科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用Vista后,还需要第三方防火墙吗?

用Vista后,还需要第三方防火墙吗?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

早在Windows 2000系统的扩展工具包中就出现了ICF(Internet Connection Firewall)工具,通过它可以配置网络数据包的传入规则,但是在Windows 2000中这个ICF工具没有内置到系统中。这样我们就可以实现基于安全协议与非安全协议连接网络时应用不同过滤规则的功能了。

来源:中国网管联盟 2008年4月4日

关键字: Vista

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

双向过滤:没人敢说不专业

  技术点评:Vista防火墙引入的双模式是针对不同用户群的,其中简单模式是方便普通用户使用和配置防火墙的,而高级模式则是给那些对安全要求比较高或者对网络访问流量要求比较苛刻,需要自己定义详细规则的用户。在高级模式下用户可以对防火墙的具体规则进行详细的设置。例如针对某个程序,某个端口以及某个IP地址段进行规则设置。高级模式是Vista防火墙的精华所在,它已具备第三方专业防火墙软件应有的功能。 二、双向过滤:没人敢说不专业

  除了上面提到的双模式特色外,在Vista系统防火墙中还首次引入了双向过滤的功能。这也是专业级防火墙的基本特征。 这种双向过滤功能只存在于高级模式中,要设置双向过滤首先要进入Vista防火墙的高级模式。在高级模式中我们会看到对应的“出站规则”和“入站规则”选项,其中“入站”是针对外界到本机的数据包进行的过滤规则,而“出站”则是针对本机到外界的数据包进行过滤规则。“出站”方向的过滤在以往的Windows防火墙中是没有的(见图3)。我们还可以像设置“入站规则”一样针对某个程序、某个端口以及某个IP地址段在“出站”规则方面进行设置。

  

  小提示:所谓入站和出站都是针对网络数据流向而言的,入站就是网络数据包从外界传输到本机系统的方向,相应的出站就是网络数据包从系统向外部网络传输的方向。

  要知道在以往的系统防火墙中,不管是ICF还是XP SP2的防火墙甚至是Windows Server 2003的防火墙都是基于单方向过滤规则进行设置的,所谓单方向就是指防火墙只能够对从外界到本机的数据包进行过滤,而无法对从本机发送到外界的数据包添加任何过滤规则。

  这种单向过滤的特点使得一旦本机系统因为某种原因感染病毒或木马,那么系统防火墙将对这些发自于系统内部的非法连接和非法传播没有任何办法。特别是当系统感染蠕虫病毒后,会发送很多个会话连接进行传播时,单向防火墙将对这种从内到外的数据视而不见,最终造成防火墙在“内鬼”面前形同虚设。所以说这种单向过滤的特点造成了以前版本的防火墙无法得到用户认同,无法保证系统的真正安全,很多用户都无奈地选择安装另外一款防火墙来抵御攻击。

  不过这种问题在Vista防火墙高级模式中的双向过滤功能下迎刃而解,我们可以禁止非法程序“出站”访问,这样即使本机即使感染了病毒也能够将病毒对本机和网络的危害降到最低。

  技术点评:Vista防火墙的双向过滤功能实际上相当于将其传统防火墙的功能提高了一倍,在安全防范和抵御病毒入侵方面表现得更加出众,正是因为这种双向过滤使得Vista防火墙成为了真正的专业防火墙。

  三、多场合功能:将专业功能智能化

  除了双模式和双向过滤功能外,Vista防火墙还提出了“防火墙应用的多场合”概念。这个功能大大提高了Vista墙的智能化,可以在不同场合帮助用户应用不同级别的过滤规则。所有规则切换都是自动完成的。这种“防火墙应用的多场合”概念同样需要我们到“高级模式”中进行设置才能体现。

  1.安全协议连接与非安全协议连接规则的自动切换

  在高级模式设置规则中我们会看到在“连接符合指定条件时应该进行什么操作”设置时可以选择该规则应用的场合。例如当网络使用IPSEC等安全的协议连接时,可以设置为对这些程序如何操作或者不管什么情况都阻止该程序的数据通过防火墙,也可以设置“容许连接”让这些程序可以顺利通过防火墙的过滤。这样我们就可以实现基于安全协议与非安全协议连接网络时应用不同过滤规则的功能了。

  小提示:所谓IPSEC安全协议连接是指通过专门的IPSEC协议或者基于IPSEC的VPN加密传输机制来实现网络数据包的加密传输,通过IPSEC安全协议加密过的网络连接更加安全,可以让我们更放心大胆地使用网络。

  2.不同网络状态规则的自动切换

  在高级模式设置规则中我们会看到在“何时应用该规则”时有多个网络环境提供给我们选择,依次是域网络、专用网络和公用网络。这三种网络环境的共享标准是不同的,需要我们单独设置。而在防火墙中也可以让我们实现在不同网络环境下的规则自动切换功能,总之通过此功能可以将一道防火墙当三道来用,每种网络环境有各自的安全规则。

  传统的防火墙无法对不同的网络环境与连接类型采用进行规则的单独设置,这就造成了用户使用的笔记本电脑在家中访问公网和单位访问私网采用的过滤规则相同的问题,在单位设置好过滤规则后回到家中却忘记了修改设置,从而造成在公网访问下容易被病毒等恶意程序入侵的问题。

  Vista防火墙这种对不同网络环境和连接类型可以自动采用不同规则的功能更加人性化,可以使用户的笔记本电脑从单位回到家中访问公网时实现规则的自动切换,将原本应用于单位私网访问的安全规则更换为应用于家中公网访问的安全规则。

  技术点评:不同场合自动切换不同规则是Vista防火墙的一大特点,所有更换过滤规则的操作都是在用户没有干预的情况下自动完成的,从而提高了系统的安全性,免去了用户频繁修改防火墙设置的繁琐工作。

  四、专家总结

  从本文中我们可以看出Vista防火墙在功能和设置上和以往Windows系统的防火墙有很大差别的。两种模式的引入方便了用户设置;双向过滤功能的引入让系统防火墙以一敌二;多场合自动切换过滤规则的功能又让我们的防火墙可以以一当三,从某种意义上我们不得不佩服微软的技术,通过几项改进让原本无法担当重任的系统防火墙瞬间成为了安全防护的卫士,如今的Vista防火墙名正言顺的变成了“铜墙铁壁”。

  预测:“Vista服务器版”将采用新型防火墙

  不管怎么说Vista防火墙的大幅度改进是有目共睹的,从Vista防火墙的特点我们可以看出微软防火墙未来的发展趋势。首先是将用户分开,未来微软防火墙会更加体现多模式的特点,将用户分成多个级别,从普通到专业,针对不同级别的用户提供不同功能的防护。另外还将继续发挥人性化设置,引入更多方便用户的特色,提供更多的自动设置功能。另外,我们认为未来将要发布的与Vista对应的服务器版操作系统也将采用在功能上和Vista系统十分类似的防火墙;就好比XP SP2和Windows Server 2003使用同一功能的防火墙一样。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章