`

通过防火墙管理第三方应用程序安全

 
阅读更多
转自:http://technet.microsoft.com/zh-cn/library/ff629023.aspx<br>台州肃洋五金机电有限公司为了满足日常办公的需要,在企业内部部署了一台服务器。其采用的操作系统是Windows 2008 R2。为了提高这台服务器的安全性,系统管理员决定对这台服务器的外网访问进行一定的限制。如只允许指定的应用程序通过指定的端口访问互联网。未经过审批的应用程序一律不得访问外网。要实现这个安全措施的话,在以前版本的服务器中可能有一定的困难。或者说需要借助第三方的工具才能够完成。不过在Windows2008操作系统中,则只需要借助其自身的Windows高级防火墙功能就可以完成。笔者抛砖引玉,对这方面的配置做一个详细的说明,以供大家参考。

  一、为程序定义一个出站规则

  如果系统管理员要限制的是微软自带的服务,如FTP服务,则可以直接通过Server Manager使用程序与防火墙集成在一起来实现。但是如果要管理的是第三方应用程序,如迅雷等下载工具,则就需要使用Windows高级防火墙的出入站规则来完成。通过规则,可以建立控制业务量流向服务器的入站规则和控制服务器向外通信的出站规则。如下图所示,通过开始菜单、所有程序、管理工具、高级安全Windows防火墙,就可以打开防火墙配置界面。然后单击出站规则,会打开具体的配置窗口。


  

  在这个配置窗口中,会有程序、端口、预订译、自定义等多个选项。顾名思义,不同的选择用来对应不同的内容。笔者这里假设现在有一个应用程序,如迅雷,其可以访问外网。为此在这里就可以选择“程序”选项。

  特别提醒:

  高级安全Windows防火墙可以创建一个规则,允许某些特定的第三方程序在执行时可以访问外网。在实际工作中,这个特性在特定的应用程序服务器使用多个不同的端口的情况下会特别有用。

  二、为连接指定安全选项

  如果允许某个应用程序访问外网,为了安全考虑,仍然为这个连接采取一些必要的安全措施。在“操作”窗口,就是用来定义具有高级安全性的Windows防火墙对匹配防火墙规则标准的传入与传输数据包设置需要采取的操作。在这个步骤中,主要有三个选项供管理员选择,分别为“允许连接”、“只允许安全连接”以及“要求加密连接”。

  允许连接是一种“加密可有可无”的连接。如当需要访问的服务器如果有SSL加密要求的话,则这台主机也会采用IPSec机制来加密传输的数据。但是,如果对方禁用了IPSec加密,则这台主机仍然允许建立连接、传输数据。但是此时由于传输的数据没有进行加密,为此信息在传输过程中很容易被人窃取。

  只允许安全连接选项则只允许使用IPSec进行身份验证以及数据的完整性保护。当选择这个选项时,系统会将“用户和计算机”页面自动添加到配置向导中。管理员就可以使用这个页面制定要授权访问的用户或者计算机。如果这个页面中没有进行配置的话,那么就允许应用程序访问所有的用户和计算机。如果指定了允许访问的计算机的话,那么必须使用包含相应计算机信息的身份验证方法。

  要求加密连接选项对于连接的要求更加严格。使用这个选项的话系统会要求所有能够进出站的通信都需要使用加密。如果对方计算机不支持数据加密的话,则会阻止连接。

  

  可见三个选项其安全级别是不同的。在实际工作中,需要系统管理员根据企业用户的安全需求来选择。笔者认为,在大部分情况下,选择“只允许安全连接选”即可。

  特别提醒:

  如果选择“要求加密连接”选项的话,则必须要求对方的计算机也启用了IPSec机制。否则的话,即使允许应用程序访问外网的计算机,但是也会因为无法建立安全连接而拒绝访问。故采用这个选项的时候要特别谨慎。

  三、指定允许访问的计算机资源

  经过以上的配置,允许某个应用程序以安全连接或者非安全连接访问外网资源。不过有时候系统管理员会对这个连接进行进一步的限制,如只允许某个特定的主机。如在总分公司的环境中,这个功能就比较有用。当分公司的主机需要每隔一段时间通过第三方应用程序从总公司的服务器中下载相关的数据,此时就可以利用这个“仅允许到这些计算机的连接”来限制外网访问的资源。

  

  特别提醒:

  如果要使用这个选项的话,则在上一步配置中必须选择“只允许安全连接”选项,并且对由这个防火墙规则指定的计算机也必须具有相应的连接安全规则。

  四、指定防火墙出站规则生效的时机

  
  经过以上几个步骤,已经成功定义了一个出站或者入站规则。接下去需要设置的是在什么情况下让这个规则生效。从上图中可以看出,这个步骤中主要有域、专用、公用等几个选项。其中域选项代表这个规则只适用于域配置文件,即当这台主机连接到其域帐户所在的网络时,就应用域配置文件。专用选项则代表刚才定义的防火墙规则只应用于专用配置文件。如当用户连接到互联网时,就需要使用这个“专用”选项。通常情况下专用配置文件的设置比域配置文件更为严格。“公用”选项表示防火墙规则只应用于公用配置文件。即当计算机通过公用网络连接到域时就采用公用配置文件。由于公用网络存在着比较大的安全隐患,为此公用配置文件的设置应该比上面两个更加严格、周密。

  特别提醒:

  以上三个选项通常情况下分别对应于不同的场合。域选项通常用的比较少,其需要有域帐户才可以。而“专用”选项则比较适合企业内部主机连接外网时使用。“公用”选项则一般应用在飞机场、咖啡厅、网吧等公共场所。

  最后为防火墙规则取一个有内涵的名字即可。取名虽然只是一个符号,不会影响到规则的生效。但是当防火墙规则多了,取一个一目了然的名字,还是有利于后续的维护。
分享到:
评论

相关推荐

    移动互联网应用程序安全规范.pdf

    - **实践**: 对第三方组件进行安全性评估;定期更新依赖库以修复安全漏洞。 - **工具**: 组件扫描工具可以检查已知的安全问题。 **2.2.2 权限安全** - **目标**: 控制应用程序所需的最低权限。 - **实践**: 遵循...

    ftp第三方工具

    FTP第三方工具则是为方便用户更高效、安全地与FTP服务器交互而设计的软件应用。这些工具通常提供图形用户界面(GUI),使得非技术用户也能轻松管理文件上传、下载和其他相关操作。 FTP服务器是提供FTP服务的计算机...

    Java_Web系统常用的第三方接口.docx

    3.3 第三方接口提供:Web Service 可以用来提供第三方接口,实现跨防火墙的通信和集成。 四、结论 Web Service 是一种常用的第三方接口方式,具有跨平台的可互操作性、软件和数据重用、跨防火墙的通信等优点。它...

    [数据库审计]大数据安全的核心_是第三方安全独立地位.zip

    本文将深入探讨标题"大数据安全的核心_是第三方安全独立地位"所蕴含的关键知识点,并结合描述中提到的Web安全、安全资讯、数据安全、安全集成以及NGFW等相关领域进行详细阐述。 大数据安全的核心在于确保数据的完整...

    信息系统第三方确认测试(安全)调研模板.docx

    《信息系统第三方确认测试(安全)调研》是针对信息系统安全性进行第三方独立验证的重要过程。这个过程旨在确保系统的功能、性能以及安全性达到预设的标准和要求。以下将详细阐述该调研涉及的知识点: 一、调研资料...

    Android应用源码之Android中禁止某软件的安装_安装.zip

    6. **使用防火墙或安全应用**:某些第三方安全应用提供了阻止未知来源应用安装的功能。通过在防火墙规则中添加特定应用的包名,可以防止该应用的安装。 需要注意的是,以上方法大多数都需要设备已root或者自定义ROM...

    win10 windows defender无法启动解决方法_1.docx

    在卸载第三方安全软件后,Windows Defender 服务可能会被篡改,导致无法正常启动。 三、解决方法 为了解决 Windows Defender 无法启动的问题,我们可以按照以下步骤进行操作: 1. 查询 Windows Defender 服务对应...

    解决explorer.exe 应用程序出错 问题

    - 可以使用安全模式启动Windows,以确定是否是第三方软件导致的问题。 5. **内存诊断工具** - Windows自带内存诊断工具,可以通过控制面板访问,运行该工具检测内存是否有问题。 6. **重置文件资源管理器** - ...

    信息系统第三方确认测试(安全)调研模板【模板】.docx

    通过以上内容,我们可以看出,信息系统第三方确认测试(安全)调研是一个涉及广泛领域和深度的工作,它需要详尽的准备、精确的需求定义以及全面的文档支持,以确保测试的有效性和准确性。这个模板提供了一个实用的...

    华盾防火墙 v1.0

    这使得用户在使用该防火墙的同时,不必担心它会影响其他正常运行的代码或者第三方组件。 压缩包内的"demo文件夹"包含了演示文件,分为两个版本,这可能代表了两种不同的使用场景或者不同级别的防护设置。开发者可以...

    电信设备-APP应用程序安全下载的方法、移动终端及下载服务器.zip

    - **验证来源**:用户应从官方应用商店或开发者官方网站下载APP,避免通过不明链接或第三方平台下载,以防止恶意软件的入侵。 - **检查权限**:在安装APP前,仔细查看所需权限,若发现与应用功能不相符的权限请求...

    IIS一键安装(应用程序)

    4. **日志与监控**:开启日志记录,使用性能监视器或第三方工具监控服务器状态。 总之,IIS一键安装程序为用户提供了快速部署IIS服务器的解决方案,简化了IT管理员的工作,使得在Windows环境下搭建Web服务器变得...

    云应用安全技术规范.pdf

    规范内容覆盖了API安全、小程序安全、后台应用程序安全、第三方SDK/类库安全、访问控制、身份与访问管理(IAM)、会话安全、终端识别以及租户级安全自助能力等多个方面。 首先,API安全是云应用安全的重要组成部分...

    「WEB应用防火墙」互联网广告精准化营销中个人信息保护的路径构建 - 云安全.zip

    4. 限制访问权限:设定严格的访问控制,限制员工和第三方服务商对个人信息的访问。 5. 定期审计:定期进行安全审计,检查个人信息处理流程的合规性和安全性。 6. 应急响应:建立有效的应急响应机制,快速应对数据...

    python-安全漏洞整改意见.docx

    由于Python应用程序通常依赖于各种第三方库和框架,这些库和框架也可能存在安全漏洞。因此,要及时更新这些依赖库和框架,以保证应用程序的安全性。 python-安全漏洞整改意见全文共2页,当前为第1页

    3.PA-DSS_v3-2_3_zh-CN(要求和安全评估程序).pdf

    PA-DSS的要求和安全评估程序是确保支付应用安全性的重要指南,适用于支付应用程序开发者、供应商以及那些评估这些应用程序安全性的第三方机构。 PA-DSS标准的3.2版发布于2016年5月,它对之前的版本进行了更新和改进...

    IOS应用源码之【应用】pysl-iPhone电话短信防火墙.rar

    - `Swift`/`Objective-C`库:可能包含自定义的函数或第三方库来增强功能。 6. **安全与隐私**:开发此类应用时,必须严格遵守苹果的隐私政策和用户数据保护规定。获取和使用电话和短信数据需要用户的明确授权,且...

    Web应用安全威胁与防治+基于OWASP+Top+10与ESAPI.pdf

    - 修复脆弱组件:及时更新和打补丁,使用安全的第三方库。 - 安全配置:定期审计配置,设定安全默认值,使用防火墙和入侵检测系统。 - CSRF防护:使用令牌验证,验证HTTP头部信息。 - 输入和输出过滤:使用ESAPI或...

Global site tag (gtag.js) - Google Analytics