找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1871|回复: 0

常见防火墙设置图文说明

[复制链接]
发表于 2009-6-2 20:53:10 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
常见防火墙设置图文说明
一、天网防火墙
天网防火墙有正式版(收费的版本,服务好,功能强)和试用版(免费,用的人很多,IP编辑高级功能受一些限制)之分,试用版的界面和操作基本都一样,使用试用版的可以参考类似的操作。
  安装完后要重起,重启后打开天网防火墙就能起到作用了。默认的中级状态下,它的作用就基本可以了。但有时它苛刻的IP规则也带来了很多不便,后面再说。所以,如果没什么特殊要求的,就设置为默认就OK了,安全级别为中就好。
  一、普通应用(默认情况)
  下面来介绍天网的一些简单设置,如下图一是系统设置界面,大家可以参照来设置:
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
图一
下面是IP规则,一般默认就可以了,其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的,这里是默认情况就不多说了。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
图二
下面是各个程序使用及监听端口的情况,可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
再看下图就是日志,上面记录了你程序访问网络的记录,局域网,和网上被IP扫描你端口的情况,供参考以便采取相应对策,由于是默认就不多说了,日志上基本都是拒绝的操作。图四
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
以上是天网在默认下的一些情况,只要你没什么特殊要求,如开放某些端口或 屏蔽某些端口,或某些IP操作等等,默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法,大家可以依次类推,完成你想要的相关操作。
  二、防火墙开放端口应用
  如果想开放端口就得新建新的IP规则,所以在说开放端口前,我们来说说怎么新建一个新的IP规则,如下图五,在自定义IP规则里双击进行新规则设置。
图五
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
点击增加规则后就会出现以下图六所示界面,我们把它分成四部分 图六
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
1)图六1是新建IP规则的说明部分,你可以取有代表性的名字,如“打开BT6881-6889端口”,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。
  2)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
  3)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。
  4)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,就看你自己想怎么样了。
   如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶,这就完成了新的IP规则的建立,并立即发挥作用。
  三、打开端口实例
  新IP规则建立后,举例说明。流行的BT使用的端口为6881-6889端口这九个端口,而防火墙的默认设置是不允许访问这些端口的,它只允许BT软件访问网络,所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了,但机器是不是就不安全了?下面以打开6881-6889端口举个实例
  1)在图五双击后建立一个新的IP规则后在出现的下图七里设置,由于BT使用的是TCP协议,所以就按下图七设置就OK了,点击确定完成新规则的建立,我命名为BT。
图七
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
设置新规则后,把规则上移到该协议组的置顶,并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。图八
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
四、应用自定义规则防止常见病毒
  上面介绍的是开放端口的应用,大体上都能类推,如其他程序要用到某些端口,而防火墙没有开放这些端口时,就可以自己设置,相信大家能搞定。下面来一些实例封端口,让某些病毒无法入侵。
  1、防范冲击波
  冲击波,这病毒大家熟悉吧??它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。
  如何防范,就是封主以上端口,首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用(就是打勾)就已经禁止了135和139两个端口。
  下边是禁止4444端口的图九
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
下面是禁止69和445端口的图,上图为69下图为445
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
建立完后就保存,记得保存,很多朋友就是不记得保存,导致没有效果。
  2、防范冰河木马
  冰河,熟悉了吧?也是比较狠的病毒哦,它使用的是UDP协议,默认端口为7626。
具体见下图
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置,其实设置都差不多,大家可以参照,可以大大防范突然爆发的病毒和木马的攻击!
  五、下面介绍怎么打开WEB和FTP服务
  不少朋友都使用了FTP服务器软件和WEB服务器,放火墙不仅限制本机访问外部的服务器,也限制外部计算机访问本机。为了WEB和FTP服务器能正常使用就得设置防火墙,首先在图八把“禁止所有人连接”前的勾去掉。
  以下是WEB和FTP的IP规则供大家参考上图为WEB,下图为FTP。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
六、常见日志的分析(仅供参考)
  使用防火墙关键是会看日志,看懂日志对分析问题是非常关键的,看下图,就是日志记录,上面记录了不符合规则的数据包被拦截的情况,通过分析日志就能知道自己受到什么攻击。下面来说说日志代表的意思,当然很多我也是知之甚少的,希望诸位坛友能给些更详细的解释和指正。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
看上图,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母,他们的简单含义如下:
  ACK:确认标志 --- 提示远端系统已经成功接收所有数据
  SYN:同步标志 --- 该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号
  FIN:结束标志 --- 带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。
  RST:复位标志,具体作用未知
  其他不知道了,呵呵
  第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
  下面举些常见典型例子来讲讲:
  记录1:[22:30:56] 202、121、0、112 尝试用PING来探测本机
  TCP标志: S
  该操作被拒绝
  该记录显示了在22:30:56时,从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息,但被拒绝了。
  人们用PING命令来确定一个合法IP是否存在,当别人用PING命令来探测你的机器时,如果你的电脑安装了TCP/IP协议,就回返回一个回音ICMP包,如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置,你的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的,,但如果在日志里显示有N个来自同一IP地址的记录,那就有鬼了,很有可能是别人用扫描工具探测你主机信息,他想干什么?谁知道?
  记录2:[5:29:11] 61、114、155、11试图连接本机的http[80]端口
  TCP标志:S
  该操作被拒绝
  本机的http[80]端口是HTTP协议的端口,主要用来进行HTTP协议数据交换,比如网页浏览,提供WEB服务。对于服务器,该记录表示有人通过此端口访问服务器的网页,而对于个人用户一般没这项服务,如果个人用户在日志里见到大量来自不同IP和端口号的此类记录,而TCP标志都为S(即连接请求)的话,完了,你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒,主要是攻击服务器,也会出现上面的情况。
  记录3:[5:49:55] 31、14、78、110 试图连接本机的木马冰河[7626]端口
  TCP标志:S
  该操作被拒绝
  这就是个害怕的记录啦,假如你没有中木马,也就没有打开7626端口,当然没什么事。而木马如果已植入你的机子,你已中了冰河,木马程序自动打开7626端口,迎接远方黑客的到来并控制你的机子,这时你就完了,但你装了防火墙以后,即使你中了木马,该操作也被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得*你的经验和资料来分析该端口的是和哪种木马程序相关联,从而判断对方的企图,并采取相应措施,封了那个端口。
  记录4:[6:12:33] 接收到 228、121、22、55的IGMP数据包
  该包被拦截
  这是日志中最常见的,也是最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。
  记录5:[6:14:20] 192、168、0、110 的1294端口停止对本机发送数据包
  TCP标志:F A
  继续下一规则
  [6:14:20] 本机应答192、168、0、110的1294端口
   TCP标志:A
   继续下一规则
   从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在图八里防火墙规则中选了“TCP数据包监视”,这样通过TCP传输的数据包都会被记录下来,所以大家没要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!呵呵!
   防火墙的日志内容远不只上面几种,如果你碰到一些不正常的连接,自己手头资料和网上资料就是你寻找问题的法宝,或上防火墙主页上看看,这有助于你改进防火墙规则的设置,使你上网更安全。
七、在线升级功能
  现在天网不断推出新的规则库,作为正式版用户当然可以享受这免费升级的待遇,只要在天网界面点击一下在线升级,不到2分钟就可以完成整个升级过程,即快捷又方便。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
点击后出现一个在线升级网络设置的提示框,如果你没有使用代理上网的就不用设置,直接下一步安装规则包,这样就完成升级了。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
升级后防火墙的自定义规则就会多了很多条防御木马的规则,只要使用自定义级别就可以了。不过选用自定义后,记得要把自定义里的IP规则选勾保存规则,这样日志才会有记录的。
二、诺顿个人防火墙
  在软件的主界面左侧点击“Internet区域控制”选项,在右侧窗口进入“信任区域”选项卡,点击“添加”按钮,打开“指定计算机”对话框。在该对话框中选择“使用范围”,然后在下面输入允许访问的起始地址和结束地址即可。
  例如,办公室的IP地址范围是172.22.1.2~172.22.1.253,现在只要将起止IP地址输入,点击“确定”按钮使设置生效之后,在这个区段内的所有IP就都可以正常访问了。
  其实我们可以不将该网段的所有IP地址囊括进来,大家可以根据自己所在局域网的实际情况来确定IP的范围。
  三、江民黑客防火墙
  在这款防火墙的主界面上点击“IP规则设置”按钮,弹出IP规则列表。在这个IP规则列表中,可找到和局域网有关的两条IP规则:“允许本机连接局域网内的其它机器”、“局域网内的其它机器访问本机(TCP)”(图3)。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
如果要修改“局域网内的其它机器访问本机(TCP)”规则,可点击该规则所对应的编辑按钮,打开“反黑王规则设定”对话框,在其中的“对方IP地址”下拉列表中选择“地址范围”,并将本局域网的网段添加进来即可。如果你真的不希望被网内的其他用户访问,也可以在“局域网内的其它机器访问本机”这条规则内进行设置。
  四、McAfee防火墙
  在McAfee防火墙安装的过程中,软件会要求我们进行网络设置。在“Choose Your Type of Network(选择网络类型)”窗口中选择“Office Network(办公网络)”,点击“Next”按钮,进入网络访问设置窗口。如果你是在办公室局域网内,建议你选择“Completely Trust My Local Network(完全信任我的本地网络)”,然后一路点击“Next”按钮即可完成设置。这样,防火墙便会像一个听话的“孩子”,不会对我们在局域网内进行的操作横加干涉了。
  当然,局域网内的访问不一定都是善意的,我们可以设置允许访问的IP地址的范围,最大限度地保证互访的安全性。
  如果你希望能够由自己定义允许访问的IP地址范围,可以在McAfee防火墙主窗口依次点击“Utilities→Trusted&Banned IPs→Trusted IP Addresses”,点击“Add”按钮。在弹出的可信任IP规则窗口中,点击“An IP Address Range”,在下面输入IP地址的范围(图4),最后点击“OK”按钮退出设置对话框即可。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
大家还可以在“Banned IP Addresses(不信任的IP地址)”选项卡内,将自己想拒绝的用户的IP地址添加进来。
  五、金山网镖
  金山网镖提供了局域网共享目录的访问监控功能,它允许用户随时查看本机共享目录的访问情况。通过这一功能,用户可以随时取消不必要的共享目录并中止其他用户对自己的共享目录的访问,尽可能地阻止恶意程序的入侵以及他人的“偷窥”。
  在金山网镖的主界面中,点击“共享管理”选项卡,在“共享管理”窗口列表中便会列出当前所有的共享。选择需要编辑的共享,然后在“共享管理”页面上方通过点击“编辑”、“删除”、“添加”等图标,便可对共享文件进行管理。另外,如果你想暂时中止某个文件夹的共享,只需要点击该文件夹右侧的“禁止”即可(图5)。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
此外,想要在局域网内能够正常互访,我们还需要做以下设置。在金山网镖的主窗口菜单栏上点击“工具→综合设置→IP设置”,勾选“我的电脑处于局域网中”复选框,点击“确定”按钮使设置生效。
  六、瑞星个人防火墙
  瑞星个人防火墙也是用户最常用的防火墙软件之一。从2003版开始,瑞星防火墙在它的规则设置中增加了对局域网和广域网的判别。而且,这种判别可以让用户对特定传输方向的数据进行处理。
  例如,很多用户希望能够开放Windows信使服务,以便接收局域网内其他用户发送的信息,但又担心收到外部网络发来的一些骚扰信息。此时,我们便可以利用瑞星防火墙专门针对Windows信使服务设定访问规则。在软件主界面的菜单栏上依次点击“选项→规则设置”,打开规则设置对话框。在规则列表中找到“禁止Windows信使服务”,打开修改规则对话框。要想在局域网内正常使用Windows信使功能,只要点击“数据链”旁的向下箭头,选择“局域网”,并将“操作”设定为“允许”即可。
    七、Kerio Personal Firewall(以下简称KPF)个人防火墙
无疑KPF是个不错的选择,它能够控制自己计算机与网络上的计算机的数据交换,保护你的计算机不受网络上用户的攻击,具有网络安全、私有信息保护、入侵检测、应用程序完整性检查四大功能,还能够屏蔽讨厌的广告、形形色色的脚本和控件,从多角度保卫用户的计算机不受侵犯。更重要的是,它简单易用,无需掌握过多的知识就可以轻松使用。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
网络安全设置
    KPF的默认规则中,对信任区域的安全设置比Internet的区域要低,通常和你同在一个局域网段内的计算机可以当做信任区域,因为同一个网段内的计算机通常是单位的同事,计算机之间需要共享数据、打印机和应用程序,所以安全级别要求较低。但有时即使是同一个网段的计算机也存在安全的隐患,比如有个别人总喜欢上一些非法网站,导致被木马或病毒侵害,祸及整个局域网。此时可以考虑缩小信任区域的范围,设置信任区域范围的步骤是:
    1.打开KPF的设置窗口。
    2.选择Network Security(网络安全)标签。
    3.选择Trusted area(信任区域)标签。
    4.单击“Remove(移除)”按钮,可以删除目前已添加的信任区域。
    5.单击“Add(添加)”按钮,弹出“Zone definition(区域定义)”窗口,可以按单个IP、IP段、子网三种方式添加信任域。
    KPF的默认规则中,包含一些最基本的协议设置,其中有IGMP、ICMP、DNS、DHCP和VPN,通常情况下不需要修改,只要把“Enable predefined network security(开启确定的网络安全)”勾选就可以了。
    系统安全设置
    除了升级和更新之外,通常应用程序本身是不会发生变化的,有些病毒和木马通过附加在正常的程序里启动,用户即使发现了有发送数据的行为也以为是正常的程序。KPF开启后,将主动监控每个程序的运行,并支持文件的MD5校验。这样一来,一旦发现某些程序打开其它程序,或者应用程序有哪怕一个字节的变化,KPF就会立即通知用户
    入侵检测
    许多入侵者使用各种黑客工具查找漏洞,发现有漏洞的机器并发动入侵。KPF的入侵检测系统能够发现目前大多数入侵代码和攻击,KPF将攻击等级分为三个危险等级,用户可以根据不同选择不同的动作。单击“Details(详情)”按钮可以获得各个级别所包含的攻击类型。这样一来,谁在用什么方法攻击你就看得一清二楚了。
  通过上述内容,大家应该都掌握了以上几款防火墙软件在局域网安全、管理方面的设置技巧,能够从容应对因防火墙设置不当造成的无法互访等问题。
  各种防火墙的设置技巧有一定的共通之处,那就是一般都能够在它们的IP规则的设定中找到和局域网相关的选项,大家只要采用和上述内容类似的操作即可完成设置。
  
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|小黑屋|维修人员 ( 鲁ICP备17033090号 )

GMT+8, 2024-12-23 13:26 , Processed in 0.216011 second(s), 16 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表