防范防火墙的小“漏洞”
网络安全
说到网络防火墙,大家都非常熟悉了,比如天网防火墙、金山网镖、瑞星防火墙等等。可是这些国产的防火墙都有一个明显的缺陷,或者说是小漏洞。下面我们来看看具体情况是怎样的。
网络防火墙除了可以阻拦从网络进行的入侵,屏蔽危险的端口以外,还能对试图连接互联网的程序进程进行甄别,从而防止恶意程序连接网络。我们都知道许多防火墙都有类似“应用规则”这样的功能,从中我们可以对允许通过或不许通过的程序进程进行管理。
一般默认情况下,防火墙程序只要是与规则里的路径及文件名相同比如IE浏览器(iexplore.exe)、Outlook Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe等操作系统中的程序进程,就可以通过。
但是现在大多数木马都采用了线程插入技术,木马程序将自身隐蔽到某个指定的系统进程中,最常见的就是IE浏览器的进程iexplore.exe和资源管理器的进程explorer.exe,然后木马程序就能轻易穿透防火墙规则的限制,进而被黑客所控制。
因为防火墙是不会拦截已认证放行的程序的,这也是很多人安装了杀毒软件和网络防火墙后,同样能被黑客安装木马程序所控制的主要原因之一。下面我们就来看看如何对这个小漏洞进行防范,下面以《金山网镖》为例为大家进行讲解。
运行《金山网镖》,双击系统栏的防火墙图标,在弹出的窗口中选择“应用规则”列表,接着找到“Internet Explorer”这一项。可能很多用户找到这一项后会点击“删除”按钮删除这个规则,但我告诉你这样做是错误的,因为当你删除以后防火墙软件又会自动的进行添加。
正确的做法是,将该规则原来的“通过”选项改为“询问”或“禁止”,这样IE浏览器的进程即使是被木马程序所利用,也无法和外网的客户端程序进行连接。如果有一天你的防火墙突然弹出一个请求连接的IE浏览器提示框,那么你的系统一定是被安装了某种恶意程序或流氓软件。