常见防火墙设置图文说明
一、天网防火墙
天网防火墙有正式版(收费的版本,服务好,功能强)和试用版(免费,用的人很多,IP编辑高级功能受一些限制)之分,试用版的界面和操作基本都一样,使用试用版的可以参考类似的操作。
安装完后要重起,重启后打开天网防火墙就能起到作用了。默认的中级状态下,它的作用就基本可以了。但有时它苛刻的IP规则也带来了很多不便,后面再说。所以,如果没什么特殊要求的,就设置为默认就OK了,安全级别为中就好。
一、普通应用(默认情况)
下面来介绍天网的一些简单设置,如下图一是系统设置界面,大家可以参照来设置:
图一
下面是IP规则,一般默认就可以了,其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的,这里是默认情况就不多说了。
图二
下面是各个程序使用及监听端口的情况,可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。
再看下图就是日志,上面记录了你程序访问网络的记录,局域网,和网上被IP扫描你端口的情况,供参考以便采取相应对策,由于是默认就不多说了,日志上基本都是拒绝的操作。图四
以上是天网在默认下的一些情况,只要你没什么特殊要求,如开放某些端口或 屏蔽某些端口,或某些IP操作等等,默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法,大家可以依次类推,完成你想要的相关操作。
二、防火墙开放端口应用
如果想开放端口就得新建新的IP规则,所以在说开放端口前,我们来说说怎么新建一个新的IP规则,如下图五,在自定义IP规则里双击进行新规则设置。
图五
点击增加规则后就会出现以下图六所示界面,我们把它分成四部分 图六
1)图六1是新建IP规则的说明部分,你可以取有代表性的名字,如“打开BT6881-6889端口”,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。
2)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
3)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。
4)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,就看你自己想怎么样了。
如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶,这就完成了新的IP规则的建立,并立即发挥作用。
三、打开端口实例
新IP规则建立后,举例说明。流行的BT使用的端口为6881-6889端口这九个端口,而防火墙的默认设置是不允许访问这些端口的,它只允许BT软件访问网络,所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了,但机器是不是就不安全了?下面以打开6881-6889端口举个实例
1)在图五双击后建立一个新的IP规则后在出现的下图七里设置,由于BT使用的是TCP协议,所以就按下图七设置就OK了,点击确定完成新规则的建立,我命名为BT。
图七
设置新规则后,把规则上移到该协议组的置顶,并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。图八
四、应用自定义规则防止常见病毒
上面介绍的是开放端口的应用,大体上都能类推,如其他程序要用到某些端口,而防火墙没有开放这些端口时,就可以自己设置,相信大家能搞定。下面来一些实例封端口,让某些病毒无法入侵。
1、防范冲击波
冲击波,这病毒大家熟悉吧??它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。
如何防范,就是封主以上端口,首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用(就是打勾)就已经禁止了135和139两个端口。
下边是禁止4444端口的图九
下面是禁止69和445端口的图,上图为69下图为445
建立完后就保存,记得保存,很多朋友就是不记得保存,导致没有效果。
2、防范冰河木马
冰河,熟悉了吧?也是比较狠的病毒哦,它使用的是UDP协议,默认端口为7626。
具体见下图
如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置,其实设置都差不多,大家可以参照,可以大大防范突然爆发的病毒和木马的攻击!
五、下面介绍怎么打开WEB和FTP服务
不少朋友都使用了FTP服务器软件和WEB服务器,放火墙不仅限制本机访问外部的服务器,也限制外部计算机访问本机。为了WEB和FTP服务器能正常使用就得设置防火墙,首先在图八把“禁止所有人连接”前的勾去掉。
以下是WEB和FTP的IP规则供大家参考上图为WEB,下图为FTP。
六、常见日志的分析(仅供参考)
使用防火墙关键是会看日志,看懂日志对分析问题是非常关键的,看下图,就是日志记录,上面记录了不符合规则的数据包被拦截的情况,通过分析日志就能知道自己受到什么攻击。下面来说说日志代表的意思,当然很多我也是知之甚少的,希望诸位坛友能给些更详细的解释和指正。
看上图,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母,他们的简单含义如下:
ACK:确认标志 --- 提示远端系统已经成功接收所有数据
SYN:同步标志 --- 该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号
FIN:结束标志 --- 带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。
RST:复位标志,具体作用未知
其他不知道了,呵呵
第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
下面举些常见典型例子来讲讲:
记录1:[22:30:56] 202、121、0、112 尝试用PING来探测本机
TCP标志: S
该操作被拒绝
该记录显示了在22:30:56时,从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息,但被拒绝了。
人们用PING命令来确定一个合法IP是否存在,当别人用PING命令来探测你的机器时,如果你的电脑安装了TCP/IP协议,就回返回一个回音ICMP包,如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置,你的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的,,但如果在日志里显示有N个来自同一IP地址的记录,那就有鬼了,很有可能是别人用扫描工具探测你主机信息,他想干什么?谁知道?
记录2:[5:29:11] 61、114、155、11试图连接本机的http[80]端口
TCP标志:S
该操作被拒绝
本机的http[80]端口是HTTP协议的端口,主要用来进行HTTP协议数据交换,比如网页浏览,提供WEB服务。对于服务器,该记录表示有人通过此端口访问服务器的网页,而对于个人用户一般没这项服务,如果个人用户在日志里见到大量来自不同IP和端口号的此类记录,而TCP标志都为S(即连接请求)的话,完了,你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒,主要是攻击服务器,也会出现上面的情况。
记录3:[5:49:55] 31、14、78、110 试图连接本机的木马冰河[7626]端口
TCP标志:S
该操作被拒绝
这就是个害怕的记录啦,假如你没有中木马,也就没有打开7626端口,当然没什么事。而木马如果已植入你的机子,你已中了冰河,木马程序自动打开7626端口,迎接远方黑客的到来并控制你的机子,这时你就完了,但你装了防火墙以后,即使你中了木马,该操作也被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得*你的经验和资料来分析该端口的是和哪种木马程序相关联,从而判断对方的企图,并采取相应措施,封了那个端口。
记录4:[6:12:33] 接收到 228、121、22、55的IGMP数据包
该包被拦截
这是日志中最常见的,也是最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。
记录5:[6:14:20] 192、168、0、110 的1294端口停止对本机发送数据包
TCP标志:F A
继续下一规则
[6:14:20] 本机应答192、168、0、110的1294端口
TCP标志:A
继续下一规则
从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在图八里防火墙规则中选了“TCP数据包监视”,这样通过TCP传输的数据包都会被记录下来,所以大家没要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!呵呵!
防火墙的日志内容远不只上面几种,如果你碰到一些不正常的连接,自己手头资料和网上资料就是你寻找问题的法宝,或上防火墙主页上看看,这有助于你改进防火墙规则的设置,使你上网更安全。
七、在线升级功能
现在天网不断推出新的规则库,作为正式版用户当然可以享受这免费升级的待遇,只要在天网界面点击一下在线升级,不到2分钟就可以完成整个升级过程,即快捷又方便。
点击后出现一个在线升级网络设置的提示框,如果你没有使用代理上网的就不用设置,直接下一步安装规则包,这样就完成升级了。
升级后防火墙的自定义规则就会多了很多条防御木马的规则,只要使用自定义级别就可以了。不过选用自定义后,记得要把自定义里的IP规则选勾保存规则,这样日志才会有记录的。
二、诺顿个人防火墙
在软件的主界面左侧点击“Internet区域控制”选项,在右侧窗口进入“信任区域”选项卡,点击“添加”按钮,打开“指定计算机”对话框。在该对话框中选择“使用范围”,然后在下面输入允许访问的起始地址和结束地址即可。
例如,办公室的IP地址范围是172.22.1.2~172.22.1.253,现在只要将起止IP地址输入,点击“确定”按钮使设置生效之后,在这个区段内的所有IP就都可以正常访问了。
其实我们可以不将该网段的所有IP地址囊括进来,大家可以根据自己所在局域网的实际情况来确定IP的范围。
三、江民黑客防火墙
在这款防火墙的主界面上点击“IP规则设置”按钮,弹出IP规则列表。在这个IP规则列表中,可找到和局域网有关的两条IP规则:“允许本机连接局域网内的其它机器”、“局域网内的其它机器访问本机(TCP)”(图3)。
如果要修改“局域网内的其它机器访问本机(TCP)”规则,可点击该规则所对应的编辑按钮,打开“反黑王规则设定”对话框,在其中的“对方IP地址”下拉列表中选择“地址范围”,并将本局域网的网段添加进来即可。如果你真的不希望被网内的其他用户访问,也可以在“局域网内的其它机器访问本机”这条规则内进行设置。
四、McAfee防火墙
在McAfee防火墙安装的过程中,软件会要求我们进行网络设置。在“Choose Your Type of Network(选择网络类型)”窗口中选择“Office Network(办公网络)”,点击“Next”按钮,进入网络访问设置窗口。如果你是在办公室局域网内,建议你选择“Completely Trust My Local Network(完全信任我的本地网络)”,然后一路点击“Next”按钮即可完成设置。这样,防火墙便会像一个听话的“孩子”,不会对我们在局域网内进行的操作横加干涉了。
当然,局域网内的访问不一定都是善意的,我们可以设置允许访问的IP地址的范围,最大限度地保证互访的安全性。
如果你希望能够由自己定义允许访问的IP地址范围,可以在McAfee防火墙主窗口依次点击“Utilities→Trusted&Banned IPs→Trusted IP Addresses”,点击“Add”按钮。在弹出的可信任IP规则窗口中,点击“An IP Address Range”,在下面输入IP地址的范围(图4),最后点击“OK”按钮退出设置对话框即可。
大家还可以在“Banned IP Addresses(不信任的IP地址)”选项卡内,将自己想拒绝的用户的IP地址添加进来。
五、金山网镖
金山网镖提供了局域网共享目录的访问监控功能,它允许用户随时查看本机共享目录的访问情况。通过这一功能,用户可以随时取消不必要的共享目录并中止其他用户对自己的共享目录的访问,尽可能地阻止恶意程序的入侵以及他人的“偷窥”。
在金山网镖的主界面中,点击“共享管理”选项卡,在“共享管理”窗口列表中便会列出当前所有的共享。选择需要编辑的共享,然后在“共享管理”页面上方通过点击“编辑”、“删除”、“添加”等图标,便可对共享文件进行管理。另外,如果你想暂时中止某个文件夹的共享,只需要点击该文件夹右侧的“禁止”即可(图5)。
此外,想要在局域网内能够正常互访,我们还需要做以下设置。在金山网镖的主窗口菜单栏上点击“工具→综合设置→IP设置”,勾选“我的电脑处于局域网中”复选框,点击“确定”按钮使设置生效。
六、瑞星个人防火墙
瑞星个人防火墙也是用户最常用的防火墙软件之一。从2003版开始,瑞星防火墙在它的规则设置中增加了对局域网和广域网的判别。而且,这种判别可以让用户对特定传输方向的数据进行处理。
例如,很多用户希望能够开放Windows信使服务,以便接收局域网内其他用户发送的信息,但又担心收到外部网络发来的一些骚扰信息。此时,我们便可以利用瑞星防火墙专门针对Windows信使服务设定访问规则。在软件主界面的菜单栏上依次点击“选项→规则设置”,打开规则设置对话框。在规则列表中找到“禁止Windows信使服务”,打开修改规则对话框。要想在局域网内正常使用Windows信使功能,只要点击“数据链”旁的向下箭头,选择“局域网”,并将“操作”设定为“允许”即可。
七、Kerio Personal Firewall(以下简称KPF)个人防火墙
无疑KPF是个不错的选择,它能够控制自己计算机与网络上的计算机的数据交换,保护你的计算机不受网络上用户的攻击,具有网络安全、私有信息保护、入侵检测、应用程序完整性检查四大功能,还能够屏蔽讨厌的广告、形形色色的脚本和控件,从多角度保卫用户的计算机不受侵犯。更重要的是,它简单易用,无需掌握过多的知识就可以轻松使用。
网络安全设置
KPF的默认规则中,对信任区域的安全设置比Internet的区域要低,通常和你同在一个局域网段内的计算机可以当做信任区域,因为同一个网段内的计算机通常是单位的同事,计算机之间需要共享数据、打印机和应用程序,所以安全级别要求较低。但有时即使是同一个网段的计算机也存在安全的隐患,比如有个别人总喜欢上一些非法网站,导致被木马或病毒侵害,祸及整个局域网。此时可以考虑缩小信任区域的范围,设置信任区域范围的步骤是:
1.打开KPF的设置窗口。
2.选择Network Security(网络安全)标签。
3.选择Trusted area(信任区域)标签。
4.单击“Remove(移除)”按钮,可以删除目前已添加的信任区域。
5.单击“Add(添加)”按钮,弹出“Zone definition(区域定义)”窗口,可以按单个IP、IP段、子网三种方式添加信任域。
KPF的默认规则中,包含一些最基本的协议设置,其中有IGMP、ICMP、DNS、DHCP和VPN,通常情况下不需要修改,只要把“Enable predefined network security(开启确定的网络安全)”勾选就可以了。
系统安全设置
除了升级和更新之外,通常应用程序本身是不会发生变化的,有些病毒和木马通过附加在正常的程序里启动,用户即使发现了有发送数据的行为也以为是正常的程序。KPF开启后,将主动监控每个程序的运行,并支持文件的MD5校验。这样一来,一旦发现某些程序打开其它程序,或者应用程序有哪怕一个字节的变化,KPF就会立即通知用户
入侵检测
许多入侵者使用各种黑客工具查找漏洞,发现有漏洞的机器并发动入侵。KPF的入侵检测系统能够发现目前大多数入侵代码和攻击,KPF将攻击等级分为三个危险等级,用户可以根据不同选择不同的动作。单击“Details(详情)”按钮可以获得各个级别所包含的攻击类型。这样一来,谁在用什么方法攻击你就看得一清二楚了。
通过上述内容,大家应该都掌握了以上几款防火墙软件在局域网安全、管理方面的设置技巧,能够从容应对因防火墙设置不当造成的无法互访等问题。
各种防火墙的设置技巧有一定的共通之处,那就是一般都能够在它们的IP规则的设定中找到和局域网相关的选项,大家只要采用和上述内容类似的操作即可完成设置。
八、ZoneAlarm防火墙
有不少朋友经过各种渠道了解到ZoneAlarm防火墙,或者正在使用。这里在下补充一下关于这款人气极高的防火墙说明。ZoneAlarm 来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程序。ZoneAlarm可以帮你执行这项重大任务喔。而且还是免费的。使用很简单,你只要在安装时填入你的资料,如有最新的ZoneAlarm,你就可以免费网上更新。安装完后从新开机,ZoneAlarm 就会自动启动,帮你执行任务。当有程序想要存取Internet时,如网络浏览器可能会出现连不上网络,这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键,选取Programs的选项,勾选你要让哪些软件上网,哪些不可以上网,利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住(Lock)网络不让任何程序通过,只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少网络资源,也可以设定锁定网络的时间。这么好用的软件你一定要亲自使用才能感觉到它的威力。
一、安装与界面
目前可以看到的ZoneAlarm版本有多个:ZoneAlarm Pro 、 ZoneAlarm Plus 、 ZoneAlarm 和ZoneAlarm with Antivirus等。它们对系统的要求很低,Windows 98SE/Me/2000/XP, 233 MHz Pentium or higher, 10MB of available hard disk space, Internet access. Minimum system RAM: 48MB (98SE/ME), 64MB (2000 Pro), 128MB (XP)就足够了,无论全新安装还是升级安装都能轻松完成。与其它软件不同,ZoneAlarm Pro 4.5以后的版本为你提供了一项选择:你可以选择下载免费的ZoneAlarm FREE,并且以后再也不会被产品购买提示所打扰,也可以选择ZoneAlarm Pro有效期为30天的免费试用版。在30天的免费试用期满后,如果你还是决定暂时不支付50美元来购买ZoneAlarm Pro,则该软件会自动转变成ZoneAlarm 4.5,无需任何重新安装的操作,你也不会看到任何变成灰色而无法使用的功能。无论你选择哪一个版本,在软件的安装过程中,ZoneAlarm都会提供有一个无需你做太多思考的向导,它会询问你几个简单的问题,并带领你完成所有的配置。对于大多数用户来说,最为适合的也许就是一路点击“下一步”,使用该软件的默认配置来为自己的计算机提供安全保护。而且,在任何时候你都可以对这些配置随意的进行修改。
ZoneAlarm的主界面是那种漂亮、同时对任何人来说都足够简单的外观。这种设计看起来和Windows XP极其相似,导航条标签位于屏幕的左侧,当你点击它们的时候会详细的显示出每一项设置的内容(如图1)。
图 1
导航条中包括ZoneAlarm的主要功能:
Overview .................常规状态
Firewall................. 防火墙保护网络安全
Program control.......... 应用程序控制
Antivirus monitoring..... 反病毒监测
E-mail protection ........高级邮件管理
Privacy ..................保护隐私信息
Web Filtering............ 网页过滤
ID Lock.................. 逆向追踪黑客的来源
Alerts and Logs.......... 警报和日志查看器
最小化窗口dashboard
点击“缩放”按纽可以将整个窗口最小化,只显示出“停止”和“锁定”键(图2),它们分别可以用来屏蔽一切网络连接和取消保护。“停止”是相对一切网络通讯而言的,比如遭网络(冲击波/高波病毒等)攻击时使用它屏蔽一切网络连接;“锁定”功能是对应用程序而言,被标记为信任的应用程序仍然可以通讯,而其它应用程序的通讯被中断,笔者使用VNC远程控制连接就要用到这个功能,把VNC标记为可信任服务就可以了,总的来说,这个软件的外观体现了简洁又漂亮的特点。 dashboard中间显示的是当前可用的网络连接,比如有2块网卡分别连接2个不同的网络,当鼠标指向网络仪表板上相应的网络参数就显示出来了。
图 2
二、强劲功能逐个数
ZoneAlarm Pro 的核心部分,还是它的个人防火墙,它能够确保任何入侵者都无法通过互联网进入到你的计算机中。同时还具有一个能够捕捉到可能会群发邮件的病毒或者蠕虫的电子邮件监视器、一个cookie管理器、一个弹出或者广告屏蔽器,以及一个ActiveX和JavaScript防御工具。
常规设置(Overview):
ZoneAlarm的Overview能够很快的让你了解到最近所遭受到的入侵攻击,包括一些常规详细和设置。
版本信息和自动升级
Overview中的product info显示当前的版本信息和版权信息,如果Licensing中显示还有XX天,你注意要及时注册呀,如果不是最新的版本可以通过Overview菜单-preference(参数)选项卡-check for updates(检查最新版本信息)来设置自动更新或手工更新。
开机自动运行
在安装中,ZoneAlarm 能够进行自我配置,以便能够与你默认的浏览器相兼容。默认设置下次开机时ZoneAlarm 自动运行,ZoneAlarm 占资源不大,这样的设置保证了计算机开机后立即得到保护,如果要关闭开机自动运行,在Overview菜单-preference(参数)选项卡-general(常规)中取消选择“Load Zone Labs security software at startup ”就可以了。
密码保护和参数备份
密码保护用来保护ZoneAlarm 不被意外停止和恶意修改参数,在Overview菜单-preference(参数)选项卡-password中点击set password设置保护密码(如图3)。
参数备份是备份系统自我配置和用户配置的参数,一般来说由于不同的计算机网络和应用环境差别很大,不同用户的参数设置不同,不能互用。备份时点击Overview菜单-preference(参数)选项卡-Backing up and restoring security settings 中的backup/Restore完成备份/恢复,是一个XML文件。
图 3
防火墙保护(Firewall)
功能介绍
ZoneAlarm 的防火墙(图4)具有三个安全级别(高、中和低),并将其安全分成三个区域(锁定、本地和 Internet)。ZoneAlarm创造了域的管理方式,使得用户管理更简单:把对象简单的分为3个域,可以信赖的对象组成的域---Trusted Zone 、绝对不可以信任的对象组成的域--Blocked Zone 和不能确定是否能信赖的对象组成的域--Internet Zone。域的对象可以是一个网段,一个主机,一个网址等。
图 4
对所有的 Internet 活动,Zone Lab 推荐使用“高”安全级别设置,这样的设置将锁定每一活动,直到您作出明确授权为止。这是 ZoneAlarm 仍未能用于批量安装的原因之一,因为每一安装都不得不这样做。ZoneAlarm 也使用秘密模式,这种模式对端口状态请求(如端口扫描期间遇到的请求)不做出响应,将已授权程序没有使用的所有端口隐藏起来。
安全设置“中”最好留给本地(Trusted Zone)使用,此设置实施用户设置的所有应用程序特权,但允许本地网络访问 Windows 服务、共享文件和驱动器。用户必须定义在本地区域中允许使用的资源。这些资源可以包括机器自己的适配器(用于循环回路和其他服务)以及其他计算机。幸运的是有了域的分配,您不必为每台计算机输入 IP 地址,因为 ZoneAlarm 允许您输入主机/网站名称、单一 IP 地址、范围或子网归于域。最后,如果您在网络内部运行服务器,则安全设置“低”为最好的选择(图5)。此情况下最有可能的安装将是基于硬件的防火墙后的文件和打印服务器的安装。
图 5
操作步骤:
在FireWall功能页面下,我们可以通过“add”按钮来将指定的计算机或者网络设置为信任主机或者受保护的区域(图6),例如将那些需要进行共享的计算机或者我们进行需要使用ping命令来测试的计算机设置为信任主机时,单击“add”按钮,然后再选择是通过“Add ip address”命令添加指定的主机IP地址还是通过“Add ip range”命令添加局域网中的ip地址范围,或者是添加子网掩码,让ZoneAlarm把局域网和Internet分开来管理。如果要取消信任主机或者受保护的网络区域,只要先在该界面的列表上选中指定目标,再单击一下“remove”按钮就可以了,如果要对这些内容进行编辑,只要单击edit按钮就行了,设置好后单击“apply”按钮就开始生效了。
图 6
用户要做的就是编辑域成员和设置域的安全级别,域成员角色的转换也很方便,域安全级别的设置对所有域成员都起作用,真是太方便了。 内外有别保护不同网段
ZoneAlarm其核心的个人防火墙可以保护您的电脑不受互联网上非法用户的入侵,同时还能够自动检测局域网络的设置,确保来自内部网络的通信不受影响。比如,你上互联网的同时还有一个办公网,内部需要交流文件或打印共享,可以把内部网络归为Trusted Zone域而把互联网归到Internet Zone域,ZoneAlarm对不同的域实施不同的防火墙规则,这样上网办公两不误,而且都受到防火墙的保护。
用域对付恶意网站
把恶意网站的网址输入Blocked Zone就可以达到不能访问恶意网站的目的(图7),网上关于恶意网站的网址很多,都归于Blocked Zone域,你感染恶意网页的机会就小多了,如果已经感染恶意网页,也可以把它归于Blocked Zone域,隔离断了它的后路,然后清除。用域封已经感染的恶意网页的方法是:
Firewall|Zones|Add|Host/Site(...)|Blocked|OK。增添对话框设置如图8,其中ZONE(域类型)、Host name(恶意网址)、Description(描述)。
图七
图 8
拒绝内部恶意网络攻击
如今的病毒太可恶,如果内部网络有一台计算机感染病毒,其它计算机就有被感染的可能,防火墙虽然可以阻挡已知的网络攻击,但是对新病毒的攻击未必有效,通过分析ZoneAlarm的日志可以确定是谁攻击你,把它的IP(或者它所在的IP段)指定为Blocked Zone域,接上网线,你的正常工作可以继续做而不用担心被感染了。
应用程序控制(Program control)
应用程序控制包括应用程序管理、自动的策略建议和自动锁定功能。
功能介绍
对应用程序控制有4个安全级别,分别对应应用程序(Program)和组件(components) 的进行管理,设置为“低”级别时应用程序和组件可以直接访问网络;“中”级别适合应用程序需要确认才能访问网络,组件可以直接访问网络的情况;而“高”级别对应用程序和组件都需要确认才可以访问网络。自动的策略建议也是很实用的功能,用应用程图访问网络时,它会给出策略建议。如果您选中“Automatic Lock”(自动锁定)中的ON选项,那么你可以在指定时间或屏幕保护时锁定网络。
操作方法
如果Zone Alarm 在运行过程中碰到一个新程序需要和网络连接的话,它就会跳出一个确认对话框,问你是否允许该程序访问网络。选择允许或不允许后可以到Program control-Program 中设权限(图9)。应用程序的权限包括访问权限和服务权限,访问权限和服务权限含义是不同的,对外而言,访问权限(Access Permissions)是控制是否可以主动访问外部对象,服务权限(Server Permissions)是控制是否允许开启服务端口提供外人连接,区别是发起连接的对象个别是自己和对方。
图 9
该设置界面列出了所有可能访问Internet 的程序,并且提供程序名、是否允许连接、是否允许使用服务器、是否允许通过锁定应用程序控制功能等控制信息;其中是否允许连接又分为对本地和Internet 的两种连接方式,绿色的“√”为允许连接而无须询问;红色的“×”为禁止连接;问号则是在每次出现连接企图时都会先提出询问。另外应用程序控制功能允许你决定哪个软件可以或者不能使用Internet ,可以确保欺骗程序(或者说是盗贼程序)不能发送你的敏感信息给那些不法分子。在这里,我们可以通过鼠标的右键功能,来选择是允许程序和网络连接、禁止和网络连接、询问后再连接等3种状态(图10)。
如果选中“Automatic Lock”(自动锁定)中的ON选项,弹出自动锁定对话框,其中第一个选项是用来设置在停止操作以后多长时间启动锁定功能,程序默认为10分钟;第二个选项确定是否在运行屏幕保护程序的时候启动锁定功能。下面还有两项设置内容;其中第一项是在锁定状态下是否允许一些仍然处于激活状态下的程序如Email程序保持与INTERNET的联系,例如检查是否有新的邮件到来;第二项是停止所有的与INTERNET相关的操作,单击“Stop”按纽可以在锁定和解锁状态之间切换。
图 10
PASS LOCK(激活)的设置方法(图11):
图 11
组件控制可能是其它防火墙所没有的功能(图12),它将禁止一个程序去控制另外一个应用程序的能力。因为某个程序可能利用了了一个称为DLL(动态链结库)的程序的可再度使用部分,使得因特网浏览器让程序发送数据。只有在高级安全模式才启用组件控制功能。
其它功能介绍
反病毒监测(Antivirus monitoring) 不是网络防火墙的强项,但是病毒和防火墙的关系越来越亲密,有了用户的需要,ZoneAlarm就有了反病毒功能,如果安装的是ZoneAlarm with Antivirus 那么就具备了反病毒功能(图13),笔者安装的是Norton Antivirus 2004,ZoneAlarm 依然可以实现反病毒监测功能。
图 13
高级邮件管理(E-mail protection) 通过电子邮件传播病毒已经是一个严重的网络问题,ZoneAlarm包含一个邮件监视器,它能够对所有接受的和发出的电子邮件都进行监控,以便于能够及时制止那些群发邮件病毒的可疑行为(以前的版本只能够对所受到的邮件进行监控)。在侦测到有病毒在进行自我复制后开始向外群发邮件时,它会自动关闭掉你的电子邮件客户端。MailSafe功能扫描所有电子邮件中出现的 Visual Basic 脚本附件(如臭名昭著的 ILOVEYOU“我爱您”病毒)。如果发现此类附件,MailSafe 会将其隔离,并在您试图运行该附件时发出警告。尽管在默认情况下MailSafe 处于活动状态,但可以通过安全面板禁用它(图14)。
保护隐私信息(Privacy protection) ZoneAlarm具备智能管理Cookie能力,Cookie是网站保存到用户硬盘,记录用户冲浪和购买习惯的文本文件。这些数据一般用于根据您的网上习惯有针对性地给您发广告,通常是无害的。但是这些数据可能会落入不怀好意的人之手,因此,您也许要考虑一下使用Cookie管理工具了。 像Cookie Crushera这样的程序能让您自己控制哪个网站可保存Cookie
图 14
ZoneAlarm广告拦(AD BLOCKING)截能力也是很强的,启用AD BLOCKING后,网站的广告基本上都被成功拦截了,而在安装防火墙以前只有使用第三方软件才能达到广告拦截效果(图15)。
图 15
ZoneAlarm具备拦截Java和ActiveX的能力(MobileCode)(图16)。具备破坏性的代码通过网页和电子邮件不断的被下载,而ZoneAlarm具备拦截Java和ActiveX的分析和拦截能力,保护的上网更安全。
图 16
一个缓冲区清理工具(CacheClean)(图17),它能够将保存在你计算机上的网络临时文件、浏览器历史纪录,以及cookie全都删掉,平时需要多个步骤才能完成的功能,现在点击鼠标就可以轻松完成了
图 17
逆向追踪黑客的来源(ID Lock) 在遭到攻击后,可以逆向追踪黑客的来源,另外,ZoneAlarm还新增加了一个汇报工具。以前,Hacker ID功能只能够在受到攻击后向你报告那些入侵者的地址(IP地址或者物理方位)(不用担心,在追踪任何可疑的入侵者的时候,ZoneAlarm会自动遮蔽掉你的IP地址)。不过现在,Zone Labs公司会自动收集这些追踪报告,并将它们发给相应的ISP厂商。不过好像用不上。
警报和日志查看器(Alerts and Logs)
弹出警报是用户和ZoneAlarm交流的方式,比如有新的应用程序需要访问网络就弹出警报(图18),如果关闭了警报功能,ZoneAlarm使用智能策略实施权限配置,以避免分散用户的注意力,简化用户配置难度。日志记录的是网络通信和应用程序通讯的过程,通过分析日志可以发现木马或受到的攻击极其来源以及应用程序访问网络的情况,而是否记录到日志可以通过面板设置。
图 18
网页过滤(Web Filtering) 网页中包括暴力色情等内容时(图19),Web Filtering过滤这些不健康的内容,用户要做的就是选择过滤哪些敏感内容,然后启动Web Filtering功能。
图19
专家级的规则设定
防火墙自定义规则并不是ZoneAlarm的“专利”,但是新版本中专家级的规则设定具有独特的功能(图20),突出特点表现在3个方面:定义组、时间控制和控制到数据链路层。到目前为止,控制到数据链路层只有ZoneAlarm可以作到。而且,ZoneAlarm可以工作在ICS/NAT的网关计算机上,针对内部计算机,ZoneAlarm根据设置决定是否对NAT数据包进行过滤,默认设置对所有本地数据包进行过滤,而对NAT转发的数据不做过滤,自定义规则可以针对外部和内部发起的通讯分别控制。
图 20
组的对象可以按照主机、协议和时间分类。主机类可以是HOST/SITE(网址)、IP(地址)、IP RANG(地址段)、SUBNET(子网)、TRUST ZONE(信赖域)、INTERNET ZONE(INTERNET域)、ANY(任意)、GATEWAY(物理地址)等,协议类对象包括TCP、UDP、TCP&UDP、ICMP、IGMP、CUSTOM定制等,而对有相同时间要求的对象归于同一个时间组。把类功能要求相同的对象归与一组,显然减少了重复劳动,管理也更有条理。
时间控制功能对需要精确控制通讯时间的用户非常有用,比如所有IM是一个组,而这个组不能在上班时间使用IM及时通讯软件。而小朋友可以在星期天上网游戏或看动画片,其它时间禁止上网,这都可以用时间控制功能来实现。
对MAC的识别意味着可以捆绑IP和MAC,而MAC是网卡的身份证,允许或限制某台计算机使用上网资源也就不难了,这是其它防火墙不具备的功能,而这正是网管可能需要的东西(图21)。严厉的网管可以这样设置,屏蔽所有内部网络访问互联网的权限但允许使用内网资源,而对要求上网的用户设置IP和MAC捆绑并赋予访问外网的权限,即使有用户擅自修改IP或MAC也没用,而在一个LAN内部相同IP会报告IP冲突。
图 21
三、对比NIS(Norton Internet Security 2004)
ZoneAlarm可以在网络OSI模型中的上6层中工作,控制功能强大但是操作容易,充分体现了出一个优秀软件的特色。占用资源少也是NIS不能比拟的,特别是在配置较底的计算机上ZoneAlarm更显优势。
就专家级设定方式而言,NIS更早推出自定义规则功能,但是,ZoneAlarm软件十分体贴用户,独特的组的概念、时间控制和控制到数据链路层都体现了开发者的独具匠心,可以通过安全级别的选择简单配置防火墙规则,也可以通过高级选项详细设置各项功能。
ZoneAlarm 对应用程序的控制要比 NIS(Norton Internet Security) 更安全。对于 NIS 来说,如果一个网络访问匹配了系统范围的策略配置,将不再进行应用程序扫描和检查,如果配置了非常宽松的访问策略,恶意应用程序入木马将不能被发现;对于 ZoneAlarm 来说,也是先检查系统范围的策略配置,如果被策略拒绝,可以选择弹出警告或者忽略,如果策略允许通过,也要检查应用程序设置,如果没有相应的应用程序访问控制,则弹出配置对话框。显然ZoneAlarm的这种工作模式更加安全,当然也需要更多次的交互。
给大家说了一通了,也不知道大家能不能看懂,其实防火墙的作用就是保护自己真实IP的同时,监控各个端口,并给出日志,让大家分析并找出相应的对策,灵活应用防火墙能给自己机子带来比较高的安全性。当然有些病毒木马是诱导用户主动访问而感染的,就要*自己提高安全意识来防范了。总之,互联网大了,用的人多了,什么样的人都有,所以给自己机子上装个防火墙是必不可少的基本防御!
一、天网防火墙
天网防火墙有正式版(收费的版本,服务好,功能强)和试用版(免费,用的人很多,IP编辑高级功能受一些限制)之分,试用版的界面和操作基本都一样,使用试用版的可以参考类似的操作。
安装完后要重起,重启后打开天网防火墙就能起到作用了。默认的中级状态下,它的作用就基本可以了。但有时它苛刻的IP规则也带来了很多不便,后面再说。所以,如果没什么特殊要求的,就设置为默认就OK了,安全级别为中就好。
一、普通应用(默认情况)
下面来介绍天网的一些简单设置,如下图一是系统设置界面,大家可以参照来设置:
图一
下面是IP规则,一般默认就可以了,其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的,这里是默认情况就不多说了。
图二
下面是各个程序使用及监听端口的情况,可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。
再看下图就是日志,上面记录了你程序访问网络的记录,局域网,和网上被IP扫描你端口的情况,供参考以便采取相应对策,由于是默认就不多说了,日志上基本都是拒绝的操作。图四
以上是天网在默认下的一些情况,只要你没什么特殊要求,如开放某些端口或 屏蔽某些端口,或某些IP操作等等,默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法,大家可以依次类推,完成你想要的相关操作。
二、防火墙开放端口应用
如果想开放端口就得新建新的IP规则,所以在说开放端口前,我们来说说怎么新建一个新的IP规则,如下图五,在自定义IP规则里双击进行新规则设置。
图五
点击增加规则后就会出现以下图六所示界面,我们把它分成四部分 图六
1)图六1是新建IP规则的说明部分,你可以取有代表性的名字,如“打开BT6881-6889端口”,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。
2)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
3)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。
4)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,就看你自己想怎么样了。
如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶,这就完成了新的IP规则的建立,并立即发挥作用。
三、打开端口实例
新IP规则建立后,举例说明。流行的BT使用的端口为6881-6889端口这九个端口,而防火墙的默认设置是不允许访问这些端口的,它只允许BT软件访问网络,所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了,但机器是不是就不安全了?下面以打开6881-6889端口举个实例
1)在图五双击后建立一个新的IP规则后在出现的下图七里设置,由于BT使用的是TCP协议,所以就按下图七设置就OK了,点击确定完成新规则的建立,我命名为BT。
图七
设置新规则后,把规则上移到该协议组的置顶,并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。图八
四、应用自定义规则防止常见病毒
上面介绍的是开放端口的应用,大体上都能类推,如其他程序要用到某些端口,而防火墙没有开放这些端口时,就可以自己设置,相信大家能搞定。下面来一些实例封端口,让某些病毒无法入侵。
1、防范冲击波
冲击波,这病毒大家熟悉吧??它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。
如何防范,就是封主以上端口,首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用(就是打勾)就已经禁止了135和139两个端口。
下边是禁止4444端口的图九
下面是禁止69和445端口的图,上图为69下图为445
建立完后就保存,记得保存,很多朋友就是不记得保存,导致没有效果。
2、防范冰河木马
冰河,熟悉了吧?也是比较狠的病毒哦,它使用的是UDP协议,默认端口为7626。
具体见下图
如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置,其实设置都差不多,大家可以参照,可以大大防范突然爆发的病毒和木马的攻击!
五、下面介绍怎么打开WEB和FTP服务
不少朋友都使用了FTP服务器软件和WEB服务器,放火墙不仅限制本机访问外部的服务器,也限制外部计算机访问本机。为了WEB和FTP服务器能正常使用就得设置防火墙,首先在图八把“禁止所有人连接”前的勾去掉。
以下是WEB和FTP的IP规则供大家参考上图为WEB,下图为FTP。
六、常见日志的分析(仅供参考)
使用防火墙关键是会看日志,看懂日志对分析问题是非常关键的,看下图,就是日志记录,上面记录了不符合规则的数据包被拦截的情况,通过分析日志就能知道自己受到什么攻击。下面来说说日志代表的意思,当然很多我也是知之甚少的,希望诸位坛友能给些更详细的解释和指正。
看上图,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母,他们的简单含义如下:
ACK:确认标志 --- 提示远端系统已经成功接收所有数据
SYN:同步标志 --- 该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号
FIN:结束标志 --- 带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。
RST:复位标志,具体作用未知
其他不知道了,呵呵
第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
下面举些常见典型例子来讲讲:
记录1:[22:30:56] 202、121、0、112 尝试用PING来探测本机
TCP标志: S
该操作被拒绝
该记录显示了在22:30:56时,从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息,但被拒绝了。
人们用PING命令来确定一个合法IP是否存在,当别人用PING命令来探测你的机器时,如果你的电脑安装了TCP/IP协议,就回返回一个回音ICMP包,如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置,你的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的,,但如果在日志里显示有N个来自同一IP地址的记录,那就有鬼了,很有可能是别人用扫描工具探测你主机信息,他想干什么?谁知道?
记录2:[5:29:11] 61、114、155、11试图连接本机的http[80]端口
TCP标志:S
该操作被拒绝
本机的http[80]端口是HTTP协议的端口,主要用来进行HTTP协议数据交换,比如网页浏览,提供WEB服务。对于服务器,该记录表示有人通过此端口访问服务器的网页,而对于个人用户一般没这项服务,如果个人用户在日志里见到大量来自不同IP和端口号的此类记录,而TCP标志都为S(即连接请求)的话,完了,你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒,主要是攻击服务器,也会出现上面的情况。
记录3:[5:49:55] 31、14、78、110 试图连接本机的木马冰河[7626]端口
TCP标志:S
该操作被拒绝
这就是个害怕的记录啦,假如你没有中木马,也就没有打开7626端口,当然没什么事。而木马如果已植入你的机子,你已中了冰河,木马程序自动打开7626端口,迎接远方黑客的到来并控制你的机子,这时你就完了,但你装了防火墙以后,即使你中了木马,该操作也被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得*你的经验和资料来分析该端口的是和哪种木马程序相关联,从而判断对方的企图,并采取相应措施,封了那个端口。
记录4:[6:12:33] 接收到 228、121、22、55的IGMP数据包
该包被拦截
这是日志中最常见的,也是最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。
记录5:[6:14:20] 192、168、0、110 的1294端口停止对本机发送数据包
TCP标志:F A
继续下一规则
[6:14:20] 本机应答192、168、0、110的1294端口
TCP标志:A
继续下一规则
从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在图八里防火墙规则中选了“TCP数据包监视”,这样通过TCP传输的数据包都会被记录下来,所以大家没要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!呵呵!
防火墙的日志内容远不只上面几种,如果你碰到一些不正常的连接,自己手头资料和网上资料就是你寻找问题的法宝,或上防火墙主页上看看,这有助于你改进防火墙规则的设置,使你上网更安全。
七、在线升级功能
现在天网不断推出新的规则库,作为正式版用户当然可以享受这免费升级的待遇,只要在天网界面点击一下在线升级,不到2分钟就可以完成整个升级过程,即快捷又方便。
点击后出现一个在线升级网络设置的提示框,如果你没有使用代理上网的就不用设置,直接下一步安装规则包,这样就完成升级了。
升级后防火墙的自定义规则就会多了很多条防御木马的规则,只要使用自定义级别就可以了。不过选用自定义后,记得要把自定义里的IP规则选勾保存规则,这样日志才会有记录的。
二、诺顿个人防火墙
在软件的主界面左侧点击“Internet区域控制”选项,在右侧窗口进入“信任区域”选项卡,点击“添加”按钮,打开“指定计算机”对话框。在该对话框中选择“使用范围”,然后在下面输入允许访问的起始地址和结束地址即可。
例如,办公室的IP地址范围是172.22.1.2~172.22.1.253,现在只要将起止IP地址输入,点击“确定”按钮使设置生效之后,在这个区段内的所有IP就都可以正常访问了。
其实我们可以不将该网段的所有IP地址囊括进来,大家可以根据自己所在局域网的实际情况来确定IP的范围。
三、江民黑客防火墙
在这款防火墙的主界面上点击“IP规则设置”按钮,弹出IP规则列表。在这个IP规则列表中,可找到和局域网有关的两条IP规则:“允许本机连接局域网内的其它机器”、“局域网内的其它机器访问本机(TCP)”(图3)。
如果要修改“局域网内的其它机器访问本机(TCP)”规则,可点击该规则所对应的编辑按钮,打开“反黑王规则设定”对话框,在其中的“对方IP地址”下拉列表中选择“地址范围”,并将本局域网的网段添加进来即可。如果你真的不希望被网内的其他用户访问,也可以在“局域网内的其它机器访问本机”这条规则内进行设置。
四、McAfee防火墙
在McAfee防火墙安装的过程中,软件会要求我们进行网络设置。在“Choose Your Type of Network(选择网络类型)”窗口中选择“Office Network(办公网络)”,点击“Next”按钮,进入网络访问设置窗口。如果你是在办公室局域网内,建议你选择“Completely Trust My Local Network(完全信任我的本地网络)”,然后一路点击“Next”按钮即可完成设置。这样,防火墙便会像一个听话的“孩子”,不会对我们在局域网内进行的操作横加干涉了。
当然,局域网内的访问不一定都是善意的,我们可以设置允许访问的IP地址的范围,最大限度地保证互访的安全性。
如果你希望能够由自己定义允许访问的IP地址范围,可以在McAfee防火墙主窗口依次点击“Utilities→Trusted&Banned IPs→Trusted IP Addresses”,点击“Add”按钮。在弹出的可信任IP规则窗口中,点击“An IP Address Range”,在下面输入IP地址的范围(图4),最后点击“OK”按钮退出设置对话框即可。
大家还可以在“Banned IP Addresses(不信任的IP地址)”选项卡内,将自己想拒绝的用户的IP地址添加进来。
五、金山网镖
金山网镖提供了局域网共享目录的访问监控功能,它允许用户随时查看本机共享目录的访问情况。通过这一功能,用户可以随时取消不必要的共享目录并中止其他用户对自己的共享目录的访问,尽可能地阻止恶意程序的入侵以及他人的“偷窥”。
在金山网镖的主界面中,点击“共享管理”选项卡,在“共享管理”窗口列表中便会列出当前所有的共享。选择需要编辑的共享,然后在“共享管理”页面上方通过点击“编辑”、“删除”、“添加”等图标,便可对共享文件进行管理。另外,如果你想暂时中止某个文件夹的共享,只需要点击该文件夹右侧的“禁止”即可(图5)。
此外,想要在局域网内能够正常互访,我们还需要做以下设置。在金山网镖的主窗口菜单栏上点击“工具→综合设置→IP设置”,勾选“我的电脑处于局域网中”复选框,点击“确定”按钮使设置生效。
六、瑞星个人防火墙
瑞星个人防火墙也是用户最常用的防火墙软件之一。从2003版开始,瑞星防火墙在它的规则设置中增加了对局域网和广域网的判别。而且,这种判别可以让用户对特定传输方向的数据进行处理。
例如,很多用户希望能够开放Windows信使服务,以便接收局域网内其他用户发送的信息,但又担心收到外部网络发来的一些骚扰信息。此时,我们便可以利用瑞星防火墙专门针对Windows信使服务设定访问规则。在软件主界面的菜单栏上依次点击“选项→规则设置”,打开规则设置对话框。在规则列表中找到“禁止Windows信使服务”,打开修改规则对话框。要想在局域网内正常使用Windows信使功能,只要点击“数据链”旁的向下箭头,选择“局域网”,并将“操作”设定为“允许”即可。
七、Kerio Personal Firewall(以下简称KPF)个人防火墙
无疑KPF是个不错的选择,它能够控制自己计算机与网络上的计算机的数据交换,保护你的计算机不受网络上用户的攻击,具有网络安全、私有信息保护、入侵检测、应用程序完整性检查四大功能,还能够屏蔽讨厌的广告、形形色色的脚本和控件,从多角度保卫用户的计算机不受侵犯。更重要的是,它简单易用,无需掌握过多的知识就可以轻松使用。
网络安全设置
KPF的默认规则中,对信任区域的安全设置比Internet的区域要低,通常和你同在一个局域网段内的计算机可以当做信任区域,因为同一个网段内的计算机通常是单位的同事,计算机之间需要共享数据、打印机和应用程序,所以安全级别要求较低。但有时即使是同一个网段的计算机也存在安全的隐患,比如有个别人总喜欢上一些非法网站,导致被木马或病毒侵害,祸及整个局域网。此时可以考虑缩小信任区域的范围,设置信任区域范围的步骤是:
1.打开KPF的设置窗口。
2.选择Network Security(网络安全)标签。
3.选择Trusted area(信任区域)标签。
4.单击“Remove(移除)”按钮,可以删除目前已添加的信任区域。
5.单击“Add(添加)”按钮,弹出“Zone definition(区域定义)”窗口,可以按单个IP、IP段、子网三种方式添加信任域。
KPF的默认规则中,包含一些最基本的协议设置,其中有IGMP、ICMP、DNS、DHCP和VPN,通常情况下不需要修改,只要把“Enable predefined network security(开启确定的网络安全)”勾选就可以了。
系统安全设置
除了升级和更新之外,通常应用程序本身是不会发生变化的,有些病毒和木马通过附加在正常的程序里启动,用户即使发现了有发送数据的行为也以为是正常的程序。KPF开启后,将主动监控每个程序的运行,并支持文件的MD5校验。这样一来,一旦发现某些程序打开其它程序,或者应用程序有哪怕一个字节的变化,KPF就会立即通知用户
入侵检测
许多入侵者使用各种黑客工具查找漏洞,发现有漏洞的机器并发动入侵。KPF的入侵检测系统能够发现目前大多数入侵代码和攻击,KPF将攻击等级分为三个危险等级,用户可以根据不同选择不同的动作。单击“Details(详情)”按钮可以获得各个级别所包含的攻击类型。这样一来,谁在用什么方法攻击你就看得一清二楚了。
通过上述内容,大家应该都掌握了以上几款防火墙软件在局域网安全、管理方面的设置技巧,能够从容应对因防火墙设置不当造成的无法互访等问题。
各种防火墙的设置技巧有一定的共通之处,那就是一般都能够在它们的IP规则的设定中找到和局域网相关的选项,大家只要采用和上述内容类似的操作即可完成设置。
八、ZoneAlarm防火墙
有不少朋友经过各种渠道了解到ZoneAlarm防火墙,或者正在使用。这里在下补充一下关于这款人气极高的防火墙说明。ZoneAlarm 来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程序。ZoneAlarm可以帮你执行这项重大任务喔。而且还是免费的。使用很简单,你只要在安装时填入你的资料,如有最新的ZoneAlarm,你就可以免费网上更新。安装完后从新开机,ZoneAlarm 就会自动启动,帮你执行任务。当有程序想要存取Internet时,如网络浏览器可能会出现连不上网络,这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键,选取Programs的选项,勾选你要让哪些软件上网,哪些不可以上网,利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住(Lock)网络不让任何程序通过,只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少网络资源,也可以设定锁定网络的时间。这么好用的软件你一定要亲自使用才能感觉到它的威力。
一、安装与界面
目前可以看到的ZoneAlarm版本有多个:ZoneAlarm Pro 、 ZoneAlarm Plus 、 ZoneAlarm 和ZoneAlarm with Antivirus等。它们对系统的要求很低,Windows 98SE/Me/2000/XP, 233 MHz Pentium or higher, 10MB of available hard disk space, Internet access. Minimum system RAM: 48MB (98SE/ME), 64MB (2000 Pro), 128MB (XP)就足够了,无论全新安装还是升级安装都能轻松完成。与其它软件不同,ZoneAlarm Pro 4.5以后的版本为你提供了一项选择:你可以选择下载免费的ZoneAlarm FREE,并且以后再也不会被产品购买提示所打扰,也可以选择ZoneAlarm Pro有效期为30天的免费试用版。在30天的免费试用期满后,如果你还是决定暂时不支付50美元来购买ZoneAlarm Pro,则该软件会自动转变成ZoneAlarm 4.5,无需任何重新安装的操作,你也不会看到任何变成灰色而无法使用的功能。无论你选择哪一个版本,在软件的安装过程中,ZoneAlarm都会提供有一个无需你做太多思考的向导,它会询问你几个简单的问题,并带领你完成所有的配置。对于大多数用户来说,最为适合的也许就是一路点击“下一步”,使用该软件的默认配置来为自己的计算机提供安全保护。而且,在任何时候你都可以对这些配置随意的进行修改。
ZoneAlarm的主界面是那种漂亮、同时对任何人来说都足够简单的外观。这种设计看起来和Windows XP极其相似,导航条标签位于屏幕的左侧,当你点击它们的时候会详细的显示出每一项设置的内容(如图1)。
图 1
导航条中包括ZoneAlarm的主要功能:
Overview .................常规状态
Firewall................. 防火墙保护网络安全
Program control.......... 应用程序控制
Antivirus monitoring..... 反病毒监测
E-mail protection ........高级邮件管理
Privacy ..................保护隐私信息
Web Filtering............ 网页过滤
ID Lock.................. 逆向追踪黑客的来源
Alerts and Logs.......... 警报和日志查看器
最小化窗口dashboard
点击“缩放”按纽可以将整个窗口最小化,只显示出“停止”和“锁定”键(图2),它们分别可以用来屏蔽一切网络连接和取消保护。“停止”是相对一切网络通讯而言的,比如遭网络(冲击波/高波病毒等)攻击时使用它屏蔽一切网络连接;“锁定”功能是对应用程序而言,被标记为信任的应用程序仍然可以通讯,而其它应用程序的通讯被中断,笔者使用VNC远程控制连接就要用到这个功能,把VNC标记为可信任服务就可以了,总的来说,这个软件的外观体现了简洁又漂亮的特点。 dashboard中间显示的是当前可用的网络连接,比如有2块网卡分别连接2个不同的网络,当鼠标指向网络仪表板上相应的网络参数就显示出来了。
图 2
二、强劲功能逐个数
ZoneAlarm Pro 的核心部分,还是它的个人防火墙,它能够确保任何入侵者都无法通过互联网进入到你的计算机中。同时还具有一个能够捕捉到可能会群发邮件的病毒或者蠕虫的电子邮件监视器、一个cookie管理器、一个弹出或者广告屏蔽器,以及一个ActiveX和JavaScript防御工具。
常规设置(Overview):
ZoneAlarm的Overview能够很快的让你了解到最近所遭受到的入侵攻击,包括一些常规详细和设置。
版本信息和自动升级
Overview中的product info显示当前的版本信息和版权信息,如果Licensing中显示还有XX天,你注意要及时注册呀,如果不是最新的版本可以通过Overview菜单-preference(参数)选项卡-check for updates(检查最新版本信息)来设置自动更新或手工更新。
开机自动运行
在安装中,ZoneAlarm 能够进行自我配置,以便能够与你默认的浏览器相兼容。默认设置下次开机时ZoneAlarm 自动运行,ZoneAlarm 占资源不大,这样的设置保证了计算机开机后立即得到保护,如果要关闭开机自动运行,在Overview菜单-preference(参数)选项卡-general(常规)中取消选择“Load Zone Labs security software at startup ”就可以了。
密码保护和参数备份
密码保护用来保护ZoneAlarm 不被意外停止和恶意修改参数,在Overview菜单-preference(参数)选项卡-password中点击set password设置保护密码(如图3)。
参数备份是备份系统自我配置和用户配置的参数,一般来说由于不同的计算机网络和应用环境差别很大,不同用户的参数设置不同,不能互用。备份时点击Overview菜单-preference(参数)选项卡-Backing up and restoring security settings 中的backup/Restore完成备份/恢复,是一个XML文件。
图 3
防火墙保护(Firewall)
功能介绍
ZoneAlarm 的防火墙(图4)具有三个安全级别(高、中和低),并将其安全分成三个区域(锁定、本地和 Internet)。ZoneAlarm创造了域的管理方式,使得用户管理更简单:把对象简单的分为3个域,可以信赖的对象组成的域---Trusted Zone 、绝对不可以信任的对象组成的域--Blocked Zone 和不能确定是否能信赖的对象组成的域--Internet Zone。域的对象可以是一个网段,一个主机,一个网址等。
图 4
对所有的 Internet 活动,Zone Lab 推荐使用“高”安全级别设置,这样的设置将锁定每一活动,直到您作出明确授权为止。这是 ZoneAlarm 仍未能用于批量安装的原因之一,因为每一安装都不得不这样做。ZoneAlarm 也使用秘密模式,这种模式对端口状态请求(如端口扫描期间遇到的请求)不做出响应,将已授权程序没有使用的所有端口隐藏起来。
安全设置“中”最好留给本地(Trusted Zone)使用,此设置实施用户设置的所有应用程序特权,但允许本地网络访问 Windows 服务、共享文件和驱动器。用户必须定义在本地区域中允许使用的资源。这些资源可以包括机器自己的适配器(用于循环回路和其他服务)以及其他计算机。幸运的是有了域的分配,您不必为每台计算机输入 IP 地址,因为 ZoneAlarm 允许您输入主机/网站名称、单一 IP 地址、范围或子网归于域。最后,如果您在网络内部运行服务器,则安全设置“低”为最好的选择(图5)。此情况下最有可能的安装将是基于硬件的防火墙后的文件和打印服务器的安装。
图 5
操作步骤:
在FireWall功能页面下,我们可以通过“add”按钮来将指定的计算机或者网络设置为信任主机或者受保护的区域(图6),例如将那些需要进行共享的计算机或者我们进行需要使用ping命令来测试的计算机设置为信任主机时,单击“add”按钮,然后再选择是通过“Add ip address”命令添加指定的主机IP地址还是通过“Add ip range”命令添加局域网中的ip地址范围,或者是添加子网掩码,让ZoneAlarm把局域网和Internet分开来管理。如果要取消信任主机或者受保护的网络区域,只要先在该界面的列表上选中指定目标,再单击一下“remove”按钮就可以了,如果要对这些内容进行编辑,只要单击edit按钮就行了,设置好后单击“apply”按钮就开始生效了。
图 6
用户要做的就是编辑域成员和设置域的安全级别,域成员角色的转换也很方便,域安全级别的设置对所有域成员都起作用,真是太方便了。 内外有别保护不同网段
ZoneAlarm其核心的个人防火墙可以保护您的电脑不受互联网上非法用户的入侵,同时还能够自动检测局域网络的设置,确保来自内部网络的通信不受影响。比如,你上互联网的同时还有一个办公网,内部需要交流文件或打印共享,可以把内部网络归为Trusted Zone域而把互联网归到Internet Zone域,ZoneAlarm对不同的域实施不同的防火墙规则,这样上网办公两不误,而且都受到防火墙的保护。
用域对付恶意网站
把恶意网站的网址输入Blocked Zone就可以达到不能访问恶意网站的目的(图7),网上关于恶意网站的网址很多,都归于Blocked Zone域,你感染恶意网页的机会就小多了,如果已经感染恶意网页,也可以把它归于Blocked Zone域,隔离断了它的后路,然后清除。用域封已经感染的恶意网页的方法是:
Firewall|Zones|Add|Host/Site(...)|Blocked|OK。增添对话框设置如图8,其中ZONE(域类型)、Host name(恶意网址)、Description(描述)。
图七
图 8
拒绝内部恶意网络攻击
如今的病毒太可恶,如果内部网络有一台计算机感染病毒,其它计算机就有被感染的可能,防火墙虽然可以阻挡已知的网络攻击,但是对新病毒的攻击未必有效,通过分析ZoneAlarm的日志可以确定是谁攻击你,把它的IP(或者它所在的IP段)指定为Blocked Zone域,接上网线,你的正常工作可以继续做而不用担心被感染了。
应用程序控制(Program control)
应用程序控制包括应用程序管理、自动的策略建议和自动锁定功能。
功能介绍
对应用程序控制有4个安全级别,分别对应应用程序(Program)和组件(components) 的进行管理,设置为“低”级别时应用程序和组件可以直接访问网络;“中”级别适合应用程序需要确认才能访问网络,组件可以直接访问网络的情况;而“高”级别对应用程序和组件都需要确认才可以访问网络。自动的策略建议也是很实用的功能,用应用程图访问网络时,它会给出策略建议。如果您选中“Automatic Lock”(自动锁定)中的ON选项,那么你可以在指定时间或屏幕保护时锁定网络。
操作方法
如果Zone Alarm 在运行过程中碰到一个新程序需要和网络连接的话,它就会跳出一个确认对话框,问你是否允许该程序访问网络。选择允许或不允许后可以到Program control-Program 中设权限(图9)。应用程序的权限包括访问权限和服务权限,访问权限和服务权限含义是不同的,对外而言,访问权限(Access Permissions)是控制是否可以主动访问外部对象,服务权限(Server Permissions)是控制是否允许开启服务端口提供外人连接,区别是发起连接的对象个别是自己和对方。
图 9
该设置界面列出了所有可能访问Internet 的程序,并且提供程序名、是否允许连接、是否允许使用服务器、是否允许通过锁定应用程序控制功能等控制信息;其中是否允许连接又分为对本地和Internet 的两种连接方式,绿色的“√”为允许连接而无须询问;红色的“×”为禁止连接;问号则是在每次出现连接企图时都会先提出询问。另外应用程序控制功能允许你决定哪个软件可以或者不能使用Internet ,可以确保欺骗程序(或者说是盗贼程序)不能发送你的敏感信息给那些不法分子。在这里,我们可以通过鼠标的右键功能,来选择是允许程序和网络连接、禁止和网络连接、询问后再连接等3种状态(图10)。
如果选中“Automatic Lock”(自动锁定)中的ON选项,弹出自动锁定对话框,其中第一个选项是用来设置在停止操作以后多长时间启动锁定功能,程序默认为10分钟;第二个选项确定是否在运行屏幕保护程序的时候启动锁定功能。下面还有两项设置内容;其中第一项是在锁定状态下是否允许一些仍然处于激活状态下的程序如Email程序保持与INTERNET的联系,例如检查是否有新的邮件到来;第二项是停止所有的与INTERNET相关的操作,单击“Stop”按纽可以在锁定和解锁状态之间切换。
图 10
PASS LOCK(激活)的设置方法(图11):
图 11
组件控制可能是其它防火墙所没有的功能(图12),它将禁止一个程序去控制另外一个应用程序的能力。因为某个程序可能利用了了一个称为DLL(动态链结库)的程序的可再度使用部分,使得因特网浏览器让程序发送数据。只有在高级安全模式才启用组件控制功能。
其它功能介绍
反病毒监测(Antivirus monitoring) 不是网络防火墙的强项,但是病毒和防火墙的关系越来越亲密,有了用户的需要,ZoneAlarm就有了反病毒功能,如果安装的是ZoneAlarm with Antivirus 那么就具备了反病毒功能(图13),笔者安装的是Norton Antivirus 2004,ZoneAlarm 依然可以实现反病毒监测功能。
图 13
高级邮件管理(E-mail protection) 通过电子邮件传播病毒已经是一个严重的网络问题,ZoneAlarm包含一个邮件监视器,它能够对所有接受的和发出的电子邮件都进行监控,以便于能够及时制止那些群发邮件病毒的可疑行为(以前的版本只能够对所受到的邮件进行监控)。在侦测到有病毒在进行自我复制后开始向外群发邮件时,它会自动关闭掉你的电子邮件客户端。MailSafe功能扫描所有电子邮件中出现的 Visual Basic 脚本附件(如臭名昭著的 ILOVEYOU“我爱您”病毒)。如果发现此类附件,MailSafe 会将其隔离,并在您试图运行该附件时发出警告。尽管在默认情况下MailSafe 处于活动状态,但可以通过安全面板禁用它(图14)。
保护隐私信息(Privacy protection) ZoneAlarm具备智能管理Cookie能力,Cookie是网站保存到用户硬盘,记录用户冲浪和购买习惯的文本文件。这些数据一般用于根据您的网上习惯有针对性地给您发广告,通常是无害的。但是这些数据可能会落入不怀好意的人之手,因此,您也许要考虑一下使用Cookie管理工具了。 像Cookie Crushera这样的程序能让您自己控制哪个网站可保存Cookie
图 14
ZoneAlarm广告拦(AD BLOCKING)截能力也是很强的,启用AD BLOCKING后,网站的广告基本上都被成功拦截了,而在安装防火墙以前只有使用第三方软件才能达到广告拦截效果(图15)。
图 15
ZoneAlarm具备拦截Java和ActiveX的能力(MobileCode)(图16)。具备破坏性的代码通过网页和电子邮件不断的被下载,而ZoneAlarm具备拦截Java和ActiveX的分析和拦截能力,保护的上网更安全。
图 16
一个缓冲区清理工具(CacheClean)(图17),它能够将保存在你计算机上的网络临时文件、浏览器历史纪录,以及cookie全都删掉,平时需要多个步骤才能完成的功能,现在点击鼠标就可以轻松完成了
图 17
逆向追踪黑客的来源(ID Lock) 在遭到攻击后,可以逆向追踪黑客的来源,另外,ZoneAlarm还新增加了一个汇报工具。以前,Hacker ID功能只能够在受到攻击后向你报告那些入侵者的地址(IP地址或者物理方位)(不用担心,在追踪任何可疑的入侵者的时候,ZoneAlarm会自动遮蔽掉你的IP地址)。不过现在,Zone Labs公司会自动收集这些追踪报告,并将它们发给相应的ISP厂商。不过好像用不上。
警报和日志查看器(Alerts and Logs)
弹出警报是用户和ZoneAlarm交流的方式,比如有新的应用程序需要访问网络就弹出警报(图18),如果关闭了警报功能,ZoneAlarm使用智能策略实施权限配置,以避免分散用户的注意力,简化用户配置难度。日志记录的是网络通信和应用程序通讯的过程,通过分析日志可以发现木马或受到的攻击极其来源以及应用程序访问网络的情况,而是否记录到日志可以通过面板设置。
图 18
网页过滤(Web Filtering) 网页中包括暴力色情等内容时(图19),Web Filtering过滤这些不健康的内容,用户要做的就是选择过滤哪些敏感内容,然后启动Web Filtering功能。
图19
专家级的规则设定
防火墙自定义规则并不是ZoneAlarm的“专利”,但是新版本中专家级的规则设定具有独特的功能(图20),突出特点表现在3个方面:定义组、时间控制和控制到数据链路层。到目前为止,控制到数据链路层只有ZoneAlarm可以作到。而且,ZoneAlarm可以工作在ICS/NAT的网关计算机上,针对内部计算机,ZoneAlarm根据设置决定是否对NAT数据包进行过滤,默认设置对所有本地数据包进行过滤,而对NAT转发的数据不做过滤,自定义规则可以针对外部和内部发起的通讯分别控制。
图 20
组的对象可以按照主机、协议和时间分类。主机类可以是HOST/SITE(网址)、IP(地址)、IP RANG(地址段)、SUBNET(子网)、TRUST ZONE(信赖域)、INTERNET ZONE(INTERNET域)、ANY(任意)、GATEWAY(物理地址)等,协议类对象包括TCP、UDP、TCP&UDP、ICMP、IGMP、CUSTOM定制等,而对有相同时间要求的对象归于同一个时间组。把类功能要求相同的对象归与一组,显然减少了重复劳动,管理也更有条理。
时间控制功能对需要精确控制通讯时间的用户非常有用,比如所有IM是一个组,而这个组不能在上班时间使用IM及时通讯软件。而小朋友可以在星期天上网游戏或看动画片,其它时间禁止上网,这都可以用时间控制功能来实现。
对MAC的识别意味着可以捆绑IP和MAC,而MAC是网卡的身份证,允许或限制某台计算机使用上网资源也就不难了,这是其它防火墙不具备的功能,而这正是网管可能需要的东西(图21)。严厉的网管可以这样设置,屏蔽所有内部网络访问互联网的权限但允许使用内网资源,而对要求上网的用户设置IP和MAC捆绑并赋予访问外网的权限,即使有用户擅自修改IP或MAC也没用,而在一个LAN内部相同IP会报告IP冲突。
图 21
三、对比NIS(Norton Internet Security 2004)
ZoneAlarm可以在网络OSI模型中的上6层中工作,控制功能强大但是操作容易,充分体现了出一个优秀软件的特色。占用资源少也是NIS不能比拟的,特别是在配置较底的计算机上ZoneAlarm更显优势。
就专家级设定方式而言,NIS更早推出自定义规则功能,但是,ZoneAlarm软件十分体贴用户,独特的组的概念、时间控制和控制到数据链路层都体现了开发者的独具匠心,可以通过安全级别的选择简单配置防火墙规则,也可以通过高级选项详细设置各项功能。
ZoneAlarm 对应用程序的控制要比 NIS(Norton Internet Security) 更安全。对于 NIS 来说,如果一个网络访问匹配了系统范围的策略配置,将不再进行应用程序扫描和检查,如果配置了非常宽松的访问策略,恶意应用程序入木马将不能被发现;对于 ZoneAlarm 来说,也是先检查系统范围的策略配置,如果被策略拒绝,可以选择弹出警告或者忽略,如果策略允许通过,也要检查应用程序设置,如果没有相应的应用程序访问控制,则弹出配置对话框。显然ZoneAlarm的这种工作模式更加安全,当然也需要更多次的交互。
给大家说了一通了,也不知道大家能不能看懂,其实防火墙的作用就是保护自己真实IP的同时,监控各个端口,并给出日志,让大家分析并找出相应的对策,灵活应用防火墙能给自己机子带来比较高的安全性。当然有些病毒木马是诱导用户主动访问而感染的,就要*自己提高安全意识来防范了。总之,互联网大了,用的人多了,什么样的人都有,所以给自己机子上装个防火墙是必不可少的基本防御!
1702
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
