内容


为 IBM Rational ClearCase 配置 Microsoft Windows 防火墙

Comments

关于 Windows 防火墙

Windows 防火墙内置于 Microsoft® Windows® XP Service Pack 2 和 Microsoft® Windows Vista® 操作系统,以及 Microsoft® Windows Server® 2003 Service Pack 1 和 Windows Server 2008 操作系统之中。

Windows XP 及 Windows 2003 上的 Windows 防火墙

在 Windows XP SP2 及 Windows 2003 SP1 默认条件下所有的网络链接中 Windows 防火墙是处于激活状态的。它包含了有线的、无线的、拨号上网的 Virtual Private Network (VPN)以及 FireWire 链接。防火墙对于所有新创建的链接也都处于激活状态。

Windows 防火墙也有一些内建的例外情况,它允许计算机人员能够链接到本地的网络。这些例外允许计算机人员使用动态主机配置协议(DHCP)和域名系统(DNS)来执行基本的网络创建任务,并与域控制员相通讯以获取 Group Policy 更新状态信息。

还有一些新的防火墙组政策,可以由管理员在域概述或者标准概述层次下设置,如图 1 所示。

图 1. 设置一个新的防火墙组政策
显示添加防火墙政策的屏幕截图
显示添加防火墙政策的屏幕截图

图 1 的大图

在 Windows XP SP2 和 Windows 2003 SP1 中,防火墙还增加了一种新的操作模式。在以前,你可以允许例外交通开放情况的存在,或者禁止防火墙的运行(允许所有的通讯开放)。而新的模式则支持你禁止所有到来的通讯请求。为了打开这种模式,你可以选中 Windows 防火墙窗口中通用设置页面上的不允许例外情况的发生单选框。

图 2. Windows 防火墙的通用设置页面
Windows 防火墙配置的屏幕截图

使用这种模式,可以在一个已知的网络攻击或者病毒程序沿着网络传播期间,暂时地锁定电脑。当网络攻击结束,而且更新文件已经安装以预防未来可能发生的下一次攻击之后,你可以选择激活(推荐使用)选项,这就使得防火墙允许通过认证过的通讯。

Windows Vista 及 Windows 2008 上的 Windows 防火墙

微软公司在 Windows Vista 和 Windows Server 2008 操作系统中对 Windows 防火墙做了额外的改进升级。

其中的一些改进之处在于:

  • 一个新的管理操控台单元。它可以通过点击 Start > Control Panel > Administrative Tools > Windows Firewall with Advanced Security,或者通过运行 wf.msc 来进行访问。
  • 出站 数据包过滤
  • IPv6 链接过滤

Windows 防火墙能做的及不能做的

在 Windows XP SP2 及 Windows 2003 SP1 中,Windows 防火墙阻止了未经请求的进站通讯申请。它追踪了每一次网络链接的状态,并决定未经请求的进站通讯申请是同意还是拒绝。Windows 防火墙允许响应一次申请(经过请求的)或者允许例外情况中的进站通讯。

在 Windows Vista 及 Windows 2008 中,默认条件下 Windows 防火墙会阻止所有到来的通讯申请,除非它是事先请求的或者匹配一条配置的规则。默认条件下,Windows 防火墙会允许所有的出站通讯申请。你还可以配置 Windows 防火墙以基于一个配置好的规则来阻止出站通讯申请。

Windows 防火墙提供了面临诸如蠕虫之类恶意程序的网络攻击时的防御手段。但是,它不能监测到或者防御你系统中已经存在的蠕虫病毒。

防火墙不能阻止电子邮件广告、保护你免受病毒的攻击,或者阻止用户打开带有危险附件的电子邮件。

Windows 防火墙能够做些什么

当因特网或者其他网络上有人想要链接到一个电脑上时,它是作为一种 未经请求的申请 表现出来的。Windows 防火墙在默认条件下会阻止这种链接。

你还可以基于一个安全警报来阻止或者不阻止来自一个程序的请求。当一个程序需要通过网络或者因特网来接受信息时,这种情况可能会发生。接下来的图片显示了安全警报的示例。

图 3. 安全警报
 cleartool 命令屏幕截图的安全警报
cleartool 命令屏幕截图的安全警报

如果你没有阻止链接,那么 Windows 防火墙会创建一个例外情况,这样防火墙就不会再询问以后程序什么时候需要接受信息了。

Windows 防火墙和 ClearCase

目前,IBM 并不支持 IBM Rational ClearCase 与防火墙一起使用(在 IBM.com 上的“支持与下载”部分中可以看到 关于防火墙与 ClearCase 的相关信息)。

防火墙配置问题超出了 ClearCase 支持的范围。

让我们解决一下 Windows 防火墙中生成安全警报的问题。基于一些有限的测试实验,下面是一个文件的列表,它生成了阻止或者接受一个程序的请求。所有下面的 ClearCase 程序都应该进行阻止以避免安全警报的产生。

cc_install_dir\bin
admin_server.exe
cc.cpl
ccadminconsole.msc
ccdoctor.exe
cchostadmin.msc
CCImportWizard.exe
clearapplywizard.exe
clearaudit.exe
clearcomptree.exe
cleardescribe.exe
cleardiffbl.exe
cleardiffmrg.exe
cleardlg.exe
clearexplorer.exe
clearexport_ccase.exe
clearexport_cvs.exe
clearexport_ffile.exe
clearexport_pvcs.exe
clearexport_rcs.exe
clearexport_ssafe.exe
clearfindco.exe
clearfsimport.exe
clearhistory.exe
clearimport.exe
clearlicense.exe
clearlstype.exe
clearmake.exe
clearmrgman.exe
clearprojexp.exe
clearprojtool.exe
cleartool.exe
clearviewtool.exe
clearviewupdate.exe
clearvobtool.exe
clearvtree.exe
cqconfig.exe
cqquery.exe
credmap_server.exe
crmregister.exe
db_dumper.exe
db_loader.exe
db_server.exe
msadm_server.exe
multitool.exe
omake.exe
promote_server.exe
rccTSOServer.exe
regsync.exe
rgy_backup.exe
rgy_check.exe
rgy_switchover.exe
rgy_upgrade.exe
scrubber.exe
shipping_server.exe
squidtool.exe
syncmgr_scrubber.exe
view_scrubber.exe
vob_scrubber.exe
vob_synctool.exe
xmldiffmrg.exe
cleardiff.exe
cqtrigger_coci.exe
cqtrigger_unco.exe
Clearaas.exe
act_null_cs.exe
pblpopulate.exe
abe.exe
albd_server.exe
ccfs_server.exe
lockmgr.exe
syncmgr_server.exe
view_server.exe
vobrpc_server.exe
vob_server.exe

cc_install_dir\etc\util
albd_list.exe
crcmode.exe
credmap.exe
epochs.exe
get_hlinks.exe
msdostext_mode.exe
ntlogon_util.exe
oplog2time.exe
ucmutil.exe
view_sr.exe
view_test.exe
vobdiff.exe
vob_siddump.exe
vob_sidwalk.exe
whiteout.exe
cclt2cc.exe

cc_install_dir\etc
SvrStor.exe

cc_install_dir\bin\dumpers
db_dumper.53.exe
db_dumper.54.exe

cc_install_dir\reports
ccreportbuilder.exe
ccreportviewer.exe

cc_install_dir\config\ui\preferences
ccadminconsole_W2K.msc
cchostadmin_W2K.msc

自动化注册过程

批处理文件让注册和注销 ClearCase 文件变得更加容易,这些文件会在 Windows 防火墙中产生安全警报。列表 1 中显示的 registercc.bat 文件会使用防火墙注册文件并阻止安全警报的产生。

列表 1. registercc.bat
@echo off
SETLOCAL
if X%1%==X goto usage
set CLEARCASEHOME=%*

echo %CLEARCASEHOME%

for /R "%CLEARCASEHOME%\bin" %%i in (*.exe *.dll *.cpl *.msc) do ( 
echo netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
)

for /R "%CLEARCASEHOME%\bin\dumpers" %%i in (*.exe *.dll *.cpl *.msc) do ( 
echo netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
)

for /R "%CLEARCASEHOME%\etc\utils" %%i in (*.exe *.dll *.cpl *.msc) do ( 
echo netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
)

for /R "%CLEARCASEHOME%\etc" %%i in (*.exe *.dll *.cpl *.msc) do ( 
echo netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
)

for /R "%CLEARCASEHOME%\reports" %%i in (*.exe *.dll *.cpl *.msc) do ( 
echo netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
)

for /R "%CLEARCASEHOME%\config\ui\preferences" %%i in (*.exe *.dll *.cpl *.msc) do ( 
echo netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
netsh firewall add allowedprogram program="%%i" name="%%i" mode=ENABLE scope=ALL 
profile=ALL
)

echo netsh firewall add allowedprogram program="C:\WINDOWS\system32\mmc.exe"
 name="mmc.exe" mode=ENABLE scope=ALL profile=ALL
netsh firewall add allowedprogram program="C:\WINDOWS\system32\mmc.exe" 
name="mmc.exe" mode=ENABLE scope=ALL profile=ALL

goto done 

:usage echo Usage: %0 ClearCase-Install-Dir 
echo Please use the following directory as ClearCase-Install-Dir without the quotes. 
reg query HKLM\Software\Atria\ClearCase\CurrentVersion /v ProductHome | findstr /i 
/c:clearcase 

:done ENDLOCAL

列表 2 中所显示的 unregistercc.bat 文件会使用防火墙来注销文件。

列表 2. unregistercc.bat
@echo off
SETLOCAL
if X%1%==X goto usage
set CLEARCASEHOME=%*

echo %CLEARCASEHOME%

for /R "%CLEARCASEHOME%\bin" %%i in (*.exe *.dll *.cpl *.msc) do ( 
    echo netsh firewall delete allowedprogram program="%%i" ALL
    netsh firewall delete allowedprogram program="%%i" ALL
)

for /R "%CLEARCASEHOME%\bin\dumpers" %%i in (*.exe *.dll *.cpl *.msc) do ( 
    echo netsh firewall delete allowedprogram program="%%i" ALL
    netsh firewall delete allowedprogram program="%%i" ALL
)

for /R "%CLEARCASEHOME%\etc\utils" %%i in (*.exe *.dll *.cpl *.msc) do ( 
    echo netsh firewall delete allowedprogram program="%%i" ALL
    netsh firewall delete allowedprogram program="%%i" ALL
)

for /R "%CLEARCASEHOME%\etc" %%i in (*.exe *.dll *.cpl *.msc) do ( 
    echo netsh firewall delete allowedprogram program="%%i" ALL
    netsh firewall delete allowedprogram program="%%i" ALL
)

for /R "%CLEARCASEHOME%\reports" %%i in (*.exe *.dll *.cpl *.msc) do ( 
    echo netsh firewall delete allowedprogram program="%%i" ALL
    netsh firewall delete allowedprogram program="%%i" ALL
)

for /R "%CLEARCASEHOME%\config\ui\preferences" %%i in (*.exe *.dll *.cpl *.msc) do ( 
    echo netsh firewall delete allowedprogram program="%%i" ALL
    netsh firewall delete allowedprogram program="%%i" ALL
)

echo netsh firewall delete allowedprogram program="C:\WINDOWS\system32\mmc.exe" ALL
netsh firewall delete allowedprogram program="C:\WINDOWS\system32\mmc.exe" ALL

goto done 

:usage echo Usage: %0 ClearCase-Install-Dir 
echo Please use the following directory as ClearCase-Install-Dir without the quotes. 
reg query HKLM\Software\Atria\ClearCase\CurrentVersion /v ProductHome | 
findstr /i /c:clearcase

:done ENDLOCAL

下载资源


相关主题


评论

添加或订阅评论,请先登录注册

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Rational
ArticleID=477671
ArticleTitle=为 IBM Rational ClearCase 配置 Microsoft Windows 防火墙
publish-date=03252010