 |
了解 Windows 防火墙 更好的保护系统 |
|
|
| 了解 Windows 防火墙 更好的保护系统 |
|
| 作者:不详 文章来源:华盟收集 点击数: 更新时间:2007-8-3 9:39:35 |
|
简介 "8ani�bo.
随着 Microsoft® Windows® XP Service Pack 2 和 Windows Server™ 2003 Service Pack 1 新增了 Windows 防火墙,以及 Internet 协议安全 (IPsec) 在公司 Intranet 中日益广泛的应用,信息技术 (IT) 专业人士需要了解 TCP/IP 协议及 Windows 中的相关组件处理单播 Internet 协议 (IP) 数据包的具体方式。有关 IP 数据包处理路径的详细知识,可以让您更轻松地掌握配置数据包处理和筛选组件,以及进行相关疑难解答的具体方法。 !s?� L�oM
本文所介绍的内容如下: 7)��a:$� <
• 用于 IP 版本 4 的 TCP/IP 协议的基本体系结构以及其它一些用于处理数据包的组件。 �;5!{xZ�B5
• 基于 Windows 的计算机所发送、接收和转发的单播流量的数据包处理路径 pW c�a�R�/
_|F�Oeq<9�
注意 为了简要起见,本文将不讨论多播、广播、分段或隧道数据包。 ��;e.�x %Q
@" #b }"�z
o�C:i7 $q
下列组件可处理 IP 数据包: �7��nYP/3P
• IP 转发 为发送或转发的数据包确定下一跃点接口和地址。 AEUy+PCN)\
• TCP/IP 筛选 允许按 IP 协议、TCP 端口或 UDP 端口,指定可为传入的本地主机流量(发往主机的数据包)所接受的流量类型。可以在“网络连接”文件夹中,从 Internet 协议 (TCP/IP) 组件高级属性的“选项”选项卡,配置 TCP/IP 筛选。 f��v7Z �$y
• 筛选器挂钩驱动程序 该 Windows 组件可使用筛选器挂钩 API,筛选传入和传出的 IP 数据包。在运行 Windows Server 2003 的计算机上,筛选器挂钩驱动程序为 Ipfltdrv.sys,属于“路由和远程访问”的一个组件。启用后,“路由和远程访问”允许用户使用路由和远程访问管理单元,对每个接口配置单独的入站和出站 IP 数据包筛选器。Ipfltdrv.sys 会同时检查本地主机和中转 IP 流量(不发往主机的数据包)。 1�edxgdO.F
• 防火墙挂钩驱动程序 该 Windows 组件可使用防火墙挂钩 API,检查传入和传出的数据包。在运行 Windows XP 的计算机上,防火墙挂钩驱动程序为 Ipnat.sys,由 Internet 连接共享和 Windows 防火墙双方共享。Internet 连接共享是一种基础网络地址转换器 (NAT)。Windows 防火墙是一种基于主机的状态防火墙。Ipnat.sys 可同时检查本地主机和中转 IP 流量。在运行 Windows Server 2003 的计算机上,Ipnat.sys 由 Internet 连接共享、Windows 防火墙和路由和远程访问的 NAT/基本防火墙组件三方共享。如果启用了路由和远程访问的 NAT/基本防火墙组件,就不能再启用 Windows 防火墙或 Internet 连接共享了。 ��Wv�07qZ�
• IPsec IPsec 组件——Ipsec.sys——是 IPsec 在 Windows 中的实现,可对 IP 流量提供加密保护。Ipsec.sys 可同时检查本地主机和中转 IP 流量,并可允许、阻止或保护流量。 zo�6P�-Bhb
�s!�xKX9�
A)f[k@EA�'
数据包处理路径 F.qU" G[y;
下面几节介绍了针对以下流量的具体的数据包处理路径: &NM/ ~O�.�
• 源流量 由基于 Windows 的发送主机发起。 vX??�l7yad
• 目标流量 达到最终的基于 Windows 的目标主机。 z!cOB%Bj�G
• 中转流量 由基于 Windows 的 IP 路由器转发。 sY�0*(KQ,�
这里只讨论 Windows Server 2003 或 Windows XP 所附带的组件,不涉及 Windows 套接字分层服务提供程序或 NDIS 中间微型端口驱动程序。 w{'�Sl���4
Y?3nLT: bY
+6q�X D y]
% j;a0;!x
源流量 �~l{P jAsu
"�[c>E�"($
IP 数据包形成后,Tcpip.sys 就会将其传递给防火墙挂钩驱动程序 (Ipnat.sys) 进行处理。 ��fXhB�+V4
Windows 防火墙检查该流量是否属于所要阻止的特定的 Internet 控制消息协议 (ICMP) 消息类型。如果 ICMP 消息被阻止,Windows 防火墙就将丢弃该数据包。 �2]-ym�.8Z
Windows 防火墙检查该流量是否属于点对点隧道协议 (PPTP) 隧道维护流量。如果属于的话,Windows 防火墙将分析该流量,确定用于识别特定 PPTP 隧道的通用路由封装 (GRE) 调用 ID,从而允许 PPTP 隧道的基于 GRE 的传入流量。 I<��HD?~s
如果需要,Windows 防火墙会在例外列表中添加一个动态项目,来允许响应流量。 n;�G.C%]d"
处理完后,Ipnat.sys 会将该 IP 数据包传回给 Tcpip.sys,而后者会使用 IP 转发组件,确定下一跃点 IP 地址和接口。有关详细信息,请参阅认识 IP 路由表。 {�E$sMH4&}
,"�)I�b} J
Tcpip.sys 将数据包传递给筛选器挂钩驱动程序 (Ipfltdrv.sys) 进行处理。 Fp|UG|f[�5
Ipfltdrv.sys 根据下一跃点接口,将该数据包与已配置的出站 IP 数据包筛选器进行对比。 Q��n�%�\=_
若出站 IP 数据包筛选器不允许该数据包,Ipfltdrv.sys 就会在不给出提示的情况下,丢弃该数据包。若出站 IP 数据包筛选器允许该数据包,Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。 3��%lf��l-
Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。 bz�Lp_A b
Ipsec.sys 根据 IPsec 筛选器组,决定是否允许、阻止或保护该数据包。若允许的话,Ipsec.sys 会在不修改该数据包的情况下,将其发回给 Tcpip.sys。若阻止的话,Ipsec.sys 会在不发出任何提示的情况下,丢弃该数据包。若要进行保护的话,Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前,对其添加适当的 IPsec保护。有关 IPsec 筛选器的详细信息,请参阅IPsec 筛选器排序(2005 年 2 月发布的 网络专家 专栏文章。 ?uJF�dFp�9
Tcpip.sys 随后会通过下一跃点接口,将该数据包发送到下一跃点 IP 地址。 q�p/xgj_:
$~�\4<l)v
ySS]�nt�{~
#}u7�=z�ji
目标流量 �w��U"�,X@
@uX!K)d~u"
接收到 IP 数据包后,Tcpip.sys 会将其传递给 Ipsec.sys 进行处理。 "lk-l$#PWk
若数据包带有 IPsec 保护(指示验证头 [AH] 或封装式安全措施负载 [ESP] 的 IP 协议字段值),将对其进行处理并加以移除。若对计算机应用了“Windows 防火墙:允许已验证的 IPSec 跳过”组策略设置,Ipsec.sys 将设置一个与该数据包相关联的 IPsec Bypass 标记。Ipsec.sys 将结果数据包传回给 Tcpip.sys。 z�whd�F �
若数据包不带有 IPsec 保护,Ipsec.sys 就会根据 IPsec 筛选器组,决定是否允许、阻止或保护该数据包。若允许的话,Ipsec.sys 会在不修改该数据包的情况下,将其发回给 Tcpip.sys。若数据包被阻止或需要保护,Ipsec.sys 就会在不发出任何提示的情况下,丢弃该数据包。 GFK^9$�O$d
Tcpip.sys 将该数据包传递给 Ipfltdrv.sys 进行处理。 63e��/;"2g
Ipfltdrv.sys 根据接收数据包的接口,将该数据包与已配置的入站 IP 数据包筛选器进行对比。 j[Ca.~" a<
若入站 IP 数据包筛选器不允许该数据包,Ipfltdrv.sys 就会在不给出提示的情况下,丢弃该数据包。 若入站 IP 数据包筛选器允许该数据包,Ipfltdrv.sys 就会将该数据包传回给 Tcpip.sys。 �6�ku<u7B>
Tcpip.sys 将该数据包传递给 Ipnat.sys 进行处理。 (0w�FL]P,
若启用了 Internet 连接共享或 NAT/基本防火墙,并且接收数据包的接口是连接到 Internet 的公共接口,Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若找到了匹配项,就将转换该 IP 数据包,并将结果数据包视为源流量。 n�Ty�+�} V
Windows 防火墙检查与该数据包相关联的 IPsec Bypass 标记。若设置了 IPsec Bypass 标记,Windows 防火墙就会将该数据包传回给 Tcpip.sys。 �4'Df��lW*
若未设置 IPsec Bypass 标记,Windows 防火墙就会将该数据包与其例外列表进行对比。若数据包与某个例外匹配,Ipnat.sys 就会将该 IP 数据包传回给 Tcpip.sys。若不匹配,Ipnat.sys 会在不发出提示的情况下,丢弃该 IP 数据包。 {F&{@l Aq$
Tcpip.sys 将 IP 数据包与已配置的 TCP/IP 筛选允许的那组数据包进行对比。 YKd:��N��;
若 TCP/IP 筛选不允许该数据包,Tcpip.sys 将在不发出提示的情况下,丢弃该数据包。若 TCP/IP 筛选允许该数据包,Tcpip.sys 将继续对其进行处理,并最终将该数据包有效负载传递给 TCP、UDP 或其它上层协议。 c\H�T�_"&M
uhS 54UFu\
1�� -|<.|/
DZs.4 R238
中转流量 ^r^ EdS6wi
Y?B�?E7H"*
接收到 IP 数据包后,Tcpip.sys 会将其传递给 Ipfltdrv.sys 进行处理。 +Y�n�CH2_�
Ipfltdrv.sys 根据接收 IP 数据包的接口,将该数据包与已配置的入站 IP 数据包筛选器进行对比。 ���R S?Rr)
若入站 IP 数据包筛选器不允许该数据包,Ipfltdrv.sys 就会在不给出提示的情况下,丢弃该 IP 数据包。若入站 IP 数据包筛选器允许该数据包,Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。 ���\�ju(Wj
Tcpip.sys 将数据包传递给 IP 转发组件,由后者确定用于转发该数据包的下一跃点接口和地址。 �3y��>fV��
+X )< qHx_
fQ*�CAGiY|
2. Tcpip.sys 将该数据包传递给 Ipnat.sys。 u1r-1m%�Y�
若启用了 Internet 连接共享或 NAT/基本防火墙,并且接收数据包的接口是连接到 Intranet 的专用接口,Ipnat.sys 就会将该数据包与其 NAT 转换表进行对比。若 Internet 连接共享或 NAT/基本防火墙找到了匹配项,将转换该 IP 数据包,并将结果数据包当作源流量。若 Internet 连接共享或 NAT/基本防火墙未找到匹配项,将创建一个新的 NAT 转换表项,转换 IP 数据包,并将结果数据包当作源流量。 _�BA��q0V
若未启用 Internet 连接共享,Ipnat.sys 就会将 IP 数据包传回给 Tcpip.sys。 {u+8 4����
3. Tcpip.sys 将该数据包传递给 Ipfltdrv.sys。 sW_��7d"69
Ipfltdrv.sys 根据下一跃点接口,将该数据包与已配置的出站 IP 数据包筛选器进行对比。 3s$�/R�1~
若出站 IP 数据包筛选器不允许该数据包,Ipfltdrv.sys 就会在不给出提示的情况下,丢弃该 IP 数据包。若出站 IP 数据包筛选器允许该数据包,Ipfltdrv.sys 就会将该 IP 数据包传回给 Tcpip.sys。 nG{4Fv] ��
4. Tcpip.sys 将该数据包传递给 Ipsec.sys 进行处理。 �p�"868Bd�
Ipsec.sys 根据 IPsec 筛选器组,决定是否允许、阻止或保护该数据包。若允许的话,Ipsec.sys 会在不修改该数据包的情况下,将其发回给 Tcpip.sys。 若阻止的话,Ipsec.sys 会在不发出任何提示的情况下,丢弃该数据包。若要进行保护的话,Ipsec.sys 会在将数据包传回给 Tcpip.sys 之前,对其添加适当的 IPsec保护。 ~� sAD*��f
Tcpip.sys 随后会通过下一跃点接口,将该 IP 数据包发送到下一跃点地址。 IK#,hu1doH
对于运行 Windows XP SP2 或 Windows Server 2003 SP1 并采取常规配置的客户端或服务器计算机(不充当路由器或 NAT,并禁用了 TCP/IP 筛选),源流量的数据包处理路径涉及以下组件: ��.Tnx{n9~
1. Windows 防火墙 Px,xpF,�"#
2. IPsec 3^pPm9 ot6
9.`�:*@E)c
L)x�pm��@E
�YdMu �!=d
对于上述采用常规配置的基于 Windows 的计算机来说,目标流量的数据包处理路径涉及以下组件: ��KK&��S�b
1. IPsec ��)y[�U/�Z
2. Windows 防火墙 C��(t �& J
若使用了 IPsec,并启用了 Windows 防火墙,那么可能需要配置这两个组件,以允许想要的流量。譬如,要是您正在配置一台 Web 服务器,并使用 IPsec 保护发往该服务器的 Web 流量,就必须配置以下项目: ��d�OpyhL�
1. 一个 IPsec 规则(要求发往和发自该服务器的 IP 地址和 TCP 端口 80 的安全性)。 �u���#yalX
2. 一个 TCP 端口 80 的 Windows 防火墙例外。 s\�=^0*0 �
该 IPsec 规则可确保发往 Web 服务器服务的流量受到保护。该 Windows 防火墙例外可确保 Windows 防火墙不会丢弃未经请求的传入请求,来通过 TCP 端口 80 创建到 Web 服务器的连接。由于 IPsec 和 Windows 防火墙都作为单独的组件处理 IP 数据包,因此必须同时配置这两个组件。要是不想让 Windows 防火墙处理受 IPsec 保护的数据包,请配置“Windows 防火墙:允许已验证的 IPSec 跳过”组策略设置
|
|
| 文章录入:洋葱头 责任编辑:洋葱头 |
|
|
上一篇文章: 关注细节量身定做 巧妙进行防火墙布署
下一篇文章: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
