面，Hyper-V Extensible交换机提供了下述特性：私有虚拟局域网，ARP攻击/欺骗保护，DHCP欺骗保护，虚拟端口访问列表，和支持VLAN trunk模式。WS8同时提供资源计量，包括静态计量――虚拟CPU数量或分配的磁盘空间――和动态计量，如CPU使用率或网络带宽使用率。同时还提供一系列性能计数器――SMB2文件共享利用率，RDMA利用率，网络流量和虚拟机指标――用以量化各种资源的性能。

WS8支持设定QoS策略，例如，可以设定SLA来保证最小的和最大的网络带宽，因此客户可以免受其他客户高带宽使用的影响，对于主机提供商来说，设定网络带宽SLA也可以保护自身，避免部分软件缺陷消耗过多带宽。SLA是自动强制执行的。

WS8云可以通过Windows PowerShell 3管理，Windows PowerShell 3 预定义了数千个cmdlet，可用于执行不同的云管理命令和Windows PowerShell Workflows，Windows PowerShell Workflow是批处理命令的现代替代品。

微软推荐将WS8用于各种规模的云，从只需要几十个服务器的中等规模的业务，到有几百台服务器的企业，再到拥有数千台服务器的主机提供商。

Windows防火墙 第3篇

由于Win 7和Win 8中的防火墙无论是在功能方面还是操作、设置方面都大同小异，所以下面我们主要以最新的Win 8为例来介绍一下。

新手入门之基础篇

和Win Vista及先前版本的操作系统不同的是，Win 7和Win 8中提供的防火墙不仅能阻止任何非本机启动的网络连接进入本机，还能阻止本机中全部或指定的连接访问内部或外部网络。换句话说，Win 7和Win 8中防火墙的保护作用是双向的，因而具有较高的安全性。

防火墙的开启与关闭

默认情况下，Win 7和Win 8系统已经开启了防火墙功能。如果对这一点你不确定，可以在“控制面板”中依次选择“系统和安全/Windows防火墙”，进入“Windows防火墙”窗口，选择左侧的“启用或关闭Windows防火墙”，然后在右侧查看。这里有两种网络类型：专用网络和公用网络，每种网络类型下都有“启用Windows防火墙”和“关闭Windows防火墙”两个选项，我们可以查看一下目前正在使用的网络类型下的“启用Windows防火墙”项是否被勾选。如果是，说明防火墙功能已经开启，否则为没开启，只需勾选相应选项，然后“确定”即可（如图1）。

| Tips |

Win 7和Win 8防火墙提供了还原默认设置功能，所以即使你是新手，也不妨大胆地去设置，以后如果发现设置出现问题，只需在“Windows防火墙”窗口中，单击左侧的“还原默认值”项，将相关参数恢复到默认值即可（如图2）。

防火墙两大网络类型介绍

Win 7和Win 8提供了两种网络类型，以便能让用户根据自己的实际情况，设置不同的安全规则。这两种网络类型就是我们上面所说的“专用网络”和“公用网络”（在Win 7中有三种，分别为“家庭网络”、“工作网络”和“公用网络”，Win 8直接将前两者合并为“专用网络”）。

顾名思义，前者针对的是家庭专用或单位局域网等不允许其他人随意连接的网络环境，而后者针对的则是公用的网络环境，即任何人都可以通过各种设备随意连接的网络。很明显，就安全性而言，后者的危险系数要明显大于前者，因为在公共场合中，任何人都可能通过搜寻处于同一网络中的设备发现我们的设备，并在愿意的时候对其进行恶意攻击或连接。因此，在正常情况下，我们对后者设置的安全规则应该比前者更为严厉才行。

默认情况下，Win 7和Win 8系统对两者启用的规则是相同的，即它仅仅会阻止那些不在允许应用列表中的程序访问网络，而不会阻止那些已经在列表中的程序访问网络。此外，它也会允许所有由外部发起的主动连接访问本机，这就为外部入侵（如远程连接或木马、病毒攻击）创造了机会。所以如果我们当前处于较复杂的公用网络环境中，最好的方法是在图1所示的窗口中勾选“公用网络设置”栏中的“阻止所有传入连接包括位于允许应用列表中的应用”项，禁止所有外部连接主动连接到本机。当然，这也包括那些已经位于允许应用列表中的程序，如eMule和BitComet（比特彗星）等需要依靠访问我们所共享的数据，才能完成下载、加速的P2P软件。

在防火墙中查看允许访问网络的程序的方法很简单：

在图2所示的“Windows防火墙”窗口中，单击左侧的“允许应用或功能通过Windows防火墙”项，相应的列表即会出现。其中除了可查看到这些程序被允许访问的网络类型是“专用”还是“公用”外（如图3），还可通过在列表中选择某程序，然后单击“详细信息”按钮，在出现的对话框中查看到有关该程序的更详细的信息，比如名称和所在路径等（如图4）。

| Tips |

在Vista和XP等先前的Windows版本中，如果我们分别为专用网络和公用网络防火墙设置了不同的安全规则，并且当前的PC同时连接到了两个不同的网络，系统会默认使用最严格的那一个规则来使用所有连接。这就意味着，即使我们当前正在专用网络，也无法进行一些可能的网络访问，因为此时防火墙有可能在按照公用网络规则来限制网络访问。在Win 7、Server 2008 R2和Win 8中，这一现象得到改善。在这几个系统中，防火墙会智能地针对目前用户正在使用的网络类型来使用不同的规则，即对专用网络的连接使用专用网络规则，而对来自于公用网络的流量使用公用网络规则。

关于公用和专用网络类型的更改

无论是在Windows 7还是Windows 8系统，防火墙的设置窗口中，都无法找到有关更改网络类型的选项。这就出现了一个问题：有些朋友明明当前处于专用网络中，却会显示正在连接的是公用网络。实际上，这一问题的症结并不在于系统，而在于用户本身，这是因为在安装系统时，误将网络设置成了公用网络，或者虽然设置成了专用网络，但后来又禁用了网络共享功能的缘故。

默认情况下，Windows系统会将禁止了网络共享的网络设置为公用网络，以达到最佳的防护效果，其实如果我们想更改网络类型很容易，只需照下面的方法实行即可。

单击系统托盘区中的网络连接图标，打开右侧的Charms菜单，右击当前正在使用的网络连接，选择“启用或关闭共享”，然后在出现的菜单中选择“是，启用共享并连接到设备”项，即可将当前的公用网络更改为专用网络（如图5）。相反，如果我们的目的是要将专用网络更改为公用网络，只需在菜单中选择“否，不启用共享或连接到设备”项即可。

nlc202309011547

| Tips |

Win 7更改网络类型的方法略有不同，这里我们简单地讲一下。单击系统托盘区中的网络连接图标，打开“网络和共享中心”窗口，在右侧的“查看活动网络”项下，我们可以看到目前正在使用的网络连接及其所属的类型（如：家庭网络、工作网络和公用网络等），单击以蓝色文字显示的网络类型，打开“设置网络位置”对话框，然后按照自己的意愿选择更改即可（如图6）。

登堂入室之高级篇

防火墙的使用当然不止是使用默认设置那样简单。实际上，系统默认的设置安全系数并不高，为了让防火墙能发挥最大的作用，真正成为系统守护的守门神，我们还需要根据自己的需要，对其中一些规则进行更改。而要做到这一点，我们可以请Win 7和Win 8防火墙提供的高级功能来帮忙。

在图2所示的“Windows防火墙”窗口中，单击左侧的“高级设置”项，打开“高级安全Windows防火墙”窗口（如图7）。在这里，我们可以通过创建一些规则，来满足自己的某些需要。此处，为了让大家能更直观的了解规则的建立方法，我们将用实例的方式来进行讲解。

实例1：还我清净，屏蔽指定网页

小王是电信用户，每次当他在浏览器中输入不存在的网址时，都会得到由运营商提供的错误提示页面，同时所访问的网站会自动转到电信自家的114导航页面http：//daohang.114so.cn，非常烦人。因此小王决定动用Windows系统防火墙这柄利剑，将114导航页面彻底屏蔽于眼球之外。

第一步：按下“Win+R”组合键，打开“运行”对话框，输入“cmd”，回车，打开命令提示符窗口。输入“ping daohang.114so.cn”，回车，获得该网站的IP地址（如图8），记下它。

第二步：在图7所示的窗口左侧，单击“入站规则”项，然后在右侧的“操作/入站规则”栏中，单击“新建规则”项，打开“新建入站规则向导”对话框。在右侧的“要创建的规则类型”栏下选择“自定义”项，单击“下一步”按钮。

第三步：选择左侧的“作用域”，在右侧的“此规则应用于哪些本地IP地址”栏中选择“任何IP地址”项；“此规则应用于远程IP地址”栏中选择“下列IP地址”项，同时单击“添加”按钮，打开“IP地址”对话框，将刚才记下的114导航网页的IP地址输入到“此IP地址或子网”文本框中，单击“确定”按钮（如图9），将该地址添加到地址列表中，返回上级界面，单击“下一步”按钮。

第四步：在对话框右侧选择“阻止连接”项，然后选择左侧的“配置文件”项，在右侧选择所有可选项，单击“下一步”按钮（如图10）。为规则定个名字（如：电信骚扰），单击“完成”按钮。以后该IP的访问请求将被禁止，它自然也就不会出来烦人了。用同样的方法，我们可以将色情、暴力和自己不喜欢的网站添加到其中，以达到清静上网的目的。

实例2：阻止指定程序联网

除了网站之外，Windows防火墙也能轻松阻止指定的程序访问网络，比如假期期间，如果我们担心小孩子会因过度使用QQ而荒废学业，完全可用Windows防火墙阻止它连接到网络。

在图7所示的窗口左侧选择“出站规则”，单击“新建规则”项，打开相应的窗口，选择右侧的“自定义”项，然后在左侧选择“程序”项，单击“下一步”按钮。在接下来的窗口中，选择“此程序路径”项，同时单击其下的“浏览”按钮，打开“打开”对话框，选择程序路径为QQ可执行EXE文件（默认为“D：＼Program Files （x86）＼Tencent＼QQ＼Bin＼qq.exe”，其中D为程序所在分区盘符），单击“下一步”按钮，最后依次设置“操作”为“阻止连接”；“配置文件”为“域”、“专用”、“公用”；“名称”为“禁止QQ连接”，单击“完成”按钮，以后用户再想运行QQ时，就会受到防火墙的拦截，因而也就无法上网与他人聊天了。

用同样的方法，我们可以随意阻止任意的程序连接到网络，比如游戏、网络电视和在线音乐盒等。

实例3：只允许指定的程序联网

360和金山卫士等防火墙可以提供入口防御功能，拦截外来网络对本机的入侵。不过，现在木马黑客技术越来越高超，360的木马防火墙在很多时候还是无法保证系统的安全。灵活利用Windows防火墙的出站和入站可以打造出比360的木马防火墙更为安全的上网环境。比如我们可以设置只有特定程序才能联网（其他任何程序都无法联网，任何外来连接无法进入）的安全上网环境。

第一步：阻止所有程序联网。在图7所示的窗口右击左侧的“本地计算机上的高级安全Windows防火墙”项，在弹出的右键菜单中选择“属性”，打开相应的对话框，依次切换到“域配置文件”、“专用配置文件”和“公用配置文件”标签，分别对“状态”下的各项做以下设置：

设置完毕，单击“确定”按钮（如图11），返回“高级安全Windows防火墙”窗口。

第二步：放行系统两大应用。经过以上的设置，现在，本机已没有任何程序可以连接到网络了，同时，外部程序也无法连接到本机。接下来我们就可以根据自己的实际需要，设置可以联网的程序了。不过，在指定具体程序前，我们首先要设定规则，放行两大系统应用，使其能够联网，否则后面即使设置了允许联网的程序，这些程序也无法连接到网络。这两大应用包括System和DNS。

规则1：允许System联网

单击“出站规则”、“新建规则”项，打开“新建出站规则向导”窗口，依次选择或输入“程序/下一步/在此程序路径”文本框中输入”System”/下一步/允许连接”，然后设置规则“名称”为“允许System访问网络”，单击“完成”按钮。

规则2：允许DNS联网

DNS 是计算机域名系统（Domain Name System 或Domain Name Service）的缩写，其作用是将我们输入的域名解析成网络能够识别的IP地址，是上网冲浪的基础。

nlc202309011547

在“新建出站规则向导”窗口中，选择右侧的“自定义”项，单击“下一步”按钮，然后在接下来的向导界面中，照下面的方法进行设置（注意：每操作完一步都要单击“下一步”按钮）：

程序：在“此程序路径”文本框中输入“%System Root%＼System32＼Svchost.exe”；

协议和端口：“协议类型”设置为“UDP”；“本地端口”选择为“特定端口”，然后输入“1024-65535”；“远程端口”选择为“特定端口”并输入“53”（如图12）。

作用域：“此规则应用于哪些本地IP地址”和“此规则应用于哪些远程IP地址”皆选择“任何IP地址”；

操作：选择“允许连接”项；

配置文件：根据自己当前所处的网络环境，选择“公用”或“专用”；

名称：允许DNS联网。

第三步：放行其他应用。经过上述设置后，本机便已具备了基础的网络连接能力，下面，我们只需将要允许其联网的程序添加到放行行列当中即可。以允许IE浏览器联网为例。

用与上面相同的方法新建一条自定义的出站规则，然后依次进行如下设置：

程序：在“此程序路径”文本框中输入“%Program Files%＼Internet Explorer＼iexplore.exe”；

协议和端口：“协议类型”设置为“TCP”；“本地端口”选择为“特定端口”，然后输入“1024-65535”；“远程端口”选择为“特定端口”并输入“80”。

作用域：“此规则应用于哪些本地IP地址”和“此规则应用于哪些远程IP地址”皆选择“任何IP地址”；

操作：选择“允许连接”项；

配置文件：根据自己当前所处的网络环境，选择“公用”或“专用”。

名称：允许IE联网。

设置上述规则后，本机中的IE浏览器就可以上网了。最后，用类似的方法，设置好其他允许联网的程序即可。如此一来，以后我们的PC就只有自己允许的程序可以联网了。至于其他黑客、木马，由于本机中并没有开放其他端口，即使中了招也无法实现外部连接，所以极大地提高了本机的安全性。

| Tips |

如果你不知道某应用程序对应的端口号，可使用“端口查看器”这款工具进行查看，由于该工具用法简单，此处就不再赘述了。

Windows防火墙 第4篇

1. 配置/etc/sysconfig.network-scripts/ifcfg-eth0 和 ifcfg-eth1,

一般地，eth0为防火墙的外部接口网卡，eth1为内部的网卡接口，设置默认网关为连接防火墙的路由器的以太网口地址，若你原先设过默认网关，你也可以在/etc/rc.d/rc.local中手动设置,使得启动后自动执行更改操作，如你的外部接口网卡的永久IP地址为a.b.c.d, 原先设的默认网关为192.168.11.1，

下面是我的/etc/rc.d/rc.local文件:

echo 1 〉 /proc/sys/net/ipv4/ip_forward

/sbin/route del default gw 192.168.11.1

/sbin/route add default gw a.b.c.d

/sbin/modprobe ip_masq_ftp

/sbin/modprobe ip_masq_irc

/sbin/modprobe ip_masq_raudio

/sbin/modprobe ip_masq_vdolive

/etc/rc.d/firewall.rules

2. 安装系统时，选择尽可能少的包（安装越少的包越安全），完成后，配置/etc/inetd.conf，仅仅启用FTP和Telnet服务，便于内部维护，但同时配置/etc/hosts.allow,/etc/hosts.deny，仅允许从内部网卡的几台指定机器使用telnet/ftp服务,且加ALL:ALL 到/etc/hosts.deny，禁止所有的其它服务。

3.创建尽可能少的必需的帐号，启用shadow password,使获得根口令更加困难；并从updates.redhat.com 站点升级内核，且修补所有有安全漏洞的包。

4.下面是我的/etc/rc.d/firewall.rules (需要有执行权限）

[root@sh-proxy network-scripts]# more /etc/rc.d/firewall.rules

#!/bin/sh

echo “Starting firewall rules...”

#清除先前的所有防火墙规则

# refresh all firewall rules

/sbin/ipfwadm -F -f

/sbin/ipfwadm -I -f

/sbin/ipfwadm -O -f

#默认拒绝所有的进入（I），外出（O）和转发（F）包

# setup default firewall rules

/sbin/ipfwadm -F -p deny

/sbin/ipfwadm -I -p deny

/sbin/ipfwadm -O -p deny

#设定防火墙外部网卡接口的永久IP地址

ISP_IP=a.b.c.d

#接受所有在本地环路接口上的进出包

# setup Loopback interface

/sbin/ipfwadm -I -a aclearcase/“ target=”_blank“ >ccept -W lo

/sbin/ipfwadm -O -a accept -W lo

#允许内部网段所有用户随意进出防火墙的内部网卡接口

# allow all internal traffic

/sbin/ipfwadm -I -a accept -W eth1 -S 192.168.11.0/24

/sbin/ipfwadm -O -a accept -W eth1 -D 192.168.11.0/24

# 阻止任何的IP包欺骗，看下面的各个规则

# disabling IP spoof

#阻止任何C类保留地址从防火墙外部接口进出

/sbin/ipfwadm -I -a deny -W eth0 -S 192.168.0.0/16

/sbin/ipfwadm -O -a deny -W eth0 -D 192.168.0.0/16

#阻止任何进出防火墙外部接口的包宣称是来自它本身

/sbin/ipfwadm -I -a deny -W eth0 -S $ISP_IP/32

/sbin/ipfwadm -O -a deny -W eth0 -D $ISP_IP/32

#阻止任何外部世界直接与防火墙内部网段直接通讯

/sbin/ipfwadm -I -a deny -W eth0 -D 192.168.0.0/16

/sbin/ipfwadm -O -a deny -W eth0 -S 192.168.0.0/16

#阻止任何包宣称是或来自本地环路接口

#refuse packets claiming to be to or from the loopback interface

/sbin/ipfwadm -I -a deny -W eth0 -S 127.0.0.0/8

/sbin/ipfwadm -I -a deny -W eth0 -D 127.0.0.0/8

/sbin/ipfwadm -O -a deny -W eth0 -S 127.0.0.0/8

/sbin/ipfwadm -O -a deny -W eth0 -D 127.0.0.0/8

#禁止任何来自外部的广播包，不论是去往哪里

#refuse broadcast address source packets

/sbin/ipfwadm -I -a deny -W eth0 -S 255.255.255.255

/sbin/ipfwadm -I -a deny -W eth0 -D 0.0.0.0

#refuse multicast/anycast/broadcast address

/sbin/ipfwadm -I -a deny -W eth0 -S 240.0.0.0/3

#转发在内部网段内的经过防火墙内部接口的包

#forwarding all internal traffic

/sbin/ipfwadm -F -a accept -W eth1 -S 192.168.11.0/24 -D 192.168.11.0/24

#设置IP伪装规则，允许部分机器经过防火墙时进行伪装

#setup IP Masquerading rules

/sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.11/32

/sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.12/32

/sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.13/32

#阻止以ICMP协议从外部世界进行攻击

#prevent denial of service attacks based on ICMP bombs

/sbin/ipfwadm -I -a accept -P icmp -W eth0 -S any/0 0 3 4 11 12 -D $ISP_IP/32

/sbin/ipfwadm -O -a accept -P icmp -W eth0 -S $ISP_IP/32 3 4 8 12 -D 0.0.0.0/0

#允许内部用户通过防火墙访问外部HTTP服务器

#http client (80)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 80 -D $ISP_IP/32 1024:6553

5

#允许内部用户通过防火墙防问外部HTTPS服务器

#https client (443)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 443 -D $ISP_IP/32 1024:655

35

#允许内部用户通过防火墙从外部POP3服务器收信

#pop3 client (110)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 110 -D $ISP_IP/32 1024:655

35

#允许内部用户通过防火墙防问外部FTP服务器

#ftp client (20 , 21)

#response to ougoing request

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 21 -D $ISP_IP/32 1024:6553

5

#normal mode data channel

/sbin/ipfwadm -I -a accept -P tcp -W eth0 -S any/0 20 -D $ISP_IP/32 1024:65535

#passive mode data channel responses

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 1

024:65535

#允许内部用户通过防火墙向外部SMTP服务器发信

#smtp client (25)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 25 -D $ISP_IP/

32 1024:65535

#允许内部用户把DNS设成外部互联网上的DNS服务器

#DNS client (53)

/sbin/ipfwadm -I -a accept -P udp -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/32

1024:65535

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/

32 1024:65535

#允许内部用户能访问互联网上的聊天室

#IRC client (6667)

/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 6667 -D $ISP_IP/32 1024:65

535

#允许内部用户能使用Realplay

#RealAudio client

#/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32

554 7070 7071

#udp is the preferred method

#/sbin/ipfwadm -I -a accept -P udp -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 697

0:7170

#允许防火墙运行xntpd与互联网上的时钟进行时钟同步

#NTP time clients (123)

/sbin/ipfwadm -I -a accept -P udp -W eth0 -S tock.usno.navy.mil 123 -D $ISP_IP/3

2 1024:65535

#允许内部用户可使用ICQ

#ICQ client (4000)

/sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_I

P/32 1024:65535

/sbin/ipfwadm -I -a accept -P tcp -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/3

2 1024:65535

#允许所有的包能从防火墙外部接口输出

# allow all packets from external interface to output to outside world

/sbin/ipfwadm -O -a accept -W eth0 -S $ISP_IP/32

echo ”Done“

注：

1. 在ICQ的使用过程中，我发现我可能一天中要运行多次ICQ规则才能确保内部网中用户可每时每刻连到ICQ服务器，因此我建了一个crontab 工作象下面：

[root@sh-proxy rc.d]# crontab -e

15 7,8,15,16,20,22 * * * /usr/bin/icq

0 10 * * 1,2,3,4,5 /etc/rc.d/init.d/xntpd restart

0,20,40 * * * * /bin/sync

[root@sh-proxy rc.d]# more /usr/bin/icq

#!/bin/sh

ISP_IP=a.b.c.d

/sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com

4000 -D $ISP_IP/32 1024:65535

/sbin/ipfwadm -I -a accept -P tcp -b -W eth0 -S icq.mirabilis.com

4000 -D $ISP_IP/32 1024:65535

2.本文的重点在于如何访止来自从互联网对防火墙的攻击，不能很好有效地防止来自内部网络中用户的攻击，如需要设置，可根据自己的公司环境设置，

3.本文设定防火墙所采用的工具为ipfwadm，对于Redhat 6.0或任何2.2内核的用户，请使用ipchains。

4.本文允许了许多服务，象Realplay,NTP,ICQ,SMTP,POP3,当然服务越多，安全性越差，可根据需要裁减。

大家都很熟悉，但是有些特殊情况下，你可能需要让一台Linux机器也做为pop3代理服务器，代理客户端从互联网上接收邮件，并传送邮件给客户工作站。

作用： 也许这种服务对于专线连到ISP的用户更适合，在有的公司的内部网中，你需要从外部世界收信，可能你不能直接与外部世界通信， 但你能很容易地访问到你的防火墙机器，这时，在防火墙机器上安装pop3代理就起到了一种不可替代的作用。

软硬件环境： Redhat Linux 5.2，TIS通用防火墙代理服务程序plug-gw (本地下载），实现方法：

1. 安装pop3代理非常简单，你仅需要下载上面提到的一个很小的程序plug-gw即可，请下载后放入/usr/local/etc目录下(需要执行权限）

2. 这里假设你需要代理互联网上两个邮件服务器，一个是public.sta.net.cn,另一个是pop3.163.net，（若你设置了防火墙相关规则，请确保其外部接口至少能与上面提到的两个邮件服务器通信，可参见另一篇关于防火墙的文章）

3. 在/usr/local/etc目录下创建存取表文件netperm-table,象下面这样：

[root@sh-proxy etc]# more netperm-table

plug-gw: port 110 192.168.13.* -plug-to public.sta.net.cn -port 110

plug-gw: port 114 192.168.13.21 -plug-to pop3.163.net -port 110

[root@sh-proxy etc]# ls -l

total 24

-rwxrwxr-x 1 root root 314 Sep 14 17:58 netperm-table

-r-xr-xr-x 1 root root 22489 Dec 31 plug-gw

注：第一行允许192.168.13.0网段上任何机器可使用该代理服务器接收public.sta.net.cn上的邮件。

第二行仅允许一台机器 192.168.13.21可使用该代理服务器接收

pop3.163.net上的邮件。

4. 修改/etc/services，加下面的一行：

pop3proxy 114/tcp

5. 在命令行下运行两句程序，也可加入到/etc/rc.d/rc.local的最后，使得每次启动时装载:

# /usr/local/etc/plug-gw -daemon pop3 pop3 &

# /usr/local/etc/plug-gw -daemon pop3proxy pop3proxy &

注： 请确信/etc/services中存在一行 pop3 110/tcp ,若前面的名字

不是pop3，而是其它的如pop-3等，那么或者更新为pop3 110/tcp，或者运行

/usr/local/etc/plug-gw -daemon pop-3 pop-3 &

6. 若你在windows客户端用outlook express收发邮件，若从public.sta.net.cn收信，仅需改pop3服务器为你的防火墙即可，若从pop3.163.net收信，你还得更改标准pop3端口号为 114,而不是 110.