注意:本文是专门特地给我们家绯紫写的,属于原创文章,如果转载,劳架请您著名出处……
天网防火墙是国产防火墙中比较出色的一款,应该说现在国内有很多的用户都在使用他,虽然SKYNET不是尽善尽美的,但是对于个人用户的网络安全的解决,已经比较完善了……
但是冰血想问大家几个问题:您使用防火墙的时候,您是否每天查看您防火墙的日志?是否经常查看你的应用程序网络状态?是否经常查看你的应用程序访问网络权限?您设置过应用程序网络连接权限么?……这些对于一个个人主机的管理员来说,是至关重要的!
如果没有~?我想您应该好好跟着冰血往下看看了:)
首先,咱们说应用“程序访问网络权限”
在天网的设置中有一项应用程序访问网络权限,点开它你可以看见您计算机中的应用程序连接网络的许可权限……在这里你可以设置网络连接权限,如果有不明白的,就干脆不让它连接网络,点那个小叉一下,变红了就OK,要是以后发觉它真的是有用的,再开起权限也可以啊:)而且天网还会把那些程序的物理地址给你显示出来,如果不行还可以实地考察!
而且这里冰血封情还要说个问题,就是当天网第一次安装好了,在系统设置里面的“应用程序权限”里的“允许所有应用程序访问网络,并在规则中记录这些程序”,不要勾选这项目。这样每当一个应用程序访问网络都要经过你的同意,这样才可以有效及时的在第一时间内控制好所有的应用程序的网络连接权限!!以保障计算机的网络安全不出现隐患!
而且平时好还要多去看看,经常整理一这些有网络连接权限的程序,以免出现漏网的鱼……
那么程序访问网络权限的设置就介绍到这里,下面我们说说应用程序网络状态!
好,现在说“应用程序网络状态”
真是一个比一个重要啊,这个应用程序网络状态是用来观察你的计算机现在有哪些程序在连接或半开放与网络联系,并且他们使用的是什么协议,在主机上开了那些端口,这些都对你的计算机产生重大的影响:)
可以说,没必要开的服务都可以不开啊!特别是在不想和别人进行共享交流的情况下……139系列端口如果打开是很恶心的事情!!不要告诉冰血说你自己没开共享!!因为让你开共享的方法多的很!!冰血封情的计算机如果不连网络只有两个程序端口在监听——他们是RISING升级程序监听站点的升级信息!如果冰血打开IE,就开IE的系列端口(包括辅助传输的端口)……
其实在你查看应用程序网络状态的时候,你如果当时发现有不明程序监听端口,可以立刻终止它,如果是系统的是无法终止的:)为了系统的安全,这里你也要经常查看……
完成了这一部分的学习,下面可是进入重点了!
最后,防火墙的日志!!
这里可是重点,要不然冰血封情也不用放在最后啊:)这里我们先看条日志……[20:53:00] 211.219.50.54试图连接本机的1433端口,
TCP标志:S,
该操作被拒绝。
第一行反映的是事件发生的时间、发送者IP地址以及企图连接本机的通讯端口!
然后的TCP标志后面的S,是SYN的意思。TCP数包共有六个标志位,分是:URG、ACK、PSH、RST、SYN和FIN,天网防火墙在显示标志位时分取这六个标志位的第一个字母即A代表ASK、S代表SYN等,其中标志位ACK、SYN和FIN比较常用,它们的含义是:
ACK:确认标志
提示远端系统已成功搪收所有数据。
SYN:同步标志
该标志仅在建立TCP连接时有效,它提示TIP连接的服务检查序列编号。
FIN:结束标志
带有该标志的数据包用来结束一个TIP会话,但对应端品仍处于开放状态,准备接收后续数。
“该操作被拒绝”的意思是,此操作被天网防火墙拦截了……也就是对方根本不会知道你的存在!
那么经常查看防火墙的历史日志,可以看见类似这样的记录!
以下引用一些实际例子来说明问题:
[11:37:36] 接收到 192.168.0.177 的 IGMP 数据包,该包被拦截。
解释:这是防火墙日志中最常见的一种记录,也是最常见的一种网络攻击形式。IGMP(INTERNET Rroup Management protocol)是用于组播的一种协议,实际上对于Windws的用户是没有什么用途的,但由于Windws中存于IGMP漏洞,当向安装有Windws 9x操作系统的机器发送长度和数量都较大的IGMP数据包时,会导致系统TIP/IP栈崩溃,系统表现为蓝屏或死机,这就是所谓的IGMP攻击。一般形成IGMP攻击时,会在日志中显示为大量来自于同一IP地址的IGMP数据包。
[11:18:58]XXX.XXX.XXX.XXX试图连本机的的Http[80]端口
TIP标志:S
该操作被拒绝
Http[80]端口是HTTP协议的端口,用来进行HTTP协议数据交换,比如网页的浏览,或者是提供Web服条。对于服条器来说,该记录表示有人通过这个端口进入服务器访问网页。对于个人电脑来说一般是没有提供这项服务的,如果在日志中连续出现了大量类似记录,而且来源IP和端口都是不定的,但TIP标志都为S(即接收请求)的话,你可是受到了SYN港水攻击。
出现这种日志记录时,还有一种情况就是服务器受到了"红色代码"病毒的攻击,"红色代码"是利用"缓冲区溢出"的漏洞入侵安装了ⅡS4.0或ⅡS5.0的服务器,并对它进控制和破坏的。它的传染机制就是利用所控制的服务器进行网络探测,一是发现有提供80端口Web服务的服务器,就尝试利用"缓冲区溢出"的漏洞进行传染。正因为如此,当有多台服务器都被传染了"代号红色"病毒之后,它们就会不停地对周边主机发出TIP的SYN数据包,当被病毒控制的服务器越来越多的时候。这种情况就会越严重。一大零服务器发出的SYN包可以等同于对网进行着DoS攻击,这种情况也是很严重的。
以上两个例子都是比较典型的当然还有很多!要大家在线平常的生活中去发现!按照前面我所介绍的符号内容去分析,去理解!
好了,关于防火墙的介绍也就这么多了……希望大家一起来完善我们的网络!
|
