【文章內容簡介】 拒絕不安全的通信進入，使網(wǎng)絡免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。在Windows2003服務器上，對直接連接到Internet的計算機啟用防火墻功能，支持網(wǎng)絡適配器、DSL適配器或者撥號調制解調器連接到Internet。它可以有效地攔截對Windows 2003服務器的非法入侵，防止非法遠程主機對服務器的掃描，從而提高Windows 2003服務器的安全性。同時，它也可以有效攔截利用操作系統(tǒng)漏洞進行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能，能夠對整個內部網(wǎng)絡起到很好的保護作用。1．啟用/關閉防火墻（1）打開“網(wǎng)絡連接”，右擊要保護的連接，單擊“屬性”，出現(xiàn)“本地連接屬性”對話框。（2）選擇“高級”選項卡，單擊“設置”按鈕，出現(xiàn)啟動/停止防火墻界面。如果要啟用 Internet 連接防火墻，請單擊“啟用(O)”按鈕；如果要禁用Internet 連接防火墻，請單擊“關閉(F)”按鈕。2．防火墻服務設置Windows 2003 Internet連接防火墻能夠管理服務端口，例如HTTP的80端口、FTP的21端口等，只要系統(tǒng)提供了這些服務，Internet連接防火墻就可以監(jiān)視并管理這些端口。（1）解除阻止設置。在“例外”選項卡中，可以通過設定讓防火墻禁止和允許本機中某些應用程序訪問網(wǎng)絡，加上“√”表示允許，不加“√”表示禁止。如果允許本機中某項應用程序訪問網(wǎng)絡，則在對話框中間列表中所列出該項服務前加“√”（如果不存在則可單擊“添加程序”按鈕進行添加）；如果禁止本機中某項應用程序訪問網(wǎng)絡，則將該項服務前的“√”清除（如果不存在同樣可以添加）。在“Windows防火墻阻止程序時通知我”選項前打“√”則在主機出現(xiàn)列表框中不存在的應用程序欲訪問網(wǎng)絡時，防火墻會彈出提示框詢問用戶是否允許該項網(wǎng)絡連接。（2）高級設置。在“高級”選項卡中，可以指定需要防火墻保護的網(wǎng)絡連接，雙擊網(wǎng)絡連接或單擊“設置”按鈕設置允許其他用戶訪問運行于本主機的特定網(wǎng)絡服務。選擇“服務”選項卡，其中列舉出了網(wǎng)絡標準服務，加上“√”表示允許，不加“√”表示禁止。如果允許外部網(wǎng)絡用戶訪問網(wǎng)絡的某一項服務，則在對話框中間列表中所列出該項服務前加“√”（如果不存在則可單擊“添加程序”按鈕進行添加）；如果禁止外部網(wǎng)絡用戶訪問內部網(wǎng)絡的某一項服務，則將該項服務前的“√”清除（如果不存在同樣可以添加）。選擇“ICMP”選項卡，允許或禁止某些類型的ICMP響應，建議禁止所有的ICMP響應。3．防火墻安全日志設置Windows2003防火墻可以記錄所有允許和拒絕進入的數(shù)據(jù)包，以便進行進一步的分析。在“高級”選項卡的“安全日志記錄”框中單擊“設置”按鈕，進入“日志設置”界面。如果要記錄被丟棄的包，則選中“記錄被丟棄的數(shù)據(jù)包”復選按鈕；如果要記錄成功的連接，則選中“記錄成功的連接”復選按鈕。日志文件默認路徑為C:，用記事本可以打開，所生成的安全日志使用的格式為W3C擴展日志文件格式，可以用常用的日志分析工具進行查看分析。你也可以重新指定日志文件，而且還可以通過“大小限制”限定文件的最大使用空間?！刚f明」 建立安全日志是非常必要的，在服務器安全受到威脅時，日志可以提供可靠的證據(jù)。216。 linux防火墻iptable的應用一．iptables簡介，linux就已經具有包過濾功能了。，采用了大家并不陌生的ipchains來控制內核包過濾規(guī)則。，而是采用一個全新的內核包過濾管理工具—iptables。這個全新的內核包過濾工具將使用戶更易于理解其工作原理，更容易被使用，當然也將具有更為強大的功能。實際上iptables只是一個內核包過濾的工具，iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。實際上真正來執(zhí)行這些過濾規(guī)則的是netfilter(Linux內核中一個通用架構)及其相關模塊(如iptables模塊和nat模塊)。netfilter提供了一系列的“表(tables)”，每個表由若干“鏈(chains)”組成，而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解，netfilter是表的容器，表是鏈的容器，鏈又是規(guī)則的容器。netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個鏈。每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個數(shù)據(jù)包”。當一個數(shù)據(jù)包到達一個鏈時，系統(tǒng)就會從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會根據(jù)預先定義的策略(policy)來處理該數(shù)據(jù)包。圖321 網(wǎng)絡數(shù)據(jù)包在filter表中的流程數(shù)據(jù)包在filter表中的流程如圖321所示。有數(shù)據(jù)包進入系統(tǒng)時，系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈，則可能有三種情況：（1）如果數(shù)據(jù)包的目的地址是本機，則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應的本地進程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。（2）如果數(shù)據(jù)包的目的地址不是本機，也就是說，這個包將被轉發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應的本地進程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。（3）如果數(shù)據(jù)包是由本地系統(tǒng)進程產生的，則系統(tǒng)將其送往OUTPUT鏈，如果通過規(guī)則檢查，則該包被發(fā)給相應的本地進程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會將這個包丟掉。當我們在使用iptables NAT功能的時候，我們所使用的表不再是“filter”表，而是“nat”表，所以我們必須使用“t nat”選項來顯式地指明這一點。因為系統(tǒng)缺省的表是“filter”，所以在使用filter功能時，我們沒有必要顯式的指明“t filter”。同“filter”表一樣，nat表也有三條缺省的鏈，這三條鏈也是規(guī)則的容器，它們分別是：（1）PREROUTING: 可以在這里定義進行目的NAT的規(guī)則，因為路由器進行路由時只檢查數(shù)據(jù)包的目的IP地址，為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進行目的NAT。（2）POSTROUTING: 可以在這里定義進行源NAT的規(guī)則，在路由器進行路由之后才進行源NAT。（3）OUTPUT: 定義對本地產生的數(shù)據(jù)包的目的NAT規(guī)則。二．NAT工作原理NAT的基本思想是為每個企業(yè)分配一個IP地址(或者是很少幾個)來進行Internet傳輸。在企業(yè)內部，每個電腦取得一唯一的IP地址來為內部傳輸做路由。然而，當封包離開企業(yè)，進入ISP之后，就需要進行地址轉換了。為了使這個方案可行，IP地址的范圍被聲明為私有的，企業(yè)可以隨意在內部使用他們。僅有的規(guī)則是，沒有包含這些地址的封包出現(xiàn)在Internet上。「說明」 IP私有地址范圍是：～ ～1～。如圖322所示。在企業(yè)內部。然而，當封包離開企業(yè)時，它要經過NAT轉盒，NAT盒將內部IP源地址，(這個地址對于Internet來說是可見的)。NAT盒通常和防火墻一起綁定在一個設備上，這里的防火墻通過小心地控制進出企業(yè)的封包提供了安全保障。圖322 NAT地址轉換三．iptables常用操作語法對于任何協(xié)議及協(xié)議的擴展，通用匹配都可以直接使用。（1）匹配指定協(xié)議。匹配p,protocol／使用 iptablesA INPUTp tcpj ACCEPT／說明匹配指定的協(xié)議，指定協(xié)議的形式有以下幾種：①名字不分大小寫，但必須是在/etc/protocols中定義的；②可以使用協(xié)議相應的整數(shù)值。例如，ICMP的值是1,TCP是6,UDP是17；③缺少設置ALL，相應數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定義的所有協(xié)議；④可以是協(xié)議列表，以英文逗號為分隔符，如：udp,tcp；⑤可以在協(xié)議前加英文的感嘆號表示取反，注意有空格,如：protocol!tcp表示非TCP協(xié)議，也就是UDP和ICMP?？梢钥闯鲞@個取反的范圍只是TCP、UDP和ICMP。（2）以IP源地址匹配包。匹配s,src,source／使用 iptablesA INPUTs ACCEPT／說明以IP源地址匹配包。地址的形式如下：①單個地址，；②網(wǎng)絡，,；③在地址前加英文感嘆號表示取反，注意空格，如—source!；④缺省是所有地址。（3）以IP目的地址匹配包。匹配d,dst,destination／使用 iptablesA INPUTd ACCEPT／說明以IP目的地址匹配包。地址的形式和—source完全一樣。（4）以包進入本地使用的網(wǎng)絡接口匹配包。匹配i／使用 iptablesA INPUTi eth0j ACCEPT／說明以包進入本地所使用的網(wǎng)絡接口來匹配包。要注意這個匹配操作只能用于INPUT,FORWARD和PREROUTING這三個鏈，用在其他任何地方會提示錯誤信息。指定接口有以下方法：①指定接口名稱，如：eth0、ppp0等；②使用通配符，即英文加號，它代表字符數(shù)字串。若直接用一個加號，即iptablesA INPUTi +表示匹配所有的包，而不考慮使用哪個接口。通配符還可以放在某一類接口的后面，如：eth+表示匹配所有從Ethernet接口進入的包；③在接口前加英文感嘆號表示取反，如：i!eth0意思是匹配來自除eth0外的所有包。（5）以包離開本地所使用的網(wǎng)絡接口來匹配包。匹配o／使用 iptablesA OUTPUTo eth1j ACCEPT／說明以包離開本地所使用的網(wǎng)絡接口來匹配包。要注意這個匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個鏈，用在其他任何地方會提示錯誤信息。（6）匹配通信源端口。匹配sourceport,sport／使用 iptablesA INPUTp tcpsport 1111／說明當通信協(xié)議為TCP或UDP時，可以指定匹配的源端口，但必須與匹配協(xié)議相結合使用。（7）匹配通信源端口。匹配destinationport,dport／使用 iptablesA INPUTp tcpdport 80／說明當通信協(xié)議為TCP或UDP時，可以指定匹配的目的端口，但必須與匹配協(xié)議相結合使用。五．iptables功能擴展 1．TCP擴展iptables可以擴展，擴展分為兩種：一種是標準的；另一種是用戶派生的。如果指定了“p tcp”，那么TCP擴展將自動加載，通過tcpflags擴展，我們指定TCP報文的哪些Flags位被設置，在其后跟隨兩個參數(shù)：第一個參數(shù)代表Mask,指定想要測驗的標志位；第二個參數(shù)指定哪些位被設置。例：設置iptables防火墻禁止來自外部的任何tcp主動請求，并對此請求行為進行事件記錄。其中ULOG指定對匹配的數(shù)據(jù)包進行記錄,由日志生成工具ULOG生成iptables防火日志，logprefix選項為記錄前綴。2．ICMP擴展例：設置iptables防火墻允許來自外部的某種類型/代碼的ICMP數(shù)據(jù)包。其中icmptype為擴展命令選項，其后參數(shù)可以是三種模式：（1）ICMP類型名稱（例如，hostunreachable）。（2）ICMP類型值(例如3)。（3）ICMP類型及代碼值（8/0）。六．狀態(tài)檢測“狀態(tài)”的意思是指如果一個數(shù)據(jù)包是對先前從防火墻發(fā)出去的包的回復，則防火墻自動不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進入并返回給請求者，這樣就不用設置許多規(guī)則定義就可實現(xiàn)應用的功能。我們可以把請求端與應答端之間建立的網(wǎng)絡通信連接稱為網(wǎng)絡會話，每個網(wǎng)絡會話都包括以下信息——源IP地址、目標IP地址、源端口、目的端口，稱為套接字對；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時時間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內存中維護一個跟蹤狀態(tài)的表，比簡單的包過濾防火墻具有更大的安全性，而iptables就是一種基于狀態(tài)的防火墻。命令格式如下：iptablesm statestate [!] state [,state,state,state] 其中，state表是一個由逗號分割的列表，用來指定連接狀態(tài)，狀態(tài)分為4種：（1）NEW: 該包想要建立一個新的連接（重新連接或連接重定向）（2）RELATED:該包是屬于某個已經建立的連接所建立的新連接。舉例：FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關系。（3）ESTABLISHED：該包屬于某個已經建立的連接。（4）INVALID:該包不匹配于任何連接，通常這些包被DROP。七．NAT操作前面提到在iptables防火墻中提供了3種策略規(guī)則表：Filter、Mangle和NAT，這3種表功能各不相同，而最為常用的就是filter和nat表。nat表僅用于NAT,也就是網(wǎng)絡地址轉換。做過NAT操作的數(shù)據(jù)包的地址就被改變了，當然這種改變是根據(jù)我們的規(guī)則進行的。屬于流的包只會經過這個表一次，經一個包被允許做NAT,那么余下的包都會自動地做相同的操作。也就是說，余下的包不會再通過這個表一個一個的被NAT，而是自動完成的。常用操作分為以下幾類。（1）SNAT(source network address translation，源網(wǎng)絡地址目標轉換)。SNAT是POSTROUTING鏈表的作用，在封包就要離開防火墻之前改變其源地址，這在極大程度上可以隱藏本地網(wǎng)絡或者DMZ等。比如，多個PC機使用路由器共享上網(wǎng)，每個PC機都配置了內網(wǎng)IP(私有IP)，PC機訪問外部網(wǎng)絡的時候，路由器將數(shù)據(jù)包的報頭中的源地址替換成路由器的IP，當外部網(wǎng)絡的服務