防火墻安全規(guī)則設(shè)置.doc

低：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時(shí)都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。計(jì)算機(jī)將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機(jī)器訪問自己提供的各種服務(wù)（文件、打印機(jī)共享服務(wù)）但禁止互聯(lián)網(wǎng)上的機(jī)器訪問這些服務(wù)。 中：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時(shí)都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機(jī)共享服務(wù)），局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無法看到本機(jī)器。 高：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時(shí)都將詢問，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機(jī)共享服務(wù)），局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無法看到本機(jī)器。除了是由已經(jīng)被認(rèn)可的程序打開的端口，系統(tǒng)會(huì)屏蔽掉向外部開放的所有端口。 擴(kuò)：天網(wǎng)為用戶制定了一系列專門針對(duì)木馬和間諜程序的擴(kuò)展規(guī)則，可以防止木馬和間諜程序打開TCP或UDP端口監(jiān)聽甚至開放未許可的服務(wù)。我們將根據(jù)最新的安全動(dòng)態(tài)對(duì)規(guī)則庫(kù)進(jìn)行升級(jí)，為您提供最安全的服務(wù)！ 用戶可以根據(jù)自己的需要調(diào)整自己的安全級(jí)別，方便實(shí)用。 注意：天網(wǎng)的簡(jiǎn)易安全級(jí)別是為了方便不熟悉天網(wǎng)使用的用戶能夠很好的使用天網(wǎng)而設(shè)的。正因?yàn)槿绱?，如果用戶選擇了采用簡(jiǎn)易的安全級(jí)別設(shè)置，那么天網(wǎng)就會(huì)屏蔽掉高級(jí)的IP規(guī)則設(shè)定里規(guī)則的作用。 如果你點(diǎn)了高級(jí)后又去點(diǎn)IP規(guī)則，天網(wǎng)會(huì)自動(dòng)幫IP規(guī)則改為默認(rèn) 135,445端口介紹 135端口開放實(shí)際上是一個(gè)WINNT漏洞,開放的135的端口情況容易引起自外部的Snork攻擊！ 對(duì)于135端口開放的問題，可以在你的防火墻上，增加一條規(guī)則：拒絕所有的這類進(jìn)入的UDP包，目的端口是135，源端口是7，19，或者135，這樣可以保護(hù)內(nèi)部的系統(tǒng)，防止來自外部的攻擊。大多數(shù)防火墻或者包過濾器已經(jīng)設(shè)置了很多嚴(yán)格的規(guī)則，已覆蓋了這條過濾規(guī)則，但任需注意：有一些NT的應(yīng)用程序，它們依靠UDP135端口進(jìn)行合法的通訊，而打開你135的端口與NT的RPC服務(wù)進(jìn)行通訊。如果真是這樣，你一定要在那些原始地址的系統(tǒng)上(需要135口通訊)，實(shí)施上述的規(guī)則，指定來自這些系統(tǒng)的通訊可以通過防火墻，或者，可以被攻擊檢測(cè)系統(tǒng)所忽略，以便維持那些應(yīng)用程序的正常連接。 ！為了保護(hù)你的信息安全，強(qiáng)烈建議你安裝微軟的最新windows補(bǔ)丁包。！ 2、如何理解并關(guān)閉139端口（NetBIOS提供服務(wù)的tcp端口） Netbios（NETworkBasicInput/OutputSystem）網(wǎng)絡(luò)基本輸入輸出系統(tǒng)。是1983年IBM開發(fā)的一套網(wǎng)絡(luò)標(biāo)準(zhǔn)，微軟在這基礎(chǔ)上繼續(xù)開發(fā)。微軟的客戶機(jī)服務(wù)器網(wǎng)絡(luò)系統(tǒng)都是基于NetBIOS的。在利用WindowsNT4.0構(gòu)建的網(wǎng)絡(luò)系統(tǒng)中，對(duì)每一臺(tái)主機(jī)的唯一標(biāo)識(shí)信息是它的NetBIOS名。系統(tǒng)可以利用WINS服務(wù)、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址，從而實(shí)現(xiàn)信息通訊。在這樣的網(wǎng)絡(luò)系統(tǒng)內(nèi)部，利用NetBIOS名實(shí)現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上,它就和一個(gè)后門程序差不多了。因此，我們很有必要堵上這個(gè)可怕的漏洞。 。 445端口 也是一種TCP端口，該端口在Windows 2000 Server或Windows Server 2003系統(tǒng)中發(fā)揮的作用與139端口是完全相同的。具體地說，它也是提供局域網(wǎng)中文件或打印機(jī)共享服務(wù)。不過該端口是基于CIFS協(xié)議（通用因特網(wǎng)文件系統(tǒng)協(xié)議）工作的，而139端口是基于SMB協(xié)議（服務(wù)器協(xié)議族）對(duì)外提供共享服務(wù)。同樣地，攻擊者與445端口建立請(qǐng)求連接，也能獲得指定局域網(wǎng)內(nèi)的各種共享信息。445端口對(duì)普通用戶是沒用的，推薦關(guān)閉 IGMP數(shù)據(jù)包：IGMP對(duì)于Windows普通用戶沒什么用途，但由于Win9X操作系統(tǒng)的內(nèi)核缺陷，其自身存在一個(gè)IGMP漏洞，有人會(huì)利用這個(gè)漏洞向指定主機(jī)發(fā)送大量的IGMP數(shù)據(jù)包，使Windows 操作系統(tǒng)的網(wǎng)絡(luò)層受到破壞，導(dǎo)致死機(jī)，這在防火墻日志中會(huì)有記載 若是你局域網(wǎng)內(nèi)的IP地址，每當(dāng)你網(wǎng)內(nèi)的機(jī)器要連接局域網(wǎng)時(shí)都會(huì)向外發(fā)送數(shù)據(jù)包，以搜索網(wǎng)內(nèi)的其他機(jī)器，在機(jī)器裝有TCP/IP的情況下，會(huì)返回一個(gè)回應(yīng)的數(shù)據(jù)包，天網(wǎng)把這些不規(guī)則的數(shù)據(jù)包攔截下來了。簡(jiǎn)單來說就是，你打開電腦，然后你的電腦會(huì)自動(dòng)尋找局域網(wǎng)內(nèi)的其他電腦，并發(fā)送數(shù)據(jù)包，其他網(wǎng)內(nèi)的電腦回應(yīng)時(shí)也會(huì)發(fā)回一個(gè)數(shù)據(jù)包；同樣的道理，別的電腦開機(jī)時(shí)，也會(huì)那樣，你的電腦是在這個(gè)局域網(wǎng)內(nèi)的，當(dāng)然會(huì)收到這些數(shù)據(jù)包。 137，138，139的關(guān)閉方法 控制面扳網(wǎng)絡(luò)連接右鍵本地連接屬性把網(wǎng)絡(luò)文件和打影機(jī)共享前面的勾去掉就OK了 但是本地墩口還是會(huì)監(jiān)聽對(duì)方的共享的，屬于正常范圍 對(duì)于有些設(shè)置了自動(dòng)啟動(dòng),但是系統(tǒng)進(jìn)程里面還是沒有進(jìn)程的解決辦法。就是沒有圖標(biāo) 用 Administrators 這個(gè)帳戶登陸系統(tǒng),然后就可以用了,這個(gè)帳戶可以改名的.具體方法是 控制面板-管理工具-計(jì)算機(jī)管理-本地用戶和組-用戶-右鍵Administrators,重新命名,隨便改,記住，重新登陸時(shí),這個(gè)改過的才是登陸號(hào)哈,(只有你系統(tǒng)進(jìn)程里沒有的時(shí)候推薦這個(gè)方法) 其2,QQ自動(dòng)運(yùn)行,也是導(dǎo)致天網(wǎng)無法自動(dòng)運(yùn)行的原因,關(guān)閉方法:開始菜單-程序-啟動(dòng),把里面的QQ刪除就好了,或者改注冊(cè)表,這里就不詳細(xì)說了,(有時(shí)間再填加上來) 或者中毒，一般情況下有些木馬會(huì)自動(dòng)關(guān)閉防火墻，包扣WIN墻 對(duì)日志的解釋，就拿我的來解釋吧，我是局域網(wǎng)上的 17:12:41 嘗試用Ping 來探測(cè)本機(jī)， 該操作被拒絕。 17:12:49 接收到 51 的 IGMP 數(shù)據(jù)包， 該包被攔截。 17:13:01 8試圖連接本機(jī)的CIFS445端口， TCP標(biāo)志：S， 該操作被拒絕。 17:19:42 94試圖連接本機(jī)的CIFS445端口， TCP標(biāo)志：S， 該操作被拒絕。 17:18:41 50試圖連接本機(jī)的135端口， TCP標(biāo)志：S， 該操作被拒絕。 21:34:29 *.*.*.*試圖連接本機(jī)的NetBios-SSN139端口， TCP標(biāo)志：S， 該操作被拒絕。 就這么多吧，其他的解釋是一樣的， 這段日志中，是以開默認(rèn)規(guī)則的，上面的操作是被拒絕的，所以它沒連接到你端口，你是安全的，IGMP是局域網(wǎng)中，主機(jī)散布的廣播，一般98系統(tǒng)是不需要這個(gè)的，多了98會(huì)死機(jī)，所以天網(wǎng)幫你攔截了 關(guān)于access violation at address 00413082 in moduleb pfw.exe write at address 0000033c的問題 如果安裝重起后出現(xiàn)這個(gè)問題，請(qǐng)卸載。重起，安裝，重起，最好卸載后把文件夾刪除，實(shí)在不行就在安全模式下用內(nèi)置帳戶安裝 有人不斷試圖連接我的電腦,我該怎么辦啊 只要你連接到網(wǎng)絡(luò)上，就會(huì)有人連接你，就跟上面日志一樣，不會(huì)有問題，除非你防火墻顯示的是通過，那么要么你允許了，要么你的防火墻設(shè)置有錯(cuò)誤，請(qǐng)?jiān)O(shè)置成中或高，新手不推薦使用自定義 防火墻日志簡(jiǎn)明而又全面。防火墻日志一向是天書：TCP、UDP，再加上TCP SYN明白的看得簡(jiǎn)直頭暈，不明白的看起來心慌。其實(shí)日志是防火墻很重要的功能，但很多人卻不重視，也未仔細(xì)研究過日志內(nèi)容。日志記錄看似枯燥的數(shù)據(jù)，其實(shí)提供了大量寶貴的第一手資料，幫助我們更好地管理和維護(hù)網(wǎng)絡(luò)。 因此我來說明常見的天網(wǎng)防火墻日志，都表示些什么。點(diǎn)擊天網(wǎng)主界面右上方的“日志”按鈕，會(huì)看到如下信息： 一般日志分為三行： 第一行： 反映了數(shù)據(jù)包的發(fā)送、接受時(shí)間、發(fā)送者IP地址、對(duì)方通訊端口、數(shù)據(jù)包類型、本機(jī)通訊端口等等情況； 第二行： 為TCP數(shù)據(jù)包的標(biāo)志位，共有六位標(biāo)志位，分別是：URG、ACK、PSH、RST、SYN、FIN，天網(wǎng)在顯示標(biāo)志位時(shí)取這六個(gè)標(biāo)志位的第一個(gè)字母即A代表ASK、S代表SYN等 ，其中標(biāo)志位ACK、SYN和FIN比較常用，簡(jiǎn)單含義如下： ACK：確認(rèn)標(biāo)志 提示遠(yuǎn)端系統(tǒng)已經(jīng)成功接收所有數(shù)據(jù) SYN：同步標(biāo)志 該標(biāo)志僅在建立TCP連接時(shí)有效，它提示TCP連接的服務(wù)端檢查序列編號(hào) FIN：結(jié)束標(biāo)志 帶有該標(biāo)志位的數(shù)據(jù)包用來結(jié)束一個(gè)TCP會(huì)話，但對(duì)應(yīng)端口還處于開放狀態(tài)，準(zhǔn)備接收后續(xù)數(shù)據(jù)。 RST：復(fù)位標(biāo)志，具體作用未知 第三行： 對(duì)數(shù)據(jù)包的處理方法： 對(duì)于不符合規(guī)則的數(shù)據(jù)包會(huì)攔截或拒絕，顯示為：“該操作被拒絕”，意思是，此操作被天網(wǎng)防火墻攔截了！也就是對(duì)方根本不知道你的存在！ 對(duì)符合規(guī)則的但被設(shè)為監(jiān)視的數(shù)據(jù)包會(huì)顯示為“繼續(xù)下一規(guī)則”。 10:41:30 接收到3的IGMP數(shù)據(jù)包， 該包被攔截。 這條日志出現(xiàn)的頻率很高。IGMP的全稱是internet組管理協(xié)議，它是IP協(xié)議的擴(kuò)展，主要用于IP主機(jī)向它鄰近主機(jī)通知組成員身份。通常出現(xiàn)這條日志并不表明電腦受到攻擊，不過黑客可以通過編寫攻擊程序，利用windows本身的BUG，采用特殊格式數(shù)據(jù)包向目標(biāo)電腦發(fā)動(dòng)攻擊，使被攻擊電腦的操作系統(tǒng)藍(lán)屏、死機(jī)。藍(lán)屏炸彈一般用的就是IGMP協(xié)議。 一般形成IGMP攻擊時(shí)，會(huì)在日志中顯示為大量來自于同一IP地址的IGMP數(shù)據(jù)包。 不過，有時(shí)收到這樣的提示信息也并不一定是黑客或病毒在攻擊，在局域網(wǎng)中也會(huì)常收到來自網(wǎng)關(guān)的類似數(shù)據(jù)包；再有一些有視頻廣播服務(wù)的機(jī)器也會(huì)對(duì)用戶發(fā)送這樣的數(shù)據(jù)包，因此不用過于驚慌。 7:11:04 接收到 36 的 UDP 數(shù)據(jù)包， 本機(jī)端口: 47624 ， 對(duì)方端口: 40627 該包被攔截。 沒有什么好擔(dān)心的，這是有人在用掃的軟件在掃地址而正好掃到你的地址段,此類軟件對(duì)被攻擊主機(jī)的不同端口發(fā)送TCP或UDP連接請(qǐng)求，探測(cè)被攻擊對(duì)象運(yùn)行的服務(wù)類型。特別是對(duì)21、23、25、53、80、8000、8080等以外的非常用端口的連接請(qǐng)求。所以天網(wǎng)防火會(huì)報(bào)警,而且會(huì)攔截對(duì)方的IP，如果實(shí)在太煩，你可以把你的那個(gè)端口關(guān)掉。 9:04:18 3試圖連接本機(jī)的Http【80】端口， TCP標(biāo)志：S， 該操作被拒絕。 如果你安裝了IIS來建立自己的個(gè)人網(wǎng)站，開放了WEB服務(wù)，即會(huì)開放80端口。因此黑客掃描判斷你是否開放了WEB服務(wù)，尋找相應(yīng)的漏洞來進(jìn)行入侵。一般我們所遇到的大都是別人的掃描行為，不需要過于擔(dān)心了。 如果經(jīng)常收到來自外部IP高端口（大于1024）發(fā)起的類似TCP的連接請(qǐng)求，你得小心對(duì)方電腦是否中了“紅色代碼”，并試圖攻擊你（也有可能是人為使用軟件攻擊）。由于此病毒只傳染裝有IIS服務(wù)的系統(tǒng)，所以普通用戶不需擔(dān)心。 若發(fā)現(xiàn)本機(jī)試圖訪問其他主機(jī)的80端口，則應(yīng)檢查自己系統(tǒng)中是否有此病毒了。 9:04:18 3試圖連接本機(jī)的FTP Open Server【21】端口， TCP標(biāo)志：S， 該操作被拒絕。 21端口是FTP服務(wù)所開放的端口，導(dǎo)致這條記錄出現(xiàn)的大部分原因是一些網(wǎng)蟲在使用ftp搜索軟件看哪些電腦開放了FTP，以尋求軟件、電影的下載。 8:39:42 23 嘗試用Ping 來探測(cè)本機(jī)， 該操作被拒絕。 對(duì)于這條日志的理解應(yīng)該不困難。我們知道PING命令可以用來測(cè)試兩臺(tái)電腦之間是否可以進(jìn)行通訊，黑客在攻擊前首先要確定目標(biāo)是否連接了網(wǎng)絡(luò)。但安裝防火墻之后，即使電腦連接了網(wǎng)絡(luò)，黑客PING的結(jié)果也會(huì)顯示數(shù)據(jù)包無法到達(dá)，這樣就會(huì)起到迷惑黑客的作用。出現(xiàn)這條日志說明可能有人用PING命令發(fā)送數(shù)據(jù)包來探測(cè)你是否開機(jī)并連在網(wǎng)絡(luò)上，不必?fù)?dān)心，防火墻已攔截了數(shù)據(jù)包。 14:00:24 46 嘗試用Ping來探測(cè)本機(jī)， 該操作被拒絕。 14:01:09 2 嘗試用Ping來探測(cè)本機(jī)， 該操作被拒絕。 14:01:20 01 嘗試用Ping 來探測(cè)本機(jī)， 該操作被拒絕。 特征：多臺(tái)不同IP的計(jì)算機(jī)試圖利用Ping的方式來探測(cè)本機(jī)。 日志中所列機(jī)器感染了沖擊波類病毒。感染了“沖擊波殺手”的機(jī)器會(huì)通過Ping網(wǎng)內(nèi)其他機(jī)器的方式來尋找RPC漏洞，一旦發(fā)現(xiàn)，即把病毒傳播到這些機(jī)器上。 在排除了人為進(jìn)行的ping之外，要注意可能是來自于源地址機(jī)器中有類似于“沖擊波”等病毒在作怪。因此，對(duì)于本機(jī)來講，刻不容緩的事情就是要安裝微軟的“沖擊波”補(bǔ)丁。 14:01:28 9試圖連接本機(jī)的【135】端口， TCP標(biāo)志：S， 該操作被拒絕。 同上，是利用RPC服務(wù)漏洞的沖擊波類的蠕蟲病毒，該病毒主要攻擊手段就是掃描計(jì)算機(jī)的135端口進(jìn)行攻擊。更新微軟的補(bǔ)丁還是必要的。 11:58:08 8試圖連接本機(jī)的NetBios-SSN【139】端口， TCP標(biāo)志：S， 該操作被拒絕。 特征：某一IP連續(xù)多次連接本機(jī)的NetBios-SSN139端口，表現(xiàn)為時(shí)間間隔短，連接頻繁。 日志中所列IP的計(jì)算機(jī)可能感染了“尼姆達(dá)病毒”。感染“尼姆達(dá)”的計(jì)算機(jī)有個(gè)特點(diǎn)，會(huì)搜尋局域網(wǎng)內(nèi)一切可用的共享資源，并會(huì)將病毒復(fù)制到取得完全控制權(quán)限的共享文件夾內(nèi)，達(dá)到病毒傳播目的。 139端口是NetBIOS協(xié)議所使用的端口，在安裝TCP/IP 協(xié)議的同時(shí)，NetBIOS也會(huì)被作為默認(rèn)設(shè)置安裝到系統(tǒng)中。139端口的開放意味著硬盤可能會(huì)在網(wǎng)絡(luò)中共享；網(wǎng)上黑客也可通過NetBIOS知道你的電腦中的一切! 盡管在天網(wǎng)防火墻的監(jiān)控下，此隱患沒有被利用。但不能無動(dòng)于衷，應(yīng)把這漏洞補(bǔ)上。對(duì)于連接到互聯(lián)網(wǎng)上的機(jī)器，NetBIOS完全沒用，可將它去掉。 10:42:27 6試圖連接本機(jī)的CIFS【445】端口， TCP標(biāo)志：S， 該操作被拒絕。 445端口，一個(gè)既讓人愛，又招人恨的端口，有了它，網(wǎng)民們可以在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機(jī)，但正因?yàn)橛辛怂?，Internet上的“惡人”們才有了“可乘之機(jī)”，他們能躲在Internet上的“陰暗角落”里，偷偷共享你的硬盤，甚至?xí)谇臒o聲息中，將你的硬盤格式化掉！ SMB： Windows協(xié)議族，用于文件和打印共享服務(wù)。 NBT： 使用137(UDP), 138(UDP) and 139 (TCP）來實(shí)現(xiàn)基于TCP/IP的NETBIOS網(wǎng)際互聯(lián)。 在Windows NT中SMB基于NBT實(shí)現(xiàn)。 而在WinXP中，SMB除了基于NBT的實(shí)現(xiàn)，還有直接通過445端口實(shí)現(xiàn)。 當(dāng)WinXP（允許NBT)作為client來連接SMB服務(wù)器時(shí)，它會(huì)同時(shí)嘗試連接139和445端口，如果445端口有響應(yīng)，那么就發(fā)送RST包給139端口斷開連接，以455端口通訊來繼續(xù).當(dāng)445端口無響應(yīng)時(shí)，才使用139端口。 5:49:55 10 試圖連接本機(jī)的木馬冰河【7626】端口 TCP標(biāo)志：S 該操作被拒絕 這條記錄就要注意一下啦，假如你沒有中木馬，也就沒有打開7626端口，當(dāng)然沒什么事。而木馬如果已植入你的機(jī)子，你已中了冰河，木馬程序自動(dòng)打開7626端口，迎接遠(yuǎn)方黑客的到來并控制你的機(jī)子，這時(shí)你就完了，但你裝了防火墻以后，即使你中了木馬，該操作也被禁止，黑客拿你也沒辦法。但這是常見的木馬，防火墻會(huì)給出相應(yīng)的木馬名稱，而對(duì)于不常見的木馬，天網(wǎng)只會(huì)給出連接端口號(hào)，這時(shí)就得*你的