“冲击波”等蠕虫病毒特征之一就是利用有漏洞的操作
系统进行
端口攻击,因此防范此
类病毒的简单方法就是屏蔽不必要的端口,
防火墙软件都有此
功能,其实对于采用
Windows2003或者
WindowsXP的用户来说,不需要安装任何其他软件,因为可以利用系统自带的“Internet连接防火墙”来防范
黑客的攻击。
8 }: H% {: Z& H! G1 P7 a/ M* V
一、基本设置
. K% k6 [! c3 v- Z9 H 1、
鼠标右键单击“网上邻居”,选择“属性”。
" M9 r) p4 v7 t+ l6 \( m/ F( H/ ] 2、然后鼠标右键单击“本地连接”,选择“属性”,出现图1界面。如图选择“高级”选项,选中“Internet连接防火墙”,确定后防火墙即起了作用。
" n. v3 M0 E6 o, _; Q
. S' M- u" F7 i& Q j& f
2 \" h- d$ Z/ i, I
4 S2 N6 {2 j. K4 b" L' F2 U9 X, j" k% H7 S
% m7 ~, L$ W3 ^* l0 w
图1
, O1 `. L+ G$ `. C8 P2 I
[color=#FFFFFF']
. s0 o9 Y. |) \4 z% s+ u- o: v+ Z0 K3 b0 _5 w! w+ M0 x. U: g
二、测试基本设置
% f; ^- Z6 G2 _( G 1、在另为一台机子上ping本机,出现Requesttimedout表示ping不同本机
4 Q; u7 g% B; Y, a: J4 \ r0 d& e
2、在另为一台机子上用漏洞扫描工具扫描本机发现没有打开的端口。
# O/ q: ?' X3 ~( a 这两种测试通过后说明防火墙已经起了作用。
8 d: V6 {% D+ C$ d[color=#FFFFFF']
) U% |$ c, h. @: k/ G0 z1 L
6 L" I$ u9 n3 V S 三、高级设置
& B0 X8 `2 x: p" _4 M, J1 B. b& ]% \) b/ o 点击图1中“设置(G)...”按钮出现图2界面可进行高级设置。
" b k2 z* @+ b
9 q# V& r; N; V+ K$ v7 ^$ Y4 ]0 m4 w
, W9 m f% V" R# s" x1 T
9 P; V' [$ R& E$ R9 r- w
_) ?3 a4 E% d[color=#FFFFFF']
+ w, i' n" _$ u; K7 z$ ^# |5 X
) o4 }- @+ @4 O. h! T图2
8 w, \) x) r; N i; Q4 n3 y
1、选择要开通的服务
0 n2 x: e# `0 y: }& T6 X
如图3所示,如果本机要开通相应的服务可选中该服务,本例选中了
FTP服务,这样从其它
机器就可FTP到本机,扫描本机可以发现21端口是开放的。可以按“添加”按钮增加相应的服务端口。
+ x3 t9 |- _2 \7 Q3 g9 s; s
[color=#FFFFFF']
h+ {! c4 d, t. P. h0 |
+ E- R. ^7 [1 m: ^" F
: J0 `* D( b; W. Q! R6 w7 `" _; r
3 J9 h2 A& [0 ?! `7 n7 |& b9 ?
1 S. i! x" m7 X, W+ U" p" b
2 p/ _+ Q6 p7 w& h3 u( L
) T# M" n7 D" W( f& t& Y2 \
图3
4 a1 B' p c+ T3 S 2、设置日志
7 T+ O2 R% H0 C$ ~1 ?9 q) j 如图4所示,选择要记录的项目,防火墙将记录相应的
数据,日志默认在c:\
windows\pfirewall.log,用记事本就可以打开看看。
# H3 |" A7 G/ d& f/ ]2 \ Q6 ^0 r+ V* V' `, j! W" B
9 g K( q3 y" m: S! {
, s9 d+ u: r4 y1 Y" r0 W9 O$ r1 s' @9 ` ]) \. F* E
$ ]8 c% Y. U) ?5 e) S图4
$ C2 t6 z# E W& Z 3、设置ICMP协议
( O y( {, o4 s7 ` 如图5所示,最常用的ping就是用的ICMP协议,默认设置完后ping不通本机就是因为屏蔽了ICMP协议,如果想ping通本机只需将“允许传入响应请求”一项选中即可。
3 L6 p/ I2 |& ?9 s" w( b+ ]! v/ ^
1 z4 M' U! D) V# J" g! Z4 x2 M
5 I! ]# Y$ d# e0 \3 z! a
. ~& e* Z+ f# m% ^3 c, U5 J3 z0 B
7 t% K% R" [0 M% i
; F8 g) {+ t1 o7 w" W图5
2 Y4 S2 M- }) I% C# U8 E1 Z$ m[color=#FFFFFF']
' ~. i1 r% g0 n7 C, m2 Y. A/ p4 n4 p2 ?/ X/ ~
四、几点疑问, ?& @9 s. f7 a4 g4 B7 k" S
[color=#FFFFFF']
: ~% j3 y k' i" e
: }& q2 ~7 b; T5 [ 设置非常简单,但我在给别人设置过程中,有些人提出了以下几点疑问,不知您是否也有下面的困惑?
- A# [3 }. u6 {/ m8 Q' D
1、端口都封住了怎么与别的
计算机通信?
1 ?/ @1 \; s2 Y1 X
按默认设置完成后,可以看出没有添加一个端口,那端口都封住了怎么与别的计算机通信呢?
; ]- f; V+ ^, d6 g 在Internet上相互通信是靠
TCP/IP协议完成的,而上网访问网页时,是在本机上随机打开一个大于1024的端口去连
服务器的80服务端口,用Telnet协议登陆其它设备也是在本机上随机打开一个大于1024的端口去连服务器的23服务端口。“Internet连接防火墙”封住的是服务端口,例如HTTP的80端口,FTP的21端口、TELNET的23端口等,只要系统提供了这些服务,一开机这些端口就是开放的,等待别的计算机连接到提供服务的计算机上,可以说这些端口是长期有效的。而随机打开的端口是临时的,比如当你上网访问一个
网站,你的计算机随机开个端口1026连接到网站服务器的80端口,当访问完毕关闭网页后,本机的1026端口随之关闭,而服务器的80端口始终是开着的。有上可见“Internet连接防火墙”是封住的服务端口,而不是临时打开的端口,所以一个端口不添加也可正常上网。WIN98默认不提供任何服务就没有打开的端口,不照样能正常上网吗?
5 R3 n6 W1 X1 `) l% I 一般上网用户不用提供任何服务,所以没有必要开放任何端口,但是要利用一些
网络联络工具,比如要开通FTP服务的话,就要把“21”这个端口打开,同理,如果发现某个常用的网络工具不起作用时,请查清它在本机所开的端口,然后在“Internet连接防火墙”中添加端口即可。
' f8 F+ j! Y) W. T9 ] 2、设置了“Internet连接防火墙”后用netstat%26;#8211;na命令察看,可是端口还是开的?
5 Z. e/ I9 S2 [& q2 a
有些人以为如上设置后就没有端口开放了,可设置完后用netstat%26;#8211;na命令察看开放的端口与没设置之前一样一个不少,难道没起作用?
2 `+ D2 n9 c/ V. M m4 d; N% H+ Z
实际上端口是由某个服务的进程打开的,要彻底关闭某个端口就要结束相应的服务,例如要关闭80端口就要停止WWW服务。而我们用“Internet连接防火墙”是在外围建一个防火墙,打个简单的比喻,一所房子有很多的门,要保证
安全有两个办法,一是把门用砖头堵住;二是留着门,在房子周围建一道墙。用结束进程来关闭端口用的是第一种办法,用“Internet连接防火墙”用的是第二种方法,虽然用netstat%26;#8211;na察看端口是开放的,但在外围已建了一睹密不透风的墙。
j0 D( b. J6 a+ r# N! W' _ 如何知道防火墙是否起作用了?最简单的方法就是在另外一台机子上用xscan、superscan之类的扫描工具扫描本机,如果没有打开的端口表示在房子周围建一道墙是没有漏洞的。
0 w; f8 O2 z, ` 3、没有扫描软件如何在远程测试本机端口是否打开
8 L# G' b! T) [& u7 A' h 如果手头没有扫描软件,可以用telnet命令来测试相应的端口是否打开,例如测试21端口是否打开,可以在另为一台机器上telnetxxx.xxx.xxx.xxx21,如果端口打开会出现提示
信息,如果没有打开则出现连接失败的提示。
+ y2 l ~- [- h+ J转自:动态网制作
指南www.knowsky.com
