防火墻安全規(guī)則設(shè)置.doc

低：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。計算機將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機器訪問自己提供的各種服務(wù)（文件、打印機共享服務(wù)）但禁止互聯(lián)網(wǎng)上的機器訪問這些服務(wù)。 中：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機共享服務(wù)），局域網(wǎng)和互聯(lián)網(wǎng)上的機器將無法看到本機器。 高：所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將詢問，已經(jīng)被認可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)（文件、打印機共享服務(wù)），局域網(wǎng)和互聯(lián)網(wǎng)上的機器將無法看到本機器。除了是由已經(jīng)被認可的程序打開的端口，系統(tǒng)會屏蔽掉向外部開放的所有端口。 擴：天網(wǎng)為用戶制定了一系列專門針對木馬和間諜程序的擴展規(guī)則，可以防止木馬和間諜程序打開TCP或UDP端口監(jiān)聽甚至開放未許可的服務(wù)。我們將根據(jù)最新的安全動態(tài)對規(guī)則庫進行升級，為您提供最安全的服務(wù)！ 用戶可以根據(jù)自己的需要調(diào)整自己的安全級別，方便實用。 注意：天網(wǎng)的簡易安全級別是為了方便不熟悉天網(wǎng)使用的用戶能夠很好的使用天網(wǎng)而設(shè)的。正因為如此，如果用戶選擇了采用簡易的安全級別設(shè)置，那么天網(wǎng)就會屏蔽掉高級的IP規(guī)則設(shè)定里規(guī)則的作用。 如果你點了高級后又去點IP規(guī)則，天網(wǎng)會自動幫IP規(guī)則改為默認 135,445端口介紹 135端口開放實際上是一個WINNT漏洞,開放的135的端口情況容易引起自外部的Snork攻擊！ 對于135端口開放的問題，可以在你的防火墻上，增加一條規(guī)則：拒絕所有的這類進入的UDP包，目的端口是135，源端口是7，19，或者135，這樣可以保護內(nèi)部的系統(tǒng)，防止來自外部的攻擊。大多數(shù)防火墻或者包過濾器已經(jīng)設(shè)置了很多嚴格的規(guī)則，已覆蓋了這條過濾規(guī)則，但任需注意：有一些NT的應(yīng)用程序，它們依靠UDP135端口進行合法的通訊，而打開你135的端口與NT的RPC服務(wù)進行通訊。如果真是這樣，你一定要在那些原始地址的系統(tǒng)上(需要135口通訊)，實施上述的規(guī)則，指定來自這些系統(tǒng)的通訊可以通過防火墻，或者，可以被攻擊檢測系統(tǒng)所忽略，以便維持那些應(yīng)用程序的正常連接。 ！為了保護你的信息安全，強烈建議你安裝微軟的最新windows補丁包。！ 2、如何理解并關(guān)閉139端口（NetBIOS提供服務(wù)的tcp端口） Netbios（NETworkBasicInput/OutputSystem）網(wǎng)絡(luò)基本輸入輸出系統(tǒng)。是1983年IBM開發(fā)的一套網(wǎng)絡(luò)標準，微軟在這基礎(chǔ)上繼續(xù)開發(fā)。微軟的客戶機服務(wù)器網(wǎng)絡(luò)系統(tǒng)都是基于NetBIOS的。在利用WindowsNT4.0構(gòu)建的網(wǎng)絡(luò)系統(tǒng)中，對每一臺主機的唯一標識信息是它的NetBIOS名。系統(tǒng)可以利用WINS服務(wù)、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址，從而實現(xiàn)信息通訊。在這樣的網(wǎng)絡(luò)系統(tǒng)內(nèi)部，利用NetBIOS名實現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上,它就和一個后門程序差不多了。因此，我們很有必要堵上這個可怕的漏洞。 。 445端口 也是一種TCP端口，該端口在Windows 2000 Server或Windows Server 2003系統(tǒng)中發(fā)揮的作用與139端口是完全相同的。具體地說，它也是提供局域網(wǎng)中文件或打印機共享服務(wù)。不過該端口是基于CIFS協(xié)議（通用因特網(wǎng)文件系統(tǒng)協(xié)議）工作的，而139端口是基于SMB協(xié)議（服務(wù)器協(xié)議族）對外提供共享服務(wù)。同樣地，攻擊者與445端口建立請求連接，也能獲得指定局域網(wǎng)內(nèi)的各種共享信息。445端口對普通用戶是沒用的，推薦關(guān)閉 IGMP數(shù)據(jù)包：IGMP對于Windows普通用戶沒什么用途，但由于Win9X操作系統(tǒng)的內(nèi)核缺陷，其自身存在一個IGMP漏洞，有人會利用這個漏洞向指定主機發(fā)送大量的IGMP數(shù)據(jù)包，使Windows 操作系統(tǒng)的網(wǎng)絡(luò)層受到破壞，導(dǎo)致死機，這在防火墻日志中會有記載 若是你局域網(wǎng)內(nèi)的IP地址，每當你網(wǎng)內(nèi)的機器要連接局域網(wǎng)時都會向外發(fā)送數(shù)據(jù)包，以搜索網(wǎng)內(nèi)的其他機器，在機器裝有TCP/IP的情況下，會返回一個回應(yīng)的數(shù)據(jù)包，天網(wǎng)把這些不規(guī)則的數(shù)據(jù)包攔截下來了。簡單來說就是，你打開電腦，然后你的電腦會自動尋找局域網(wǎng)內(nèi)的其他電腦，并發(fā)送數(shù)據(jù)包，其他網(wǎng)內(nèi)的電腦回應(yīng)時也會發(fā)回一個數(shù)據(jù)包；同樣的道理，別的電腦開機時，也會那樣，你的電腦是在這個局域網(wǎng)內(nèi)的，當然會收到這些數(shù)據(jù)包。 137，138，139的關(guān)閉方法 控制面扳網(wǎng)絡(luò)連接右鍵本地連接屬性把網(wǎng)絡(luò)文件和打影機共享前面的勾去掉就OK了 但是本地墩口還是會監(jiān)聽對方的共享的，屬于正常范圍 對于有些設(shè)置了自動啟動,但是系統(tǒng)進程里面還是沒有進程的解決辦法。就是沒有圖標 用 Administrators 這個帳戶登陸系統(tǒng),然后就可以用了,這個帳戶可以改名的.具體方法是 控制面板-管理工具-計算機管理-本地用戶和組-用戶-右鍵Administrators,重新命名,隨便改,記住，重新登陸時,這個改過的才是登陸號哈,(只有你系統(tǒng)進程里沒有的時候推薦這個方法) 其2,QQ自動運行,也是導(dǎo)致天網(wǎng)無法自動運行的原因,關(guān)閉方法:開始菜單-程序-啟動,把里面的QQ刪除就好了,或者改注冊表,這里就不詳細說了,(有時間再填加上來) 或者中毒，一般情況下有些木馬會自動關(guān)閉防火墻，包扣WIN墻 對日志的解釋，就拿我的來解釋吧，我是局域網(wǎng)上的 17:12:41 嘗試用Ping 來探測本機， 該操作被拒絕。 17:12:49 接收到 51 的 IGMP 數(shù)據(jù)包， 該包被攔截。 17:13:01 8試圖連接本機的CIFS445端口， TCP標志：S， 該操作被拒絕。 17:19:42 94試圖連接本機的CIFS445端口， TCP標志：S， 該操作被拒絕。 17:18:41 50試圖連接本機的135端口， TCP標志：S， 該操作被拒絕。 21:34:29 *.*.*.*試圖連接本機的NetBios-SSN139端口， TCP標志：S， 該操作被拒絕。 就這么多吧，其他的解釋是一樣的， 這段日志中，是以開默認規(guī)則的，上面的操作是被拒絕的，所以它沒連接到你端口，你是安全的，IGMP是局域網(wǎng)中，主機散布的廣播，一般98系統(tǒng)是不需要這個的，多了98會死機，所以天網(wǎng)幫你攔截了 關(guān)于access violation at address 00413082 in moduleb pfw.exe write at address 0000033c的問題 如果安裝重起后出現(xiàn)這個問題，請卸載。重起，安裝，重起，最好卸載后把文件夾刪除，實在不行就在安全模式下用內(nèi)置帳戶安裝 有人不斷試圖連接我的電腦,我該怎么辦啊 只要你連接到網(wǎng)絡(luò)上，就會有人連接你，就跟上面日志一樣，不會有問題，除非你防火墻顯示的是通過，那么要么你允許了，要么你的防火墻設(shè)置有錯誤，請設(shè)置成中或高，新手不推薦使用自定義 防火墻日志簡明而又全面。防火墻日志一向是天書：TCP、UDP，再加上TCP SYN明白的看得簡直頭暈，不明白的看起來心慌。其實日志是防火墻很重要的功能，但很多人卻不重視，也未仔細研究過日志內(nèi)容。日志記錄看似枯燥的數(shù)據(jù)，其實提供了大量寶貴的第一手資料，幫助我們更好地管理和維護網(wǎng)絡(luò)。 因此我來說明常見的天網(wǎng)防火墻日志，都表示些什么。點擊天網(wǎng)主界面右上方的“日志”按鈕，會看到如下信息： 一般日志分為三行： 第一行： 反映了數(shù)據(jù)包的發(fā)送、接受時間、發(fā)送者IP地址、對方通訊端口、數(shù)據(jù)包類型、本機通訊端口等等情況； 第二行： 為TCP數(shù)據(jù)包的標志位，共有六位標志位，分別是：URG、ACK、PSH、RST、SYN、FIN，天網(wǎng)在顯示標志位時取這六個標志位的第一個字母即A代表ASK、S代表SYN等 ，其中標志位ACK、SYN和FIN比較常用，簡單含義如下： ACK：確認標志 提示遠端系統(tǒng)已經(jīng)成功接收所有數(shù)據(jù) SYN：同步標志 該標志僅在建立TCP連接時有效，它提示TCP連接的服務(wù)端檢查序列編號 FIN：結(jié)束標志 帶有該標志位的數(shù)據(jù)包用來結(jié)束一個TCP會話，但對應(yīng)端口還處于開放狀態(tài)，準備接收后續(xù)數(shù)據(jù)。 RST：復(fù)位標志，具體作用未知 第三行： 對數(shù)據(jù)包的處理方法： 對于不符合規(guī)則的數(shù)據(jù)包會攔截或拒絕，顯示為：“該操作被拒絕”，意思是，此操作被天網(wǎng)防火墻攔截了！也就是對方根本不知道你的存在！ 對符合規(guī)則的但被設(shè)為監(jiān)視的數(shù)據(jù)包會顯示為“繼續(xù)下一規(guī)則”。 10:41:30 接收到3的IGMP數(shù)據(jù)包， 該包被攔截。 這條日志出現(xiàn)的頻率很高。IGMP的全稱是internet組管理協(xié)議，它是IP協(xié)議的擴展，主要用于IP主機向它鄰近主機通知組成員身份。通常出現(xiàn)這條日志并不表明電腦受到攻擊，不過黑客可以通過編寫攻擊程序，利用windows本身的BUG，采用特殊格式數(shù)據(jù)包向目標電腦發(fā)動攻擊，使被攻擊電腦的操作系統(tǒng)藍屏、死機。藍屏炸彈一般用的就是IGMP協(xié)議。 一般形成IGMP攻擊時，會在日志中顯示為大量來自于同一IP地址的IGMP數(shù)據(jù)包。 不過，有時收到這樣的提示信息也并不一定是黑客或病毒在攻擊，在局域網(wǎng)中也會常收到來自網(wǎng)關(guān)的類似數(shù)據(jù)包；再有一些有視頻廣播服務(wù)的機器也會對用戶發(fā)送這樣的數(shù)據(jù)包，因此不用過于驚慌。 7:11:04 接收到 36 的 UDP 數(shù)據(jù)包， 本機端口: 47624 ， 對方端口: 40627 該包被攔截。 沒有什么好擔心的，這是有人在用掃的軟件在掃地址而正好掃到你的地址段,此類軟件對被攻擊主機的不同端口發(fā)送TCP或UDP連接請求，探測被攻擊對象運行的服務(wù)類型。特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求。所以天網(wǎng)防火會報警,而且會攔截對方的IP，如果實在太煩，你可以把你的那個端口關(guān)掉。 9:04:18 3試圖連接本機的Http【80】端口， TCP標志：S， 該操作被拒絕。 如果你安裝了IIS來建立自己的個人網(wǎng)站，開放了WEB服務(wù)，即會開放80端口。因此黑客掃描判斷你是否開放了WEB服務(wù)，尋找相應(yīng)的漏洞來進行入侵。一般我們所遇到的大都是別人的掃描行為，不需要過于擔心了。 如果經(jīng)常收到來自外部IP高端口（大于1024）發(fā)起的類似TCP的連接請求，你得小心對方電腦是否中了“紅色代碼”，并試圖攻擊你（也有可能是人為使用軟件攻擊）。由于此病毒只傳染裝有IIS服務(wù)的系統(tǒng)，所以普通用戶不需擔心。 若發(fā)現(xiàn)本機試圖訪問其他主機的80端口，則應(yīng)檢查自己系統(tǒng)中是否有此病毒了。 9:04:18 3試圖連接本機的FTP Open Server【21】端口， TCP標志：S， 該操作被拒絕。 21端口是FTP服務(wù)所開放的端口，導(dǎo)致這條記錄出現(xiàn)的大部分原因是一些網(wǎng)蟲在使用ftp搜索軟件看哪些電腦開放了FTP，以尋求軟件、電影的下載。 8:39:42 23 嘗試用Ping 來探測本機， 該操作被拒絕。 對于這條日志的理解應(yīng)該不困難。我們知道PING命令可以用來測試兩臺電腦之間是否可以進行通訊，黑客在攻擊前首先要確定目標是否連接了網(wǎng)絡(luò)。但安裝防火墻之后，即使電腦連接了網(wǎng)絡(luò)，黑客PING的結(jié)果也會顯示數(shù)據(jù)包無法到達，這樣就會起到迷惑黑客的作用。出現(xiàn)這條日志說明可能有人用PING命令發(fā)送數(shù)據(jù)包來探測你是否開機并連在網(wǎng)絡(luò)上，不必擔心，防火墻已攔截了數(shù)據(jù)包。 14:00:24 46 嘗試用Ping來探測本機， 該操作被拒絕。 14:01:09 2 嘗試用Ping來探測本機， 該操作被拒絕。 14:01:20 01 嘗試用Ping 來探測本機， 該操作被拒絕。 特征：多臺不同IP的計算機試圖利用Ping的方式來探測本機。 日志中所列機器感染了沖擊波類病毒。感染了“沖擊波殺手”的機器會通過Ping網(wǎng)內(nèi)其他機器的方式來尋找RPC漏洞，一旦發(fā)現(xiàn)，即把病毒傳播到這些機器上。 在排除了人為進行的ping之外，要注意可能是來自于源地址機器中有類似于“沖擊波”等病毒在作怪。因此，對于本機來講，刻不容緩的事情就是要安裝微軟的“沖擊波”補丁。 14:01:28 9試圖連接本機的【135】端口， TCP標志：S， 該操作被拒絕。 同上，是利用RPC服務(wù)漏洞的沖擊波類的蠕蟲病毒，該病毒主要攻擊手段就是掃描計算機的135端口進行攻擊。更新微軟的補丁還是必要的。 11:58:08 8試圖連接本機的NetBios-SSN【139】端口， TCP標志：S， 該操作被拒絕。 特征：某一IP連續(xù)多次連接本機的NetBios-SSN139端口，表現(xiàn)為時間間隔短，連接頻繁。 日志中所列IP的計算機可能感染了“尼姆達病毒”。感染“尼姆達”的計算機有個特點，會搜尋局域網(wǎng)內(nèi)一切可用的共享資源，并會將病毒復(fù)制到取得完全控制權(quán)限的共享文件夾內(nèi)，達到病毒傳播目的。 139端口是NetBIOS協(xié)議所使用的端口，在安裝TCP/IP 協(xié)議的同時，NetBIOS也會被作為默認設(shè)置安裝到系統(tǒng)中。139端口的開放意味著硬盤可能會在網(wǎng)絡(luò)中共享；網(wǎng)上黑客也可通過NetBIOS知道你的電腦中的一切! 盡管在天網(wǎng)防火墻的監(jiān)控下，此隱患沒有被利用。但不能無動于衷，應(yīng)把這漏洞補上。對于連接到互聯(lián)網(wǎng)上的機器，NetBIOS完全沒用，可將它去掉。 10:42:27 6試圖連接本機的CIFS【445】端口， TCP標志：S， 該操作被拒絕。 445端口，一個既讓人愛，又招人恨的端口，有了它，網(wǎng)民們可以在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機，但正因為有了它，Internet上的“惡人”們才有了“可乘之機”，他們能躲在Internet上的“陰暗角落”里，偷偷共享你的硬盤，甚至?xí)谇臒o聲息中，將你的硬盤格式化掉！ SMB： Windows協(xié)議族，用于文件和打印共享服務(wù)。 NBT： 使用137(UDP), 138(UDP) and 139 (TCP）來實現(xiàn)基于TCP/IP的NETBIOS網(wǎng)際互聯(lián)。 在Windows NT中SMB基于NBT實現(xiàn)。 而在WinXP中，SMB除了基于NBT的實現(xiàn)，還有直接通過445端口實現(xiàn)。 當WinXP（允許NBT)作為client來連接SMB服務(wù)器時，它會同時嘗試連接139和445端口，如果445端口有響應(yīng)，那么就發(fā)送RST包給139端口斷開連接，以455端口通訊來繼續(xù).當445端口無響應(yīng)時，才使用139端口。 5:49:55 10 試圖連接本機的木馬冰河【7626】端口 TCP標志：S 該操作被拒絕 這條記錄就要注意一下啦，假如你沒有中木馬，也就沒有打開7626端口，當然沒什么事。而木馬如果已植入你的機子，你已中了冰河，木馬程序自動打開7626端口，迎接遠方黑客的到來并控制你的機子，這時你就完了，但你裝了防火墻以后，即使你中了木馬，該操作也被禁止，黑客拿你也沒辦法。但這是常見的木馬，防火墻會給出相應(yīng)的木馬名稱，而對于不常見的木馬，天網(wǎng)只會給出連接端口號，這時就得*你的