本页内容
 |
简介 |
|
准备工作 |
|
决定哪一台计算机需要保护 |
|
识别必须保持开放的端口 |
|
启用 ICF |
|
打开端口 |
|
启用安全日志 |
|
相关信息 |
简介
Internet 上的恶意用户或者攻击者通过制作蠕虫和病毒,来获取或破坏有价值的数据,并试图通过运行一些工具来侵入计算机。为了实现上述目的,这些工具、病毒、蠕虫向客户计算机上各种程序用来接收合法消息的端口发送消息。如果恶意代码能够在特定的端口建立联系,它就可以进入计算机。为了限制这种安全威胁,可以启用防火墙软件,它能够阻塞除特意开放的端口之外的所有端口。Internet 联接防火墙(ICF)是 Microsoft® Windows XP® 提供的防火墙软件。
本文档中的步骤演示了如何进行以下操作:
|
1. |
决定哪一台计算机需要保护 |
|
2. |
标识必须保持打开的端口 |
|
3. |
启用 ICF |
|
4. |
开放其他必要的端口 |
|
5. |
启用必要的安全日志 |
您可以使用本文档中的下列步骤,通过启用并配置 ICF,来改变您的系统。其后, ICF 开始运行,并可以防止计算机对未经请求的消息作出响应。恶意代码会利用这些消息来传播,并破坏系统和资料。
要点:该文档中所含的指导步骤都是从安装操作系统时的默认情况下显示的“开始”菜单开始的。如果您修改过“开始”菜单,则上述步骤可能稍有不同。
准备工作
本部分说明在启用 ICF 之前应当进行什么操作:
| • |
验证操作系统和服务包 |
| • |
理解为什么应用程序要用端口 |
| • |
在部署 ICF 之前在客户端上测试 ICF |
| • |
故障排除 |
验证操作系统和服务包
此文档中的建议主要适用于运行带有 Service Pack 1 (SP1) 或者 SP1(a) 的 Windows XP Professional 的系统。如果制定计算机上没有安装 SP1 或者 SP1a,或您不知道是否已安装,您可以访问 Microsoft 网站 Windows Update 页,其网址为:http://go.microsoft.com/fwlink/?LinkID=22630,然后用“Windows Update”扫描计算机,来寻找可用的更新。如果 SP1 显示为可用的更新,则请在继续进行此文档中的过程之前,安装 SP1。
本指南不适用于大型企业可能需要的多种不同需求和配置。此外,本指南可能不能完全适用于某些组织的特定安全需求。
本指南中的大部分任务也适用于运行 Microsoft Windows Server 2003 的计算机,但是在服务器上启用 ICF 通常需要更多的研究和疑难解答,这些超出了本指南的范围。
早于 Windows XP 的 Windows 版本不包括 ICF。为了保护系统,应使用硬件或者软件防火墙。为了了解更多的其他公司制造的软件防火墙、硬件防火墙和网络路由器,以及为您的计算机选择防火墙的更多信息,参见 Microsoft 网站 Install a firewall to help protect your computer(英文),其网址为:http://go.microsoft.com/fwlink/?LinkID=22496。
了解应用程序为什么要使用端口
端口是程序用来与其他程序(特别是其他计算机上的程序)通信的连接点。每个端口都是一个传输和一个号码的组合。传输可是传输控制协议 (TCP) 或用户数据报协议 (UDP)。特定的端口关联每一种类型的应用程序或服务。例如,Web 服务器的标准端口是 TCP 端口 80 ,文件传输协议 (FTP) 服务器的标准端口是 TCP 端口 21,提供文件和打印共享的 Windows 服务器服务通过 4 个端口接收信息: UDP 端口 137 和 138,TCP 端口 139 和 445。
当您启用 ICF 时,默认情况下将阻止所有端口接收未经请求的传入消息。这保护了您的计算机,因为阻止了恶意代码常用来访问您的计算机的消息。ICF 不妨碍绝大部分的合法商业软件,因为按照通常的规则,这些软件不给客户端发送未经请求的消息。但是,上述规则也有例外,如果 ICF 阻止了合法的通信,则您需要配置 ICF,打开合法软件使用的端口。
多数服务都使用一个或更多个特定端口,但是一些服务和许多应用程序也会因应用程序的不同而在一定范围内随机挑选一个或多个端口。如果这样的应用程序被设计为通知 ICF 它所选取的端口,则应用程序就可以与 ICF 共同工作。否则,您通常必须选择运行该应用程序或是 ICF,但是不能同时运行两者。尽管开放应用程序范围中的各个端口是可能的,但是打开一个包括超过一定数量的端口数的范围通常是不切实际的。即使上述做法容易实现,通常也不是明智的决定,这是因为增加开放端口的范围通常会降低计算机的安全性。
在配置 ICF 之前在客户端上测试 ICF
在所有的客户端计算机上启用 ICF 之前,应当使用您的网络环境中的典型应用程序测试 ICF,这一点很重要。应当在每台客户端计算机上分别启用 ICF,同时,如果必须配置 ICF,应当在每台客户端计算机上单独进行配置。假如在 50 台客户端计算机上启用 ICF 之前没有进行测试,并且发生了一个影响所有客户端的问题,唯一的解决方案是重新单独配置每一台计算机。
故障排除
ICF 应在客户端计算机上,通常不干扰商业软件的运行,但是一旦发生冲突,故障排查就很复杂,因为问题和解决方法通常取决于运行在客户端上软件的组合。因此,故障排查超出了本文档的范围。为了得到更多的关于 ICF 故障排查的信息,参见 Microsoft 网站上的 Troubleshooting Internet Connection Firewall on Microsoft Windows XP(英文),其网址为:http://go.microsoft.com/fwlink/?LinkId=22499。
决定哪一台计算机需要保护
推荐您在所有的客户端计算机上启用 ICF,包括只连接到组织网络的台式计算机。绝大多数组织网络包括用来屏蔽网络与 Internet 之间每一个连接的硬件或软件防火墙,这种情况下,在网络客户端上启用防火墙看起来是多余的。但是,恶意代码通过感染没有受保护并直接连接到 Internet 的移动计算机,就能够绕过网络防火墙,然后连接到组织网络上。通过启用客户端计算机上的 ICF,有助于限制恶意代码传播入网络并破坏系统的能力。
遭受攻击危险性最大的客户端是那些直接连接到 Internet 的客户端,特别是便携机之类的移动设备。如果选择只保护客户端计算机的子集,建议要保护移动设备。
应当考虑在服务器计算机上启用 ICF,但要意识到下面的复杂性:
| • |
防火墙干扰服务器软件的可能性大大高于客户端软件,这是因为服务器软件的目的在于接收未经请求的传入消息。 |
| • |
如果防火墙干扰了服务器软件,所产生的问题将更加难以排除。 |
| • |
发生在防火墙和服务器软件之间的每一次冲突可能会影响大量的客户端。 |
防火墙和服务器软件之间冲突的一个例子是应用程序需要被防火墙阻止的端口,本文档稍后将对此进行描述。
识别必须保持开放的端口
为了使 ICF 干扰合法软件的可能性降低到最小,应当在启用 ICF 之前识别必须保持开放的端口。ICF 用户界面上列出了最经常需要访问端口的程序,您不必研究每一个程序用到的端口就可以按名称直接选择它们。
| • |
FTP 服务器 |
| • |
使用 IMAP3、IMAP4、SMTP 或者 POP3 的电子邮件服务器。 |
| • |
远程桌面 |
| • |
标准和安全的 Web 服务器 |
| • |
Telnet 服务器 |
其他需要打开端口的最常见程序是:
| • |
Internet 文件共享或音乐共享软件。 |
| • |
多人游戏。 |
| • |
出现情况时需要依靠服务器来通知客户端的商业软件。当有新的邮件到达时,电子邮件服务器一般会通知客户端,一些电子邮件服务器通过向客户端发送消息来通知客户端。当特定的数据库字段改变时,数据库服务器能够通知客户端。 |
| • |
允许客户端计算机充当服务器的对等功能和应用程序。Windows XP 计算机可与其他客户端共享文件和打印机,这需要计算机能够接收传入消息。即时消息客户端能够互相发送文件,这需要接收未经请求的消息。 |
以下资源中列出了多数程序及其使用的端口:
| • |
参考:安全指南工具包中的主要 Microsoft 服务器产品所用的网络端口。 |
| • |
Microsoft 网站上的 832017: Services that run on Windows Server 2003(英文),其网址为 http://go.microsoft.com/fwlink/?LinkId=22498。 |
| • |
Microsoft 网站上的 How to Open Ports in the Windows XP Internet Connection Firewall(英文),其网址为:http://go.microsoft.com/fwlink/?LinkId=22497。 |
| • |
Internet 分配号码组织网站上的 Application Media-Types(英文),其网址为:http://go.microsoft.com/fwlink/?LinkId=22654。 |
如果文章中的信息没有标明您需要开放哪一个端口,请联系生产商。
启用 ICF
在运行着 Windows XP SP1 的客户端计算机上执行下列过程来启用 ICF。
注意:此文档中的屏幕拍图反映的是测试环境,可能不同于您的计算机上的所显示的信息。
要求
| • |
凭据:您必须作为本地 Administrators 组的成员登录。 |
| • |
工具:控制面板。 |
| • |
启用 ICF
|
打开端口
启用 ICF 之后,执行下列过程来打开合法软件使用的端口。必须知道传输(UDP 或 TCP)和想要打开的端口的端口号。要得到这些信息,请执行此文档的前面的“识别必须保持开放的端口”中的任务。
要求
| • |
凭据:您必须作为本地 Administrators 组的成员登录。 |
| • |
工具:控制面板。 |
| • |
打开一个端口
|
启用安全日志
在启用 ICF 后,您可以启用安全日志来记录 ICF 管理的返回消息。上述信息可能帮助 ICF 专家查找 ICF 的故障,或分析对计算机的攻击。
要求
| • |
凭据:您必须作为本地 Administrators 组的成员登录。 |
| • |
工具:控制面板。 |
| • |
启用安全日志
|
相关信息
有关打开端口的更多信息,请参阅下列站点:
| • |
安全指南工具包中的“参考:主要 Microsoft 产品使用的网络端口”。 |
| • |
Microsoft 网站上的 How to Open Ports in the Windows XP Internet Connection Firewall(英文),其网址为:http://go.microsoft.com/fwlink/?LinkId=22497。 |
有关防火墙的更多常规信息,请参见下列站点:
| • |
Microsoft 网站上的 Install a firewall to help protect your computer(英文),其网址为:http://go.microsoft.com/fwlink/?LinkId=22496。 |
| • |
Microsoft 网站上的 Internet Connection Firewall Feature Overview(英文),其网址为:http://go.microsoft.com/fwlink/?LinkId=20927。 |