电子鱼 发表于 2009-10-16 21:39:38

防火墙使用教程

.什么是防火墙?
防火墙的英文叫做firewall,它能够在网络与电脑之间建立一道监控屏障,保护在防火墙内部的系统不受网络黑客的攻击。逻辑上讲,防火墙既是信息分离器、限制器,也是信息分析器,它可以有效地对局域网和Internet之间的任何活动进行监控,从而保证局域网内部的安全。
网络上最著名的软件防火墙是LockDown2000,这套软件需要经过注册才能获得完整版本,它的功能强大,小到保护个人上网用户、大到维护商务网站的运作,它都能出色的做出惊人的表现。但因为软件的注册需要一定费用,所以对个人用户来说还是选择一款免费的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了,天网防火墙个人版是一套给个人电脑使用的网络安全程序,它能够抵挡网络入侵和攻击,防止信息泄露。
2、天网防火墙的基本功能:
天网防火墙个人版把网络分为本地网和互联网,可以针对来自不同网络的信息,来设置不同的安全方案,以下所述的问题都是针对互联网而言的,故所有的设置都是在互联网安全级别中完成的。
怎样防止信息泄露?
如果把文件共享向互联网开放,而且又不设定密码,那么别人就可以轻松的通过互联网看到您机器中的文件,如果您还允许共享可写,那别人甚至可以删除文件。
你可以在个人防火墙的互联网安全级别设置中,将NETBIOS
关闭,这样别人就不能通过INTERNET访问你的共享资源了(这种设置不会影响你在局域网中的资源共享)。
当拨号用户上网获得了分配到的IP地址之后,可以通过天网防火墙将ICMP关闭,这样黑客用PING的方法就无法确定使用者的的系统是否处于上网状态,无法直接通过IP地址获得使用者系统的信息了。
需要指出的是:防火墙拦截的信息并不完全是攻击信息,它记录的只是系统在安全设置中所拒绝接收的数据包。在某些情况下,系统可能会收到一些正常但又被拦截的数据包,例如某些路由器会定时发出一些IGMP包等;或有些主机会定时PING出数据到本地系统确认连接仍在维持着,这个时候如果利用防火墙将ICMP和IGMP屏蔽了,就会在安全记录中见到这些被拦截的数据包,因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。
3、使用防火墙的益处:
使用防火墙可以保护脆弱的服务,通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall可以禁止NIS、NFS服务通过,同时可以拒绝源路由和ICMP重定向封包。
另外防火墙可以控制对系统的访问权限,例如某些企业允许从外部访问企业内部的某些系统,而禁止访问另外的系统,通过防火墙对这些允许共享的系统进行设置,还可以设定内部的系统只访问外部特定的Mail
Server和Web
Server,保护企业内部信息的安全。
4、防火墙的种类:
防火墙总体上分为包过滤、应用级网关和代理服务器等三种类型:
(1)数据包过滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access
Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被UU1001词语替换或假冒。
(2)应用级网关
应用级网关(Application Level
Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依*特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
(3)代理服务
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP
Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的"
链接",由两个终止代理服务器上的"
链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
三、防病毒从杀毒开始:
2001年的七、八两月对反病毒厂家无疑是一段"幸福时光",先后爆发的Sircam和"红色代码"让国内的杀毒厂家们忙的不亦乐乎,上门求助的用户络绎不绝,代理商的订货单频频发来,用火爆形容此时的杀毒行业一点也不为过。病毒横行互联网并不一定是黑客所谓,但这也同样影响着互联网的安全,所以要做好网络安全工作还要时刻警惕病毒的产生。
使用好的杀毒软件是防范病毒的明智选择,一个商家如何让自己的杀毒软件立于不败之地、一个用户如何选择优秀的杀毒软件?这些问题主要从下面三个方面来衡量:
1、迅速消灭病毒
从2001年4月至今,CIH、"欢乐时光"、"陷阱"、Sircam和红色代码病毒在世界各地大面积疯狂肆虐,对让人心有余悸的CIH,众多杀毒厂家已有了充分准备,但真正让他们经受考验的是紧随其后的几个恶性病毒。
当这些病毒在国内出现苗头之际,兼备国内和国际病毒库的江民公司迅速查杀并发布了解决方案和升级程序,及时消灭了这些恶性病毒,将广大计算机用户的损失减小到最低程度。据江民公司技术人员透露,近来江民网站的访问量急剧上升,大量的计算机用户到江民网站了解病毒知识、下载升级程序、学习杀毒方法。这些现象都说明实效性对衡量杀毒软件好坏起到至关重要的影响。
2、软件升级方便
病毒的不可预期使得频频升级成了杀毒软件一大特点。而性能稳定,升级方便,则无疑会使用户在病毒到来时没有后顾之忧。例如网络上各种新病毒的产生,随之而来的是全新的杀毒概念——网络杀毒,用户上网通过浏览器就可以检测自己的系统中是否存在病毒、并进行清除,这对于今后的杀毒市场无疑是一个新方向、新概念。
网络杀毒具有更高的时效性,并且可以轻松升级杀毒软件的病毒识别库,软件升级方便,让更多的病毒在没有大面积流行之前就断绝了它的传播途径,这种杀毒新概念的优越性是显而易见的。
3、技术引领潮流
说到底,技术还是决定一个杀毒软件的命脉。在反病毒领域,技术是检验真理的唯一标准。
杀毒软件的牌子是杀出来的,谁最能杀,谁最能防,谁能在病毒发作后恢复丢失的文件和数据,谁又能引导该行业的技术潮流,不断推陈出新,与国际领先水平相比毫不逊色,谁就是最终的胜者,这也是广大计算机用户多年来形成的检验标准。如果哪个杀毒软件因为一点小漏洞给用户带来损失,那它自然就会失宠。
占用资源少,扫描速度快,杀毒能力强,这是广大用户心目中理想的杀毒软件模型。对于网络蠕虫病毒查杀、宏病毒查杀、邮件防毒、未知病毒查杀、硬盘修复、智能升级和防黑客等在国际上领先的技术,是今天成功杀毒软件必不可少的功能。
四、2001年流行病毒一览:
这本《攻学兼防》是2001年8月写成的,而面对网络的瞬息万变,我也没有能力预测今后若干年会出现什么变故,因而只能做个简单的抛砖引玉,看看病毒流行和防范工作是如何进行的。
公安部日前指出,目前我国计算机系统遭病毒感染和破坏的情况比较严重。据最近的一次调查表明,我国约73%的计算机用户曾感染过病毒,其中感染三次以上的用户高达59%,而且病毒的破坏性较大,全部数据被病毒破坏的占14%,部分损失的占57%。
在随后美国一家反病毒公司的调查中显示,41%的调查者安装了杀毒软件,但这一部分人中,只有26%的人至少每月升级一次杀毒软件来防止最新病毒。而真正令人担忧的是,即使知道最近潜伏病毒威胁,比如Sircam、红色代码等病毒,大多数调查者仍然表示没有兴趣改变他们的在线安全习惯。
从以上数据不难看出,全球的计算机信息安全问题依然任重道远,仍有许多计算机用户因缺乏足够的防范病毒意识和知识使病毒得以横行。这一点在我国更为明显,尤其是7、8月份以来,一些用户屡遭几种复发率较高的病毒如"欢乐时光"、CIH等的毒手。日前,国内权威反病毒专家王江民指出,虽然近期国内暂时没有大的疫情出现,但7、8月份延续而来的病毒高发期并没有过去,
9月,计算机用户应密切关注反病毒厂家的动态信息,重点防范四大病毒。
1、“欢乐时光”首当其冲
“欢乐时光”是今年4月底出现的一种通过电子邮件传播的VBS/HTM蠕虫类病毒,这种针对微软信件浏览器的弱点而编写的病毒已经被公认为上半年国内最具危险性的十大恶性病毒之一,它的传播性和危害性丝毫不比7、8月份流行的Sircam和"红色代码"逊色,而且它的复发率极强,当染毒计算机的日期为日+月=13时,该病毒就会死灰复燃。自5月8日第一次大规模爆发以来,尽管该病毒已被广大用户所熟知,但由于该病毒在感染上的特殊性,即作为邮件内容而不是作为附件传染,而且还有可能通过浏览被感染网站而遭受感染,所以几个月来,被该病毒感染的用户数量始终不减。
2、Sircam“毒”占鳌头
相信“Hi!
How are you?”、“See you
later.Thanks”这样的句子大家早已不再陌生了,这就是不断在肆意散发用户邮件及机密文档,但因只占用资源并未出现较大危害而使得许多用户在感染后还不知道的Sircam病毒。
Sircam病毒是一种首发于英国的恶性网络蠕虫病毒,主要通过电子邮件附件进行传播,目前有A,B,C3个变种,在传播自身的同时,它也要大量将用户的DOC、XLS、ZIP文档的前部贴上病毒体后再通过互联网到处乱发,已有相当多的政府机密文档和企业资料被泄密。如果受感染的机器上的日期的格式是:日/月/年的话,那么在每年的10月16日该网络蠕虫程序会将C盘上的所有文件以及目录删除;在该网络蠕虫程序发现自身不完全时,该网络蠕虫程序就会将WINDOWS安装目录所在的驱动器上的文件和所有的子目录完全删除;同时还会在系统的回收站中写入文件:Sircam.sys一直到硬盘的剩余空间为零。
Sircam病毒在感染电脑后会自我复制,然后根据受感染电脑内的电子邮件地址寄出副本,并随机夹带出一个档案。同时该病毒并不针对任何特定的电子邮件软件,如微软(Microsoft)的Outlook等,该病毒拥有自己的电子邮件引擎,所以可能感染任何电子邮件的使用者。因此Sircam病毒比专家预期的更难以对付且存活时间更长,可以断言,该病毒在未来一段时期内仍将是全球电脑用户的头号大敌,对该病毒的防范意识和措施应继续加强。
3、“红色代码”阴魂不散
2001年8月份,尽管危害性最强的是迅速蹿至全球头号杀手的Sircam,尽管有权威专家在人们谈红色变时及时出来降了温,但近日“红色代码”再生变种的消息又让心有余悸的人不禁胆寒。
公安部近期对“红毒”专门发布的通告称,“红色代码Ⅱ”病毒是一种具有严重危害后果的恶性病毒,该病毒具有传播速度快、可造成网络通讯阻塞、服务器瘫痪、含黑客远程控制程序等特征,它主要威胁使用Windows2000或NT操作系统的局域网、企业网和互联网,但没有像最近社会上传说的那样对全国网络系统造成巨大影响。截止2001年8月22日,我国受“红色代码Ⅱ”病毒感染的单位近600家,服务器1000余台,涉及全国20多个省区市。
4、Funlove死缠烂打
长期以来,WIN32.FunLove.4099病毒在我国感染率居高不下,屡杀不尽,寻求解决方案的电话和邮件不断。尤其是NT服务器感染该病毒后的清除一直存在问题。江民公司、赛门铁克等几大反病毒厂家纷纷推出了自己的一整套解决方案,声称困扰计算机用户两年之久的WIN32.FunLove.4099病毒有望根除,但截止目前,该病毒并没有被赶净杀绝。
WIN32.FunLove.4099病毒是驻留内存的Win32病毒,它感染本地和网络中的PE-EXE文件,属于一种易监测、难杀除的顽劣病毒。当染毒的文件被运行时,该病毒将在Windowssystem目录下创建FLCSS.EXE文件,在其中只写入纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从
C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR or
.EXE扩展名的PE文件,当感染一个文件时,该病毒将其代码写到文件的尾部并且添加启动程序(8字节长的代码)将控制权传递给病毒体。当被激活,病毒将首先恢复这8字节的代码然后运行它的主程序。并在机器间完全共享的文件中极为迅速地传播,致使计算机长期处于“病态”。
网络时代的病毒常常是不可预见的,正如2001年7月涌现Sircam、8月泛滥"红色代码",9月是否新的计算机安全杀手又将横空出世尚不可知。时至今日,通过网络滋生和传播的病毒已达60%以上,让人类从经济和精神上饱受打击,对病毒的防范,除了呼唤更好的单机版杀毒软件为个人用户筑起一道坚实的防护墙,除了期盼更安全的网络版防杀毒系统为企事业单位竖起牢固的盾牌,除了希望杀毒厂家能提供更优质及时的升级服务和技术支持外,其余能做的,只有牢记象与病毒征战了十余年的王江民那样的专家不断重复的几句话:一是要养成备份文件的习惯,二是及时升级杀毒软件以最大限度地减少损失,三是学会利用杀毒软件进行灾难恢复。
与病毒抗争,永远都是:亡羊补牢犹为晚。
页: [1]
查看完整版本: 防火墙使用教程