探索WindowsVista防火墻

如果回到過去的計(jì)算時(shí)代，沒有人會(huì)考慮在單獨(dú)的計(jì)算機(jī)上安裝防火墻。誰需要這么做呢?很少有人聽說過 Internet，TCP/IP 并不存在，LAN 協(xié)議不會(huì)在您的房子或校園上方傳送。重要的數(shù)據(jù)都保存在大型機(jī)或文件服務(wù)器 — 人們保留在他們臺(tái)式計(jì)算機(jī)上的信息很少會(huì)是關(guān)鍵性的，計(jì)算機(jī)自身的重量也一定程度上確保了相當(dāng)?shù)奈锢戆踩?。如果存在?Internet 的連接，那么中間很可能有一些協(xié)議轉(zhuǎn)換器，在網(wǎng)絡(luò)邊緣還可能有數(shù)據(jù)包篩選路由器(即“防火墻”)，而且很可能配置了太多的規(guī)則和異常處理。
    現(xiàn)代的計(jì)算環(huán)境和這樣的過去年代差別很大。每個(gè)設(shè)備都連接到 Internet(而且現(xiàn)在都用 TCP/IP 通信)，并且便攜式設(shè)備是當(dāng)前的標(biāo)準(zhǔn)。您的雇主很可能給您配了一臺(tái)便攜式計(jì)算機(jī)，這并不是因?yàn)樗麄冴P(guān)心您，而是因?yàn)樗麄兿Ｍ嘧鳇c(diǎn)貢獻(xiàn) — 他們非常希望您一旦有了五分鐘的空閑，就可以隨時(shí)隨地通過 Wi-Fi 連接工作。便攜式計(jì)算機(jī)也許比臺(tái)式計(jì)算機(jī)昂貴，但是通過生產(chǎn)力的提高，這筆投資肯定得到了回報(bào)。您看，便攜性是如此誘人 — 無論是對(duì)您還是對(duì)您的對(duì)手都是如此。
    回想一下：在您的便攜式計(jì)算機(jī)開機(jī)并連接到某個(gè)網(wǎng)絡(luò)的總時(shí)間里，有多大比例是連接到您公司的網(wǎng)絡(luò)?如果您的情況和我類似，也許最多是百分之二十。也就是說，只有百分之二十的時(shí)間里，我的便攜式計(jì)算機(jī)安全地處在 Microsoft 的公司網(wǎng)絡(luò)之內(nèi)，受到網(wǎng)絡(luò)外圍防護(hù)的保護(hù)，以免遭到外部攻擊。但是在百分之八十的時(shí)間里，我的便攜式計(jì)算機(jī)因各種實(shí)際需要而直接連接到 Internet，這會(huì)怎么樣?(而且，我相當(dāng)頻繁地連接到世界上最危險(xiǎn)的網(wǎng)絡(luò)：計(jì)算機(jī)安全會(huì)議所在旅館的 LAN!)當(dāng)我在那些場合連接到公司網(wǎng)絡(luò)時(shí)，該環(huán)境內(nèi)的其他計(jì)算機(jī)又會(huì)給我?guī)硎裁礃拥耐{?
    安全控制不斷發(fā)展以應(yīng)對(duì)威脅，但有時(shí)候遠(yuǎn)遠(yuǎn)落在后面。病毒曾經(jīng)是客戶端的問題，原因是人們相互交換軟盤，所以防病毒程序首先出現(xiàn)在客戶端。此后，隨著電子郵件得到廣泛使用以及惡意軟件逐漸演變?yōu)橐揽侩娮余]件傳播的蠕蟲，反惡意軟件的程序開始發(fā)展并出現(xiàn)在電子郵件網(wǎng)關(guān)上。隨著 Web 的興起，惡意軟件逐漸演變?yōu)槟抉R，反惡意軟件工具隨之出現(xiàn)在 Internet 訪問代理服務(wù)器上。這是一個(gè)廣為了解的發(fā)展過程，沒有人對(duì)此有異議。
    現(xiàn)在讓我們把同樣的邏輯用到防火墻上。雖然您網(wǎng)絡(luò)邊緣的防火墻足以抵御原先的威脅，但現(xiàn)在的威脅已不同以往，它們更加復(fù)雜，更加普遍。更不用說現(xiàn)在的設(shè)備和工作方式都與過去大相徑庭。許多計(jì)算機(jī)在本地保存敏感的信息，而且在大量的時(shí)間里它們都處在公司網(wǎng)絡(luò)之外(也就是說，在防護(hù)邊緣之外)。因此，防火墻必須演化成單個(gè)客戶端的保護(hù)機(jī)制。沒錯(cuò)：客戶端防火墻不再是可有可無的。為了在公司網(wǎng)絡(luò)和 Internet 中保護(hù)您的計(jì)算機(jī)，客戶端防火墻是必需的。
    客戶端防火墻和安全性表演
    許多人沒有意識(shí)到最初發(fā)布的 Windows? XP 包括一個(gè)客戶端防火墻。這并不讓人意外，因?yàn)槟J(rèn)情況下該防火墻是關(guān)閉的，而且需要很多操作才能打開。這個(gè)防火墻的登臺(tái)多少有點(diǎn)遮遮掩掩，沒有任何對(duì)真正用途的說明或者使用指導(dǎo)。但是它的確有效。如果您開啟了該防火墻，它可能已經(jīng)使您免受 Nimda 、Slammer、Blaster、Sasser 以及網(wǎng)絡(luò)端口上未經(jīng)請(qǐng)求的通信之害。在認(rèn)識(shí)到保護(hù)客戶端的重要性之后，Windows XP Service Pack 2 (SP2) 在默認(rèn)情況下啟動(dòng)了防火墻，創(chuàng)建了兩個(gè)配置文件(Internet 和公司網(wǎng))，并允許啟用組策略。
    遺憾的是，采用 Windows XP SP2 防火墻有兩個(gè)障礙：關(guān)于應(yīng)用程序的顧慮和安全性表演。許多人擔(dān)心防火墻會(huì)使他們的應(yīng)用程序無法正常工作。但這種情況很少出現(xiàn)，原因在于防火墻的設(shè)計(jì)。防火墻允許所有出站通信離開您的計(jì)算機(jī)，但是阻止所有不屬于對(duì)先前出站請(qǐng)求進(jìn)行應(yīng)答的入站通信。此設(shè)計(jì)給客戶端應(yīng)用程序造成麻煩的情形是，應(yīng)用程序創(chuàng)建了一個(gè)偵聽的套接字并期待接收入站請(qǐng)求。Windows XP 防火墻允許為程序或端口進(jìn)行簡單的異常情況配置(但遺憾的是，這不是通過組策略)。
    更大的阻礙是其他客戶端防火墻生產(chǎn)商所做的安全性表演。有些人相信 Windows XP 防火墻的設(shè)計(jì)(即允許所有的出站通信不受阻礙地離開)對(duì)于客戶端防火墻來說功能上是不夠的。這種觀點(diǎn)認(rèn)為，一個(gè)能夠勝任的客戶端防火墻應(yīng)該阻止所有未經(jīng)用戶專門許可的通信，不論是入站還是出站。
    現(xiàn)在，讓我們認(rèn)真考慮一下這種觀點(diǎn)。現(xiàn)在出現(xiàn)了兩種情形：
    如果您以本地管理員身份運(yùn)行，而又感染了惡意軟件，該惡意軟件將直接使防火墻失效。您將徹底被打垮。
    如果您不是以本地管理員身份運(yùn)行，而您感染了惡意軟件，惡意軟件將導(dǎo)致一個(gè)第三方防火墻引發(fā)一個(gè)對(duì)話框，其中充滿了有關(guān)端口和 IP 地址的怪異文字，以及一個(gè)非常嚴(yán)肅的問題：“您要允許這些通過么?”當(dāng)然，的答案就是：“是的，您這個(gè)愚蠢的計(jì)算機(jī)，不要再騷擾我了!”一旦該對(duì)話框消失，您的安全性也就蕩然無存?；蛘撸Ｒ姷那闆r是，惡意軟件直接劫持了您已經(jīng)授權(quán)的現(xiàn)有程序會(huì)話，您甚至都無法看到該對(duì)話框。您再次被徹底打垮。
    您必須了解一個(gè)關(guān)于安全性的重要原則。保護(hù)措施針對(duì)的是您希望保護(hù)的資產(chǎn)，而不是您希望防備的東西。正確的方法是在您的企業(yè)內(nèi)每臺(tái)計(jì)算機(jī)上運(yùn)行精益但有效的 Windows 防火墻，以保護(hù)每一臺(tái)計(jì)算機(jī)免受世界上任何其他計(jì)算機(jī)的威脅。如果您試圖阻止一臺(tái)已經(jīng)被攻擊的計(jì)算機(jī)的出站連接，那么如何確保該計(jì)算機(jī)真的在按您的指示工作?答案是：您不能。出站保護(hù)是安全性表演 — 這是一個(gè)花招，只給您一個(gè)改善安全性的印象，但卻不做任何提高安全性的實(shí)質(zhì)工作。這就是為什么 Windows XP 防火墻中沒有出站保護(hù)，也是它為什么不存在于 Windows Vista? 防火墻中的原因。