深入天网防火墙
网络与通信
目前很多读者都用天网防火墙来保护自己的电脑。不过,大多数人都只是单纯地开启天网,设置一下天网防护的级别就完事了,这样做不能让天网起到真正的防护作用。其实只要深入研究一下天网的设置,你就会发现要让系统固若金汤,并不是一件很难的事情。
一、设置应用程序权限
设置应用程序权限是天网高级设置里的一项功能。大家知道天网的界面有低、中、高三个安全级别。普通用户使用这三项就够了。不过为了防范未知的漏洞,我们需要进一步“强化”它。
点击系统设置的图案,你会发现这里有一项“应用程序权限:允许所有的应用程序访问网络,并在规则中记录这些程序”,如果前面有钩,一定要去掉它((图2))!按下“确定”后,我们来测试一下。打开一个下载程序──FlashGet,下载一个文件试试,天网会立即弹出警告窗口,提示访问网络的程序名称、访问地址和端口,如果你确认有必要让该程序访问网络,则按下“允许”,同时勾选“以后都按照这次的操作进行”。这样,FlashGet访问网络的安全设置就搞定了。设置错了怎么办?点击应用程序规则图案((图3)),在这里你可以找到刚才设置的应用程序规则,点击“选项”就会出现“应用程序高级设置”菜单((图4)),设置一下就可以了。按照这样的方法,尝试你的机器上所有的程序和服务,并在天网上一一设置安全规则。以后再遇到某程序试图访问网络时就要多加小心,仔细观察一下程序文件名,如果不能确定,最好选择“禁止”,并勾选“以后都按照这次的操作进行”。如果在以后的使用中发现某服务不能使用,再来怀疑该服务是否被你禁止了,按照上文所述的方法找到该规则并修改。
注意:上述方法适合在新装系统的计算机上应用。已经使用很久的计算机,由于不能确认某些程序是否有危害,该方法就显得不太适合,可以参考下面所讲的自定义IP规则的方法。
二、自定义IP规则
设置应用程序权限只能防止恶意程序或木马向外发送、泄露你的机密,但是它不能防止黑客的主动攻击。如何让恶意信息不能溜过天网的监视和拦截呢?这就需要我们自定义IP规则,就好像在自己的计算机上颁布了治安条例,谁来捣乱就捉谁。当然,“治安条例”不能乱颁,更不能一棍子全部都打死(连正常网络连接和服务也被封杀了),下面我们就来看看如何设置IP规则。
1.IP规则自定义基本步骤
首先,点击自定义IP规则图案或者点击安全级别上的标记,在这里我们可以看到天网已经内置了不少安全规则了。这些设置都十分有用,例如防范Ping命令探测、防范ICMP、IGMP攻击、防范NetBIOS漏洞等。我们可以保留这些安全规则,自己再添加适合本机情况的安全规则。方法是单击“空规则”,在弹出的设置界面中设置规则名称和满足条件,按下“确定”后,在已经设置好的新规则名称前面打一个勾,这样新规则就会被启用了。下面我们就具体设置分别举例,让大家有一个直观的印象。
2.禁止所有木马端口
我们可以在IP安全规则设置里将木马的端口一网打尽,彻底破灭各种木马与网外联系的希望。首先我们知道大部分的木马都使用服务端和客户端两种程序,服务端就是黑客企图装在你机器上的程序,黑客会试图通过客户端主动与你的机器上的服务端进行连接。下面以冰河木马为例。
单击“空规则”,填写规则的“名称”为“防范冰河木马”;“说明”可填可不填;数据包方向设置为“接受或发送”;“对方IP地址”设置为“任何地址”。切换下面的书签到“UDP”,冰河使用的协议是UDP,监听端口为7626,所以我们设置“本地端口”为“从7626到7626”;选择“当满足上面条件时”“拦截”;同时还“记录”、“警告”、“发声”。单击“确定”后,再勾选新添加的规则,这样冰河木马就拿你没辙了。
其他的木马防范和上例一样,就不多讲了。表中列举几个极度危险的木马端口,记住一定要加入到规则里去啊。
3.监测危险的服务端口
有的木马程序喜欢将监听端口开在一些常用的网络服务端口上,企图混淆用户的视听,例如目前流行的“网络神偷”,将监听端口开在80端口上,这样用户即使用端口扫描软件查看,也会误认为正常。
这里提醒大家一点:一般的上网用户连接网络的本机端口是随机打开的,只有开放网络服务让别人访问,才会有某些固定的端口开放监听,例如HTTP的端口80、FTP的端口21、SMTP的端口25、POP3的端口110……假如你没有提供这些网络服务,可以在IP自定义规则里禁止或者记录log。
我们以监测、禁止本机80端口为例:
点击“空规则”,取名为“防范网络神偷”(图1);数据包方向为“接收或发送”;对方IP地址为任何地址;切换书签到TCP,本地端口设置为“从80到80”;“当满足上面条件”时设置为“拦截”;同时还“记录”、“警告”,TCP标志位勾选“SYN”(SYN是用来建立连接的标志位)。单击“确定”,启用该规则。((图5))
这里还有一个特殊的例子,例如专门偷窃QQ密码的GOP木马,它是利用SMTP协议将窃取的密码自动发送到黑客信箱里的。假如你能使用本单位的邮件服务器(并且该服务器有发信身份验证),配置天网的IP安全规则就能将风险减到最小。
方法:首先建立一条允许发信的规则,指定IP地址为你的专用邮件服务器,对方端口为25;然后建立一条禁止发信的规则,禁止发送信息到所有的IP地址,并且对方端口指定为25。注意允许的规则应该放在禁止的前面。
终极大法
假如你是一个宽带网用户,在自己的机器上安装了Web服务器、FTP服务器或邮件服务器,并且24小时都开放这些服务,自己又是上班族,无法经常照看它。如何尽量让自己的爱机变得安全呢?
第一步,确定本机需要开放的服务,设置允许通行的IP安全规则,数据包方向为“接收”,TCP标志位为SYN。
第二步,设立一条禁止所有端口和服务的规则。对方IP地址为任何地址,本机端口和对方端口为所有端口,数据包方向为“接收”,TCP标志位为SYN。
注意:允许通过的IP规则一定要放在禁止规则的前面。
进行了如上设置之后,用户除了访问你的指定端口服务外什么都不能做。这样就最大限度地防止了黑客的侵扰了。