淺析Windows防火墻的缺陷

2020-03-01 06:51:48

字體：大中小

來源：轉載

供稿：網友

有這樣一個問題：“我不知道該為Windows服務器選擇什么防火墻”。事實上，人們經常就這個問題向我咨詢，然而我自己也沒能找到最好的答案。很多次，即便服務器處于硬件防火墻保護之內時，我仍然喜歡在服務器自身上安裝額外的軟件防護。因為有時候，我的服務器可能位于比較偏遠的地方，沒有硬件級防火墻來保護它們，這時我就得完全依賴于在服務器上html' target='_blank'>安裝軟件來保證它們的安全。

　　聽起來，這似乎比較簡單。然而事實上，我一直在用足夠的耐心等待著有一天能夠找到完美的Windows防火墻，這樣我就可以不用跟那些向我咨詢的人解釋為什么很多時候理想的選擇是部署了Iptables的Linux系統。但是我想我的等待是徒勞的，很多時候我都以為我終于找到了最好的Windows防火墻解決方案，然而那只是我又一次失望的開始。

　　TCP/IP過濾器的速度的確非?？欤膬烖c也僅局限于此，因為當你使用TCP/IP過濾器時，你肯定還需要添加其他層的保護。

　　IPSec是不錯的，當你挑選出適用的規則、過濾條款后，你可以通過圖形界面或者命令行界面來設置，但是無論是圖形界面還是命令行界面都容易把人搞糊涂。最后，你終于配置完成，并成功讓它運行起來——這時，你將會發現網絡變慢了，因為IPSec過濾“包”的時候，它本身就能讓網絡變慢10%~15%。在這里順便再說說其他令我憎恨IPSec的事情：它是以Windows事件的方式來記錄日志的——當你想要觀看你的防火墻日志的時候，你需要點擊那些事件日志，然后找出你想要的東西——這已經足夠讓我放棄使用它了。

　　Internet Connection Firewall(ICF)在Windows Server 2003中稍微好一點，它有不錯的性能，并且在規則方面有一定彈性。當Windows Server 2003 SP1來到以后，新的Windows防火墻將變得更好。Windows防火墻是個大的進步，而且它具備群組策略。不幸的是Windows防火墻不允許你針對發出端設置任何規則，此外，它還需要開啟遠程管理和通訊服務——這些都是我平時不需要的。

　　可能有人會問RAS怎么樣呢？你可能注意到，它具備包過濾功能，并且事實上它還為其他工具提供了不錯的API接口以便對過濾器進行配置。但是，這些過濾器無法控制底層協議，比如ICMP，所以實際上它沒多大用處。

　　還有許多個人版防火墻可以非常好的運行于桌面系統，但是它們都無法達到服務器用戶的需要。雖然在它們當中，某些產品明顯超出同類產品的水平，但是所有個人版防火墻的共同的問題是：簡單的記錄工具、緩慢的執行效率，而最糟糕的是，大多數個人版防火墻在數據流通量非常大的時候都有可能造成系統藍屏。

　　個人版防火墻的這些問題源自它們與Windows的結合性上。它們通過多種途徑來截取信息包，而這也造成了它們的一些缺陷。某些個人版防火墻產品涉及到攔截系統內核信息，或改寫硬件驅動的問題。由于這種工作方式，你最好祈禱它們的產品是穩定的，否則將經?？吹剿{屏現象，你瞧，當流通量比較大的時候我們的確經?？吹较到y藍屏。

　　另一個問題是，由于這些個人版防火墻的工作模式，所以它們通常會發生排斥，所以不要嘗試同時在PC里安裝兩套個人版防火墻，服務器也是如此。否則，你可能會遇到一些問題。個人防火墻還不適合無人值守的服務器，因為大多數個人防火墻在攔截包的時候都會彈出一個對話框，讓用戶選擇如何處理/操作。一些防火墻我還發現無法通過系統托盤圖標順利訪問終端業務。

　　我最后一次以為已經找到了Windows防火墻的最好解決方案是在我嘗試給Windows服務器安裝ISA Server 2004的時候。讓我驚奇的是，它運行得非常好。它的功能非常完善，在防護范圍方面跟個人版差不多，但它運行更穩定。我發現它只有一個問題：ISA Server 2004的許可授權的價格比服務器本身還要貴。這使得它很難被用戶接受。

　　我現在該怎么辦？我覺得我如果自己花錢購買一個小型硬件級防火墻來保護我的服務器——僅僅因為我有時要離開它一小段時間——那實在是非常瘋狂的事情。

　　不是所有的希望都破滅了，至少，微軟正在努力打造一個新的過濾平臺WFP，在不久即將來到的“長角(Longhorn)”系統上。該版本的實際發布日期可能是在未來的一、兩年里。WFP是一個集成包過濾技術于操作系統之內的解決方案。

　　未來，第三方廠商的防火墻很可能只是簡單的接入到WFP體系中，并提供配置規則的功能而已。WFP計劃支持新TCP/IP協議的多個層，并且可以在通信流被解析之前就進行過濾。WFP甚至還支持IPv6。WFP聽起來不錯，但是它仍然無法在今天就幫助我們，它離我們還有些距離。并且，它是否有效并穩定還需要我們在實際使用中觀察。

　　你可能認為答案過于簡單了，當然不。這些仍然讓我們感到適當的驚訝。目前，Windows服務器防火墻完美的解決方案是不存在的。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。

上一篇：通過Windows組策略讓網絡更強壯(2)

下一篇：硬盤無法格式化-windows無法完成格式化怎么辦