防火墙技术及 Windows 防火墙配置
一、引言
目前最常用的网络安防范工具是防火墙，相信不用多久，防火墙软件就会像防病软件那样安装在每一个人的计算机上。

这将产生一个巨大的网络安全市场。

本文将对以下问题进行重点
研究：
研究防火墙的组成、服务配置、数据包过滤规则等。

最后，在Windows XP 中配置简易防火墙（IP 筛选器），完成后，将能够在本机实现对IP站点、端口、DNS服务的屏蔽，实现防
火墙功能。

二、防火墙功能概述
防火墙是一个保护装置，它的目的就是保护内部网的访问安全。

防火墙可以安装在两个组织结构的内部网与外部的 Inter-net 之间，同时在多个组织结构的内部网和Internet 之间也会起到同样的保护作用。

它主要的保护就是加强外部Internet 对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。

防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet 的连接。

1、防火墙主要技术特点
① 应用层采用 Winsock 2 SPI 进行网络数据控制、过滤；
② 核心层采用 NDIS HOOK 进行控制，尤其是在 Windows2000 下，此技术属微软未公开技术。

此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用Winsock 2 SPI ；二是核心层封包过滤，采用NDIS_HOOK。

Winsock 2 SPI 工作在API 之下、Driver 之上，属于应用层的范畴。

利用这项技术可以截获所有的基于Socket 的网络通信。

比如IE、OUTLOOK 等常见的应用程序都是使用Socket 进行通信。

采用Winsock 2 SPI 的优点是非常明显的：其工作在应用层以DLL的形式存在，编程、测试方便；跨Windows平台，可以直接在
Windows98/ME/NT/2000/XP 上通用，Windows95 只需安装上Winsock 2 for 95，也可以正常运行；效率高，由于工作在应用层，CPU 占用率低；封包还没有按照低层协议进行切片，所以比较完整。

而防火墙正是在 TCP/IP 协议在 windows 的基础上才得以实现。

三、分析网络安全技术和防火墙技术原理
1、防火墙的基本功能
防火墙原理是监测并过滤所有内部网和外部网之间的信息交换，防火墙保护着内部网络敏感的数据不被偷窃和破坏，并记录内部通讯的有关状
态信息日志，如通讯发生的时间和进行的
操作等等。

新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。

2、实现防火墙的主要技术
① 数据包过滤技术
数据包过滤装置对数据包实施有选择地通过，在装置内设置过滤逻辑（或访问控制表）。

通过检查数据流中的每个数据包后，根据数据包的源地址、所用的 TCP 与 UDP 端口号、TCP 链路状态等因素或它们的组合来确定是否允许数据包通过。

② 应用网关技术
应用网关技术是第二代防火墙。

它代理某种Internet 网络服务并进行安全检查，每一个应用网关代理服务程序都是为一种网络应用服务而定制的程序。

网络业务流不直接通过应用网关传递，而是外部的访问仅允许到网关，内部的访问也仅允许到网关。

③ 代理服务技术
代理服务器当用作防火墙时，实际上可看作是Internet 上的一台主机，内部网络上的客户机想要访问Internet 时，为了内部网自身的安全，客户机首先访问作为防火墙的代理服务器，然后通过代理服务器运行的代理服务程序，再去访问 Internet 上的资源。

四、在 windows xp 中配置简易防火墙
1、简易防火墙配置
在 Windows xp 中简易配置防火墙须有如下几点：
1）依次单击"开始→控制面板"按钮，然后在控制面板经典视图中双击"Windows 防火墙"按钮一项，即可打开Windows 防火墙控制台。

此外，还可以在XP 增加的安全中心界面下，点击"Windows 防火墙"打开防火墙控制台
(1)常规选项卡
图 4-1
如图4-1 所示，在Windows防火墙控制台"常规"选项卡中有两个主选项：启用（推荐）和关闭（不推荐），一个子选项"不允许例外"。

如果选择了不允许例外，Windows 防火墙将拦截所有的连接用户计算机的网络请求，包括在例外选项卡列表中的应用程序和系统服务。

工程技术1332009 年 5 月下工程技术
（2）例外选项卡
图 4-2
如图 4-2 所示，在"例外"选项卡界面下方有两个添加按钮，分别是："添加程序"和"添加端口"，可以根据具体的情况手工添加例外项。

如果不清楚某个应用程序是通过哪个端口与外界通信，或者不知道它是基于UDP还是TCP的，可以通过"添加程序"来添加例外项。

如果对端口号以及TCP/UDP 比较熟悉，则可以采用后一种方式，即指定端口号的添加方式。

对于每一个例外项，可以通过"更改范围"指定其作用域。

对于家用和小型办公室应用网络，推荐设置作用域为可能的本地网络。

当然，也可以自定义作用域中的IP 范围，这样只有来自特定的IP 地址范围的网络请求才能被接受。

（3）高级选项卡
图 4-3
如图4-3 所示，高级选项卡中可以设置：网络连接设置、安全日志记录、ICMP 设置、默认设置等四个选项。

网络连接设置这里可以选择Windows 防火墙应用到哪些连接上，当然也
可以对某个连接进行单独的配置，这样可以使防火墙应用更灵活安全记录Windows 防火墙的日志记录与ICF 大同小异，日志选项里面的设置可以记录防火墙的跟踪记录，包括丢弃和成功的所有事项。

ICMP 设置Internet 控制消息协议（ICMP）允许网络上的计算机共享错误和状态信息. 在 ICMP 设置对话框中选定某一项时，界面下方会显示出相应的描述信息,可以根据需要进行配置.在缺省状态下，所有的 ICMP 都没有打开。

默认设置如果要将所有 Windows 防火墙设置恢复为默认状态，可以单击右侧的"还原为默认值"按钮。

五、总结
随着Internet 在我国的迅速发展，网络安全的问题越来越得到重视，防火墙技术也引起了各方面的广泛关注。

我们国家除了自行展开了对防火墙的一些研究，还对国外的信息安全和防火墙的发展进行了密切的关注，以便能更快掌握这方面的信息，更早的应用到我们的网络上面。

防火墙技术还处在一个发展阶段，仍有许多问题有待解决。