“冲击波”等蠕虫病毒特征之一就是利用有漏洞的操作
系统进行
端口攻击,因此防范此
类病毒的简单方法就是屏蔽不必要的端口,
防火墙软件都有此
功能,其实对于采用
Windows2003或者
WindowsXP的用户来说,不需要安装任何其他软件,因为可以利用系统自带的“Internet连接防火墙”来防范
黑客的攻击。
1 D- p) D& Y% Y/ A一、基本设置
3 N V$ `+ n0 Q# o# n1 D 1、
鼠标右键单击“网上邻居”,选择“属性”。
& j+ z$ u, T% Q/ O 2、然后鼠标右键单击“本地连接”,选择“属性”,出现图1界面。如图选择“高级”选项,选中“Internet连接防火墙”,确定后防火墙即起了作用。
4 ]4 h( e. q( N H7 k0 [5 |
) ~ M9 b1 x1 J8 V& U N# y! u5 P3 w$ W' }: g( P6 T$ i
+ R, @# E2 s- B( x: {2 ~# G& I
( n7 Y( l! T% g# B
' n6 X. Q' V5 Q2 o
5 `- z8 M7 s8 k: B* C图1
二、测试基本设置
) d K2 u! m$ z, _/ t 1、在另为一台机子上ping本机,出现Requesttimedout表示ping不同本机
, {5 z& t4 p1 v8 c! s" {
2、在另为一台机子上用漏洞扫描工具扫描本机发现没有打开的端口。
, L4 E8 w+ H+ t( M0 j8 v7 z9 D% t
这两种测试通过后说明防火墙已经起了作用。
2 \; @' d, {8 y+ q; V
三、高级设置/ h2 V. K. H9 G" K
点击图1中“设置(G)...”按钮出现图2界面可进行高级设置。
- Z, O: d. f7 c0 j+ y& c O
0 }% o- t9 z3 p% S. l0 T9 e4 I3 I5 u- i- h( z: n* \( ?
. X6 P- f9 ?; f! l
- o* _# d" r P- E; u- K1 t
/ Z: z. K# ^6 f! K0 z0 ?' f0 O" j: ?. e$ I% r" s7 b
图2
. t# y$ d$ v* R; D1 ]/ s, B1 W[color=#FFFFFF']
7 H" o5 i4 y' R( s+ o+ y2 ?
/ {2 N. [- K1 F- ~ o 1、选择要开通的服务
O& _; s- ]8 s" W9 ?
如图3所示,如果本机要开通相应的服务可选中该服务,本例选中了
FTP服务,这样从其它
机器就可FTP到本机,扫描本机可以发现21端口是开放的。可以按“添加”按钮增加相应的服务端口。
+ K1 z% a0 Q5 b: R. p* e" d
t2 q& F' ^4 y5 [3 E6 o- i' W r1 l! ?. q1 E
" B T; h) K$ [" P( d9 _+ g
]% j1 b( F* C# Y4 Z' w: Z# J9 j9 C6 `8 F8 Q2 O# j
# [& e) | y8 _* `图3 2、设置日志
6 e0 i$ ~2 {# p U ^0 H, M
如图4所示,选择要记录的项目,防火墙将记录相应的
数据,日志默认在c:\
windows\pfirewall.log,用记事本就可以打开看看。
- i/ n* B# H; N( ~2 ]) o9 U
[color=#FFFFFF']
! V( F% X5 j- G
4 A6 E: {- X) Z/ H) t, t. v: D- L/ J# h' M& W- S
( V- e. x% E4 a2 Y7 f
( Z# w' N9 R% @) E9 V1 _+ t- a0 x
: Y0 d3 K9 M; @8 k8 e% |0 @1 `
1 p( f; x8 x3 G9 q9 z2 L0 ~
; Y! P* V; u& ~/ x, g2 _7 A图4
, Q2 V# `/ s4 W 3、设置ICMP协议
3 Z4 b- n5 f5 b. ^# {[color=#FFFFFF']
( A \8 i- u& _, M, s4 M. e, Q3 m0 S3 i9 j
如图5所示,最常用的ping就是用的ICMP协议,默认设置完后ping不通本机就是因为屏蔽了ICMP协议,如果想ping通本机只需将“允许传入响应请求”一项选中即可。
. _4 L$ T5 N& ^/ l' h# n) w
) ^' ^/ n1 A% N5 [
/ u0 d+ R( _; Q9 I* O
5 e k# {# { R# p) W2 h& o: G) D' {
0 B' M/ R! [( b( G4 E* L7 o
3 F1 y8 z* w4 @ N6 ^ ^. F图5
1 K' F% ~, R" d/ |2 c
[color=#FFFFFF']
+ Y) R0 i, i, g
四、几点疑问
& i# ?. N( P; ^) I$ V2 M/ w 设置非常简单,但我在给别人设置过程中,有些人提出了以下几点疑问,不知您是否也有下面的困惑?
8 S- u7 t- b# g! Q: W' H' j[color=#FFFFFF']
$ M/ x L7 k& u3 v
+ H: p1 B$ d: l% a; P8 B. s s" [- w
1、端口都封住了怎么与别的
计算机通信?
9 }4 I! U+ c- r: x5 j: K2 Q5 l
按默认设置完成后,可以看出没有添加一个端口,那端口都封住了怎么与别的计算机通信呢?
) q' Q, ^7 f5 X* C0 T 在Internet上相互通信是靠
TCP/IP协议完成的,而上网访问网页时,是在本机上随机打开一个大于1024的端口去连
服务器的80服务端口,用Telnet协议登陆其它设备也是在本机上随机打开一个大于1024的端口去连服务器的23服务端口。“Internet连接防火墙”封住的是服务端口,例如HTTP的80端口,FTP的21端口、TELNET的23端口等,只要系统提供了这些服务,一开机这些端口就是开放的,等待别的计算机连接到提供服务的计算机上,可以说这些端口是长期有效的。而随机打开的端口是临时的,比如当你上网访问一个
网站,你的计算机随机开个端口1026连接到网站服务器的80端口,当访问完毕关闭网页后,本机的1026端口随之关闭,而服务器的80端口始终是开着的。有上可见“Internet连接防火墙”是封住的服务端口,而不是临时打开的端口,所以一个端口不添加也可正常上网。WIN98默认不提供任何服务就没有打开的端口,不照样能正常上网吗?
7 p( Q4 r! p0 j5 {
8 v; M. i- A1 Y. B9 q 一般上网用户不用提供任何服务,所以没有必要开放任何端口,但是要利用一些
网络联络工具,比如要开通FTP服务的话,就要把“21”这个端口打开,同理,如果发现某个常用的网络工具不起作用时,请查清它在本机所开的端口,然后在“Internet连接防火墙”中添加端口即可。
( _& Y! B: W* d0 `5 I, N: w- e 2、设置了“Internet连接防火墙”后用netstat%26;#8211;na命令察看,可是端口还是开的?
. f; \; ?8 J9 F( S 有些人以为如上设置后就没有端口开放了,可设置完后用netstat%26;#8211;na命令察看开放的端口与没设置之前一样一个不少,难道没起作用?
- ]8 w- T: A. C( ?+ t( { 实际上端口是由某个服务的进程打开的,要彻底关闭某个端口就要结束相应的服务,例如要关闭80端口就要停止WWW服务。而我们用“Internet连接防火墙”是在外围建一个防火墙,打个简单的比喻,一所房子有很多的门,要保证
安全有两个办法,一是把门用砖头堵住;二是留着门,在房子周围建一道墙。用结束进程来关闭端口用的是第一种办法,用“Internet连接防火墙”用的是第二种方法,虽然用netstat%26;#8211;na察看端口是开放的,但在外围已建了一睹密不透风的墙。
: [) `2 o. K( z8 K- ?; P) _ 如何知道防火墙是否起作用了?最简单的方法就是在另外一台机子上用xscan、superscan之类的扫描工具扫描本机,如果没有打开的端口表示在房子周围建一道墙是没有漏洞的。
' `8 {0 S6 m( T5 h0 E/ ~7 R 3、没有扫描软件如何在远程测试本机端口是否打开
! h$ e6 [; `, G9 [+ A5 M 如果手头没有扫描软件,可以用telnet命令来测试相应的端口是否打开,例如测试21端口是否打开,可以在另为一台机器上telnetxxx.xxx.xxx.xxx21,如果端口打开会出现提示
信息,如果没有打开则出现连接失败的提示。
6 H- L. M. c5 D- @+ n, d 8 X% k3 J: d! }* ^0 W
( ^* u1 s4 T' e+ i
8 Z( k$ S* d2 Z/ Y$ i) q% }2 d0 ?# q2 z( Z* s- a- B2 T
8 C; B. f# |/ I, n3 l$ G, g#1 若艾 发表评论于:2007-3-4 20:32貌似不错,先行支持,收藏学习中。
