個(gè)人防火墻技術(shù)的探討.doc

1 引言隨著網(wǎng)絡(luò)的開放性、共享性、互聯(lián)程度的擴(kuò)大，特別是因特網(wǎng)的出現(xiàn)，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大。網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，以及各種專用網(wǎng)的建設(shè)，使得網(wǎng)絡(luò)與信息系統(tǒng)的安全與保密問題顯得越來越重要。特別是隨著全球信息基礎(chǔ)設(shè)施和各國(guó)信息基礎(chǔ)設(shè)施的逐漸形成，國(guó)與國(guó)之間變得近在咫尺。網(wǎng)絡(luò)化、信息化已成為現(xiàn)代社會(huì)的一個(gè)重要特征，并已深入到國(guó)家的政治，軍事、經(jīng)濟(jì)、文教等諸多領(lǐng)域，許多重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息都通過網(wǎng)絡(luò)存儲(chǔ)、傳輸和處理。網(wǎng)絡(luò)信息本身就是時(shí)間、就是財(cái)富、就是生命、就是生產(chǎn)力。因此，難免會(huì)遭遇各種主動(dòng)或被動(dòng)的攻擊，例如信息泄露、信息竊取、數(shù)據(jù)纂改、數(shù)據(jù)刪除和計(jì)算機(jī)病毒等。因此，網(wǎng)絡(luò)安全已經(jīng)成為至關(guān)重要的問題。而防火墻是一種網(wǎng)絡(luò)安全保障技術(shù)，它用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性，決定外界的哪些用戶可以訪問內(nèi)部的哪些訪問，以及那些外部站點(diǎn)可以被內(nèi)部人訪問。現(xiàn)代信息技術(shù)的發(fā)展，各種應(yīng)用軟件的廣泛應(yīng)用以及Internet發(fā)展，人民對(duì)網(wǎng)絡(luò)信息及信息安全的要求越來越高，各種網(wǎng)絡(luò)病毒的侵襲使得我們的信息不安全，而防火墻是網(wǎng)絡(luò)安全的屏障，作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，它貫穿于受控網(wǎng)絡(luò)通信主干線，對(duì)通過受控干線的任何通信行為進(jìn)行安全處理，如控制、審計(jì)、報(bào)警、反應(yīng)等，同時(shí)也承擔(dān)著繁重的通信任務(wù)。由于其自身處于網(wǎng)絡(luò)系統(tǒng)中的敏感位置，還要面對(duì)各種安全威脅，因此，選用一個(gè)安全、穩(wěn)定和可靠的防火墻產(chǎn)品，其重要性不言而喻。在目前，互聯(lián)網(wǎng)攻擊數(shù)量直線上升的情況下，個(gè)人計(jì)算機(jī)隨時(shí)都可能遭到各種惡意攻擊，這些惡意攻擊可能導(dǎo)致的后果是上網(wǎng)賬號(hào)被竊取、銀行賬號(hào)被盜用、電子郵件密碼被修改、財(cái)務(wù)數(shù)據(jù)被利用、機(jī)密文件丟失、隱私被曝光，甚至黑客通過遠(yuǎn)程控制刪除了硬盤上所有的數(shù)據(jù)，整個(gè)系統(tǒng)全線崩潰。為了抵御黑客的攻擊，保護(hù)網(wǎng)絡(luò)及計(jì)算機(jī)安全，著重對(duì)主流個(gè)人防火墻技術(shù)及其功能以及針對(duì)個(gè)人用戶的規(guī)則設(shè)置，進(jìn)行了相應(yīng)的分析，最后本文對(duì)實(shí)例天網(wǎng)個(gè)人防火墻進(jìn)行分析。 2 防火墻的基本概念2.1 防火墻的定義防火墻的本意指古代人民的房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生時(shí)蔓延到別的房屋，但現(xiàn)在的防火墻并不是為防火，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過它可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，同時(shí)不會(huì)防礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域訪問。安全區(qū)域 工作站服務(wù)器打印機(jī) Interner 隔離風(fēng)險(xiǎn)風(fēng)險(xiǎn)防火墻防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，僅讓安全、核準(zhǔn)后的數(shù)據(jù)進(jìn)入，抵制對(duì)局域網(wǎng)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問題上的失誤和缺陷越來越普遍，對(duì)網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級(jí)錯(cuò)誤或不合適的口令選擇，因此防火墻的另一作用是防止未授權(quán)的數(shù)據(jù)進(jìn)入被保護(hù)的網(wǎng)絡(luò)。 2.2 防火墻的分類雖然防火墻的體系結(jié)構(gòu)和技術(shù)多種多樣，但防火墻基本上分為三種：包過濾防火墻、應(yīng)用代理防火墻和混合型防火墻。它們各有所長(zhǎng)，具體選用應(yīng)看具體需求。包過濾防火墻，分為普通包過濾和基于狀態(tài)檢測(cè)包過濾。作用在協(xié)議族的網(wǎng)絡(luò)層和傳輸層，在網(wǎng)絡(luò)層截獲數(shù)據(jù)。根據(jù)分組包頭源地址、目的地址、協(xié)議類型等標(biāo)志確定是否數(shù)據(jù)包通過。應(yīng)用代理防火墻，應(yīng)用代理（Application Proxy）也叫應(yīng)用網(wǎng)關(guān)，作用在應(yīng)用層。它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型，掌握著應(yīng)用系統(tǒng)中可作安全決策的全部信息，能夠?qū)崿F(xiàn)較高安全性?；旌闲头阑饓Γ浣Y(jié)合了包過濾防火墻和應(yīng)用代理防火墻的特點(diǎn)，通過IP地址和端口號(hào)過濾進(jìn)出數(shù)據(jù)包。目前在市場(chǎng)上較多防火墻屬于混合型防火墻。無論哪種類型防火墻都存在著一定的局限，但可以通過配置監(jiān)聽某些特定的端口解決因特定的服務(wù)允許或拒絕某些數(shù)據(jù)的現(xiàn)象。例如分組過濾防火墻，通過實(shí)驗(yàn)了解到一個(gè)可靠的過濾防火墻依賴一定的規(guī)則，表1-1列出了幾條規(guī)則集。表1-1 序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許*TCP2允許*20*TCP3禁止*TCP2.3 防火墻的工作原理防火墻的工作原理是其按照事先規(guī)定好配置與規(guī)則的方式，監(jiān)測(cè)并過濾通過防火墻的數(shù)據(jù)流，只允許授權(quán)的或者符合規(guī)則的數(shù)據(jù)通過。防火墻能夠記錄有關(guān)連接的信息，服務(wù)器或主機(jī)間的數(shù)據(jù)流量以及任何試圖通過防火墻的非法訪問記錄。同時(shí)自身也應(yīng)具備較高的抗攻擊性能。3 防火墻的必要性使用防火墻的一般論證是，沒有防火墻，子網(wǎng)系統(tǒng)會(huì)把自己完全暴露在一些本身并不安全的服務(wù)（如NFS和NIS等）面前，并且受到網(wǎng)絡(luò)上其他地方主系統(tǒng)的試探和攻擊，在沒有防火墻的環(huán)境中，網(wǎng)絡(luò)安全性完全依賴于系統(tǒng)安全性。防火墻有助于提高主系統(tǒng)總體安全性，因而使網(wǎng)點(diǎn)獲得眾多的好處。3.1 控制不安全的服務(wù)防火墻可以控制不安全的服務(wù)，從而大大提高網(wǎng)絡(luò)安全性，并通過過濾不安全的服務(wù)降低子系統(tǒng)所冒的風(fēng)險(xiǎn)。因?yàn)橹挥薪?jīng)過授權(quán)的協(xié)議和服務(wù)才能通過防火墻。例如，防火墻可以禁止某些易受攻擊的服務(wù)（如NFS）進(jìn)入或離開受保護(hù)的子網(wǎng)，其好處是可以防止這些服務(wù)不會(huì)被外部攻擊者利用，同時(shí)，允許在大大降低被外部攻擊利用的風(fēng)險(xiǎn)情況下使用這些服務(wù)。這是對(duì)局域網(wǎng)特別有用的服務(wù)，因而可得到共用，并用來減輕主系統(tǒng)管理負(fù)擔(dān)。防火墻還可以防止和保護(hù)基于路由器選擇的攻擊。例如，源路由器選擇和企圖ICMP改向，把發(fā)送路徑轉(zhuǎn)向遭致?lián)p害的網(wǎng)點(diǎn)。防火墻可以排斥所有源點(diǎn)發(fā)送的包和ISMP改向，然后把偶發(fā)事件通知管理人員或用戶。3.2 控制訪問網(wǎng)點(diǎn)防火墻還提供對(duì)網(wǎng)點(diǎn)的訪問控制，例如，可以允許外部網(wǎng)絡(luò)訪問某些主機(jī)系統(tǒng)，而其他主系統(tǒng)則能有效的封閉起來，防止非法訪問。除了郵件服務(wù)器或信息服務(wù)器等特殊情況外，網(wǎng)點(diǎn)可以防止外部對(duì)主系統(tǒng)的訪問。3.3 集中安全性對(duì)一個(gè)機(jī)構(gòu)來說，防火墻實(shí)際上可能并不昂貴，因?yàn)樗械幕虼蠖鄶?shù)經(jīng)過修改的軟件和附加的安全性軟件都放在放火墻，而不是分布在很多主系統(tǒng)上，尤其是一次性口令系統(tǒng)和其他附加驗(yàn)證軟件可以放在防火墻上，而不是放在每個(gè)被需要訪問因特網(wǎng)的系統(tǒng)上。其他的網(wǎng)絡(luò)安全性解決方案，如Kerbers，要對(duì)每個(gè)主系統(tǒng)都進(jìn)行修改。盡管Kerbers和其他技術(shù)有很多優(yōu)點(diǎn)值得考慮，而且在某些情況下可能要比防火墻更適用，但是，防火墻往往更易實(shí)施，因?yàn)橹挥蟹阑饓π枰\(yùn)行專門的軟件。3.4 增強(qiáng)性保密對(duì)某些網(wǎng)點(diǎn)來說，保密是非常重要的，一般認(rèn)為無關(guān)大局的信息，實(shí)際上可能有對(duì)攻擊者有用的線索。使用防火墻后，某些網(wǎng)點(diǎn)希望封鎖某些服務(wù)，如域名服務(wù)。防火墻還可用來封鎖有關(guān)網(wǎng)點(diǎn)系統(tǒng)的DNS信息。因此，網(wǎng)點(diǎn)系統(tǒng)名字和IP地址都不要提供因特網(wǎng)主系統(tǒng)，有的網(wǎng)點(diǎn)認(rèn)為，通過封鎖這種信息它們正在把對(duì)攻擊者有用的信息隱藏起來。3.5 網(wǎng)絡(luò)日志及使用統(tǒng)計(jì)如果因特網(wǎng)的往返訪問都通過防火墻，那么，防火墻可以記錄歌詞訪問，并提供有關(guān)網(wǎng)絡(luò)使用率的有價(jià)值的統(tǒng)計(jì)數(shù)字，如果一個(gè)防火墻能在可疑活動(dòng)發(fā)生時(shí)發(fā)出音響警報(bào)，則可以提供防火墻和網(wǎng)絡(luò)是否被試探或攻擊的細(xì)節(jié)。3.6 策略的執(zhí)行防火墻可以提供實(shí)施和執(zhí)行網(wǎng)絡(luò)訪問策略的工具。事實(shí)上，防火墻可向用戶和服務(wù)提供訪問控制。因此，網(wǎng)絡(luò)訪問冊(cè)落可以由防火墻執(zhí)行，如果沒有防火墻，這樣一種策略完全取決于用戶的協(xié)作。4 病毒入侵防火墻檢測(cè)步驟防火墻具有入侵檢測(cè)系統(tǒng)，檢測(cè)系統(tǒng)是一種增強(qiáng)系統(tǒng)安全的有效方法，能檢測(cè)出系統(tǒng)安全性規(guī)則，作用是實(shí)時(shí)地監(jiān)控計(jì)算機(jī)系統(tǒng)的活動(dòng)，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生或減少工具造成的危害。數(shù)據(jù)分析響 應(yīng)信息收集 3-1 檢測(cè)結(jié)構(gòu)流圖4.1 信息收集防火墻要抵制風(fēng)險(xiǎn)的侵入， 第一步就是要將信息收集，收集整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)在很大程度上依賴于所收集信息的可靠性和完備性。因此，要確保收集、報(bào)告這些信息的可靠性。4.2 數(shù)據(jù)分析數(shù)據(jù)分析是入侵檢測(cè)系統(tǒng)的核心，它的效率高低直接決定了整個(gè)入侵檢測(cè)性能的高低。根據(jù)數(shù)據(jù)分析的不同方式可將入侵系統(tǒng)分為異常入侵檢測(cè)與濫用入侵兩類。4.3 響應(yīng)數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，檢測(cè)系統(tǒng)的下一步工作就是響應(yīng)。響應(yīng)并不限于對(duì)可疑的攻擊者。目前的入侵系統(tǒng)一般采取下列響應(yīng)：（1）將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。（2）觸發(fā)警報(bào)，如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件，等等。（3）修改入侵檢測(cè)系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)或更改防火墻配置等。5 防火墻的部署 根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)的重要程序，用戶可以在網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)內(nèi)部的不同區(qū)域部署防火墻，以實(shí)現(xiàn)整體防護(hù)作用。用戶可以按具體需求將防火墻部署在以下位置：5.1 部署在網(wǎng)絡(luò)系統(tǒng)內(nèi)部各網(wǎng)絡(luò)的接口部署在網(wǎng)絡(luò)系統(tǒng)內(nèi)部各網(wǎng)絡(luò)的接口處，利用防火墻實(shí)現(xiàn)系統(tǒng)內(nèi)部各級(jí)網(wǎng)絡(luò)層次間的訪問控制。5.2 部署在網(wǎng)絡(luò)系統(tǒng)的公開信息發(fā)布平臺(tái)與外部互聯(lián)網(wǎng)的接口部署在網(wǎng)絡(luò)系統(tǒng)的公開信息發(fā)布平臺(tái)與外部互聯(lián)網(wǎng)的接口處，實(shí)現(xiàn)公開信息發(fā)布平臺(tái)與外部互連網(wǎng)的訪問控制。5.3 部署在網(wǎng)絡(luò)系統(tǒng)與政府專用網(wǎng)間部署在網(wǎng)絡(luò)系統(tǒng)與政府專用網(wǎng)間，實(shí)現(xiàn)部門網(wǎng)絡(luò)系統(tǒng)與政府專用網(wǎng)間的訪問控制。5.4 部署在部門局域網(wǎng)絡(luò)內(nèi)不同信任區(qū)部署在部門局域網(wǎng)絡(luò)內(nèi)不同信任區(qū)之間，實(shí)現(xiàn)部分局域網(wǎng)內(nèi)不同信任區(qū)之間的訪問控制。5.5 部署在撥號(hào)服務(wù)器的接入口部署在撥號(hào)服務(wù)器的接入口上，實(shí)現(xiàn)對(duì)公開服務(wù)器的安全保護(hù)，以及對(duì)遠(yuǎn)程用戶的安全認(rèn)證與訪問權(quán)限控制，并且能夠?qū)崿F(xiàn)對(duì)專線資源管理與控制。下圖所示為設(shè)計(jì)的一個(gè)防火墻部署實(shí)例 PSIN 外網(wǎng) 撥號(hào)服務(wù)器 防火墻 撥號(hào)服務(wù)器 重點(diǎn)保護(hù)區(qū) 防火墻 內(nèi)網(wǎng) 5-1 防火墻部署實(shí)例事例中一臺(tái)防火墻部署在網(wǎng)絡(luò)的出口處，將整個(gè)網(wǎng)絡(luò)分隔成四個(gè)區(qū)域：外網(wǎng)區(qū)、服務(wù)器區(qū)及撥號(hào)服務(wù)器區(qū)，撥號(hào)服務(wù)器存在暴力破解攻擊等安全隱患，應(yīng)放在防火墻的一個(gè)單獨(dú)區(qū)域。另一臺(tái)防火墻部署在內(nèi)網(wǎng)的重點(diǎn)保護(hù)區(qū)前面，將存放重要數(shù)據(jù)的重點(diǎn)保護(hù)區(qū)和其他內(nèi)區(qū)域網(wǎng)分開，屬于內(nèi)網(wǎng)不同信任區(qū)域的部署方式。 6 天網(wǎng)個(gè)人防火墻具體實(shí)例分析 6.1 天網(wǎng)防火墻功能 目前天網(wǎng)個(gè)人版防火墻是國(guó)內(nèi)外針對(duì)個(gè)人用戶最好的軟件防火墻之一，是一套供個(gè)人電腦使用的網(wǎng)絡(luò)安全程序，它可以幫助用戶抵擋網(wǎng)絡(luò)入侵和攻擊，防止信息泄露。最新版本的天網(wǎng)個(gè)人版防火墻可在天網(wǎng)安全陣線免費(fèi)下載()。其功能如下： 6.1.1 靈活的安全規(guī)則：天網(wǎng)防火墻設(shè)置了一系列安全規(guī)則，允許特定主機(jī)的相應(yīng)服務(wù)，拒絕其它主機(jī)的訪問要求。用戶還可以根據(jù)實(shí)際情況，添加、刪除、修改安全規(guī)則，保護(hù)本機(jī)安全。 6.1.2 應(yīng)用程序規(guī)則設(shè)置：新版的天網(wǎng)防火墻增加對(duì)應(yīng)用程序數(shù)據(jù)包進(jìn)行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)包的類型、通信端口，并且決定攔截還是通過，這是目前其它很多軟件防火墻不具有的功能。6.1.3 詳細(xì)的訪問記錄和完善的報(bào)警系統(tǒng)：天網(wǎng)防火墻可顯示所有被攔截的訪問記錄包括訪問的時(shí)間、來源、類型、代碼等都詳細(xì)地記錄下來，用戶可以清楚地看到是否有入侵者想連接到自己的機(jī)器，從而制定更有效的防護(hù)規(guī)則。與以往的版本相比，天網(wǎng)防火墻(個(gè)人版)設(shè)置了完善的聲音報(bào)警系統(tǒng)，當(dāng)出現(xiàn)異常情況的時(shí)候，系統(tǒng)會(huì)發(fā)出預(yù)警信號(hào)，從而讓用戶作好防御措施。6.1.4 嚴(yán)密的實(shí)時(shí)監(jiān)控：天網(wǎng)防火墻對(duì)所有來自外部機(jī)器的訪問請(qǐng)求進(jìn)行過濾，發(fā)現(xiàn) 非授權(quán)的訪問請(qǐng)求后立即拒絕，隨時(shí)保護(hù)用戶系統(tǒng)的信息安全。6.1.5 支持高保密的“VPN技術(shù)”。天網(wǎng)防火墻采用符合IPSEC標(biāo)準(zhǔn)的高保密性虛擬專 用系統(tǒng)，系統(tǒng)支持多種加密算法，使系統(tǒng)具有完善的安全特征，保證了數(shù)據(jù)的真實(shí)性、完整性和機(jī)密性。 6.1.6 即時(shí)聊天保護(hù)功能。6.2 天網(wǎng)防火墻的安全規(guī)則設(shè)置“天網(wǎng)”在啟動(dòng)后的默認(rèn)窗口是“安全規(guī)則設(shè)置”窗口，在主對(duì)話框中可以自行指定防火墻的安全規(guī)則，針對(duì)每一項(xiàng)規(guī)則，在窗口底部的對(duì)話框中都有詳細(xì)的注釋，因?yàn)椤疤炀W(wǎng)”是以對(duì)數(shù)據(jù)包進(jìn)行監(jiān)控為基礎(chǔ)的，所以在對(duì)話框中也包括了對(duì)數(shù)據(jù)包的發(fā)送方向、遵從的協(xié)議、對(duì)方的地址、對(duì)方的端口都做出了說明?？梢钥吹剑谧钕旅孢€有若干的“空規(guī)則”，這是“天網(wǎng)”設(shè)計(jì)的一個(gè)自行升級(jí)的方法，用戶可以到網(wǎng)站上下載新制定的規(guī)則來完善防火墻的功能。關(guān)于各項(xiàng)設(shè)置的具體意義，這里選擇幾項(xiàng)重要的規(guī)則設(shè)置來解釋，實(shí)際上“天網(wǎng)”本身已經(jīng)默認(rèn)設(shè)置好了相當(dāng)完善的安全級(jí)別，一般，用戶并不需要自行更改設(shè)置。圖5-1為天網(wǎng)防火墻個(gè)人版基本界面的應(yīng)用 圖5-1 天網(wǎng)防火墻應(yīng)用 6.2.1 防御ICMP攻擊和防止別人用ping命令探測(cè)：選擇時(shí)，即其它用戶無法用ping的方法來確定該用戶的存在。但不影響該用戶去ping別人。由于ICMP協(xié)議現(xiàn)在也被用作藍(lán)屏攻擊的一種方法，而且該協(xié)議對(duì)于大多數(shù)普通用戶來說，是很少使用到的。 6.2.2 防御IGMP攻擊：IGMP是用于組播的一種協(xié)議，對(duì)于MS Windows的用戶是沒有什么用途的，但現(xiàn)在也被用來作為藍(lán)屏攻擊的一種方法，建議選擇此設(shè)置，不會(huì)對(duì)用戶造成影響。6.2.3 TCP數(shù)據(jù)包監(jiān)視：選擇時(shí)，可以監(jiān)視用戶機(jī)器上所有的TCP端口服務(wù)。這是一種對(duì)付特洛伊木馬客戶端程序的有效方法，因?yàn)檫@些程序也是一種服務(wù)程序，如果關(guān)閉了TCP端口的服務(wù)功能，外部幾乎不可能與這些程序進(jìn)行通訊。而且，對(duì)于普通用戶來說，在互聯(lián)網(wǎng)上只是用于WWW瀏覽，關(guān)閉此功能不會(huì)影響用戶的操作。但要注意，如果用戶的機(jī)器要執(zhí)行一些服務(wù)程序，如 FTP server，HTTP server時(shí)，一定不要關(guān)閉此功能。而且，如果用ICQ來接受文件，也一定要使該功能正常，否則，將無法收到其它用戶的文件。另外，選擇監(jiān)視TCP數(shù)據(jù)包，也可以防止許多端口掃描程序的掃描。6.2.4 禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源：開啟該規(guī)則后，其它用戶就不能訪問該用戶的共享資源，包括獲取該用戶的機(jī)器名稱。 6.2.5 禁止所有人連接低端端口：防止所有的機(jī)器和自己的低端端口連接。由于低端端口是TCP/IP協(xié)議的各種標(biāo)準(zhǔn)端口，幾乎所有的Internet服務(wù)都是在這些端口上工作的，所以這是一條非常嚴(yán)厲的規(guī)則，有可能影響用戶使用某些軟件。如果用戶需要向外面公開自己的特定端口，請(qǐng)?jiān)诒疽?guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。 6.2.6 允許己經(jīng)授權(quán)程序打開的端口：某些程序，如ICQ，視頻電話等軟件，都會(huì)開放一些端口，這樣，該用戶的同伴才可以連接到訪問用戶的機(jī)器上。本規(guī)則可以有效保證這些軟件正常工作。以上，設(shè)置了多條安全規(guī)則，主要針對(duì)現(xiàn)時(shí)一些用戶對(duì)網(wǎng)絡(luò)服務(wù)端口的開放和木馬端口的攔截。其實(shí)安全規(guī)則的設(shè)置是系統(tǒng)最重要，也是最復(fù)雜的地方。如果不太熟悉IP規(guī)則，最好不要調(diào)整它，可以直接使用缺省的規(guī)則。如果熟悉IP規(guī)則，就可以非常靈活的設(shè)置。當(dāng)設(shè)置完成，啟動(dòng)使用后，運(yùn)行“Netsh firewall show state”或是“Netsh firewall show config”命令可以檢查顯示防