天网防火墙的问题

以文本方式查看主题

-  丽影娱乐-CN5566-丽影论坛  (http://bbs.cn5566.com/index.asp)
--  ◆丽影软件下载区◆  (http://bbs.cn5566.com/list.asp?boardid=27)
----  [原创]天网防火墙的问题  (http://bbs.cn5566.com/dispbbs.asp?boardid=27&id=293749)

--  作者:qsccsqqsc
--  发布时间:2005-8-25 11:29:00

--  [原创]天网防火墙的问题
我用的天网2。76破解版,为什么会出现在打开文件或者打开某个网页的时候会出现突然的重新启动啊? 怎么解决这个问题?谢谢好心人!!
--  作者:gulum
--  发布时间:2005-8-25 20:18:00

--  
天网安全规则的设置和问题:这篇帖子是老帖子了,我仔细看了看,认为还是有必要给新手看看,来解除疑问,自己慢慢看吧...

安全规则的设置
低:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网,允许局域网内部的机器访问自己提供的各种服务(文件、打印机共享服务)但禁止互联网上的机器访问这些服务。

中:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。

高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。

扩:天网为用户制定了一系列专门针对木马和间谍程序的扩展规则,可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级,为您提供最安全的服务!

用户可以根据自己的需要调整自己的安全级别,方便实用。

注意:天网的简易安全级别是为了方便不熟悉天网使用的用户能够很好的使用天网而设的。正因为如此,如果用户选择了采用简易的安全级别设置,那么天网就会屏蔽掉高级的IP规则设定里规则的作用。

如果你点了高级后又去点IP规则,天网会自动帮IP规则改为默认
135,445端口介绍
135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击!!!

  对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但任需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。

!!!为了保护你的信息安全,强烈建议你安装微软的最新windows补丁包。!!!

2、如何理解并关闭139端口(NetBIOS提供服务的tcp端口)

  Netbios(NETworkBasicInput/OutputSystem)网络基本输入输出系统。是1983年IBM开发的一套网络标准,微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。在利用WindowsNT4.0构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在这样的网络系统内部,利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此,我们很有必要堵上这个可怕的漏洞。



445端口
也是一种TCP端口,该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。445端口对普通用户是没用的,推荐关闭

IGMP数据包:IGMP对于Windows普通用户没什么用途,但由于Win9X操作系统的内核缺陷,其自身存在一个IGMP漏洞,有人会利用这个漏洞向指定主机发送大量的IGMP数据包,使Windows 操作系统的网络层受到破坏,导致死机,这在防火墙日志中会有记载.

若是你局域网内的IP地址,每当你网内的机器要连接局域网时都会向外发送数据包,以搜索网内的其他机器,在机器装有TCP/IP的情况下,会返回一个回应的数据包,天网把这些不规则的数据包拦截下来了。简单来说就是,你打开电脑,然后你的电脑会自动寻找局域网内的其他电脑,并发送数据包,其他网内的电脑回应时也会发回一个数据包;同样的道理,别的电脑开机时,也会那样,你的电脑是在这个局域网内的,当然会收到这些数据包。
137,138,139的关闭方法
控制面扳—网络连接——右键本地连接属性——把网络文件和打影机共享前面的勾去掉就OK了
但是本地墩口还是会监听对方的共享的,属于正常范围


对于有些设置了自动启动,但是系统进程里面还是没有进程的解决办法。就是没有图标
用   Administrators 这个帐户登陆系统,然后就可以用了,这个帐户可以改名的.具体方法是   控制面板---管理工具----计算机管理-----本地用户和组----用户----右键Administrators,重新命名,随便改,记住,重新登陆时,这个改过的才是登陆号哈,(只有你系统进程里没有的时候推荐这个方法)

其2,QQ自动运行,也是导致天网无法自动运行的原因,关闭方法:开始菜单---程序----启动,把里面的QQ删除就好了,或者改注册表,这里就不详细说了,(有时间再填加上来)

或者中毒,一般情况下有些木马会自动关闭防火墙,包扣WIN墙

对日志的解释,就拿我的来解释吧,我是局域网上的
[17:12:41] 172.16.74.9 尝试用Ping 来探测本机,
      该操作被拒绝。
[17:12:49] 接收到 172.16.74.151 的 IGMP 数据包,
          该包被拦截。
[17:13:01] 172.16.75.48试图连接本机的CIFS[445]端口,
      TCP标志:S,
      该操作被拒绝。
[17:19:42] 220.173.110.194试图连接本机的CIFS[445]端口,
      TCP标志:S,
      该操作被拒绝。
[17:18:41] 222.84.159.250试图连接本机的135端口,
      TCP标志:S,
      该操作被拒绝。
[21:34:29] ***.***.*.***试图连接本机的NetBios-SSN[139]端口,
      TCP标志:S,
      该操作被拒绝。
就这么多吧,其他的解释是一样的,  
这段日志中,是以开默认规则的,上面的操作是被拒绝的,所以它没连接到你端口,你是安全的,IGMP是局域网中,主机散布的广播,一般98系统是不需要这个的,多了98会死机,所以天网帮你拦截了


关于access violation at address 00413082 in moduleb pfw.exe write at address 0000033c的问题


如果安装重起后出现这个问题,请卸载。重起,安装,重起,最好卸载后把文件夹删除,实在不行就在安全模式下用内置帐户安装


有人不断试图连接我的电脑,我该怎么办啊

只要你连接到网络上,就会有人连接你,就跟上面日志一样,不会有问题,除非你防火墙显示的是通过,那么要么你允许了,要么你的防火墙设置有错误,请设置成中或高,新手不推荐使用自定义

  
防火墙日志简明而又全面。防火墙日志一向是天书:TCP、UDP,再加上TCP SYN……明白的看得简直头晕,不明白的看起来心慌。其实日志是防火墙很重要的功能,但很多人却不重视,也未仔细研究过日志内容。日志记录看似枯燥的数据,其实提供了大量宝贵的第一手资料,帮助我们更好地管理和维护网络。

    因此我来说明常见的天网防火墙日志,都表示些什么。点击天网主界面右上方的“日志”按钮,会看到如下信息:

    一般日志分为三行:

    第一行:

    反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;

    第二行::

    为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等 ,其中标志位ACK、SYN和FIN比较常用,简单含义如下:

    ACK:确认标志

  提示远端系统已经成功接收所有数据

  SYN:同步标志

  该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号

  FIN:结束标志

  带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。

    RST:复位标志,具体作用未知

   第三行:

    对数据包的处理方法:

    对于不符合规则的数据包会拦截或拒绝,显示为:“该操作被拒绝”,意思是,此操作被天网防火墙拦截了!也就是对方根本不知道你的存在!

    对符合规则的但被设为监视的数据包会显示为“继续下一规则”。




[10:41:30] 接收到218.2.140.13的IGMP数据包,
      该包被拦截。

    这条日志出现的频率很高。IGMP的全称是internet组管理协议,它是IP协议的扩展,主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击,不过黑客可以通过编写攻击程序,利用windows本身的BUG,采用特殊格式数据包向目标电脑发动攻击,使被攻击电脑的操作系统蓝屏、死机。蓝屏炸弹一般用的就是IGMP协议。

    一般形成IGMP攻击时,会在日志中显示为大量来自于同一IP地址的IGMP数据包。

    不过,有时收到这样的提示信息也并不一定是黑客或病毒在攻击,在局域网中也会常收到来自网关的类似数据包;再有一些有视频广播服务的机器也会对用户发送这样的数据包,因此不用过于惊慌。


-----------------------------------

[7:11:04] 接收到 61.132.112.236 的 UDP 数据包,
  本机端口: 47624 ,
  对方端口: 40627
  该包被拦截。

    没有什么好担心的,这是有人在用扫IP的软件在扫IP地址而正好扫到你的IP地址段,此类软件对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方的IP,如果实在太烦,你可以把你的那个端口关掉。



-----------------------------------

[9:04:18] 218.2.140.13试图连接本机的Http【80】端口,
    TCP标志:S,
    该操作被拒绝。

    如果你安装了IIS来建立自己的个人网站,开放了WEB服务,即会开放80端口。因此黑客扫描判断你是否开放了WEB服务,寻找相应的漏洞来进行入侵。一般我们所遇到的大都是别人的扫描行为,不需要过于担心了。

  如果经常收到来自外部IP高端口(大于1024)发起的类似TCP的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有IIS服务的系统,所以普通用户不需担心。

  若发现本机试图访问其他主机的80端口,则应检查自己系统中是否有此病毒了。


-----------------------------------


[9:04:18] 218.2.140.13试图连接本机的FTP Open Server【21】端口,
    TCP标志:S,
    该操作被拒绝。

    21端口是FTP服务所开放的端口,导致这条记录出现的大部分原因是一些网虫在使用ftp搜索软件看哪些电脑开放了FTP,以寻求软件、电影的下载。


-----------------------------------


[8:39:42] 192.168.0.123 尝试用Ping 来探测本机,
    该操作被拒绝。

    对于这条日志的理解应该不困难。我们知道PING命令可以用来测试两台电脑之间是否可以进行通讯,黑客在攻击前首先要确定目标是否连接了网络。但安装防火墙之后,即使电脑连接了网络,黑客PING的结果也会显示数据包无法到达,这样就会起到迷惑黑客的作用。出现这条日志说明可能有人用PING命令发送数据包来探测你是否开机并连在网络上,不必担心,防火墙已拦截了数据包。


----------------------------------


[14:00:24] 10.100.2.246 尝试用Ping来探测本机,
    该操作被拒绝。

[14:01:09] 10.100.10.72 尝试用Ping来探测本机,
    该操作被拒绝。

[14:01:20] 10.100.2.101 尝试用Ping 来探测本机,
    该操作被拒绝。

  特征:多台不同IP的计算机试图利用Ping的方式来探测本机。

  日志中所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞,一旦发现,即把病毒传播到这些机器上。

    在排除了人为进行的ping之外,要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此,对于本机来讲,刻不容缓的事情就是要安装微软的“冲击波”补丁。


-----------------------------------

[14:01:28] 221.200.49.89试图连接本机的【135】端口,
    TCP标志:S,
    该操作被拒绝。

    同上,是利用RPC服务漏洞的冲击波类的蠕虫病毒,该病毒主要攻击手段就是扫描计算机的135端口进行攻击。更新微软的补丁还是必要的。

-----------------------------------


[11:58:08] 10.100.2.68试图连接本机的NetBios-SSN【139】端口,
    TCP标志:S,
    该操作被拒绝。

   特征:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。

   日志中所列IP的计算机可能感染了“尼姆达病毒”。感染“尼姆达”的计算机有个特点,会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,达到病毒传播目的。

    139端口是NetBIOS协议所使用的端口,在安装TCP/IP 协议的同时,NetBIOS也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!

    尽管在天网防火墙的监控下,此隐患没有被利用。但不能无动于衷,应把这漏洞补上。对于连接到互联网上的机器,NetBIOS完全没用,可将它去掉。


-----------------------------------


[10:42:27] 10.126.10.66试图连接本机的CIFS【445】端口,
    TCP标志:S,
    该操作被拒绝。

    445端口,一个既让人爱,又招人恨的端口,有了它,网民们可以在局域网中轻松访问各种共享文件夹或共享打印机,但正因为有了它,Internet上的“恶人”们才有了“可乘之机”,他们能躲在Internet上的“阴暗角落”里,偷偷共享你的硬盘,甚至会在悄无声息中,将你的硬盘格式化掉!

    SMB: Windows协议族,用于文件和打印共享服务。
    NBT: 使用137(UDP), 138(UDP) and 139 (TCP)来实现基于TCP/IP的NETBIOS网际互联。

    在Windows NT中SMB基于NBT实现。 而在WinXP中,SMB除了基于NBT的实现,还有直接通过445端口实现。 当WinXP(允许NBT)作为client来连接SMB服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,以455端口通讯来继续.当445端口无响应时,才使用139端口。


-----------------------------------


[5:49:55] 61.114.78.110 试图连接本机的木马冰河【7626】端口
    TCP标志:S
    该操作被拒绝

    这条记录就要注意一下啦,假如你没有中木马,也就没有打开7626端口,当然没什么事。而木马如果已植入你的机子,你已中了冰河,木马程序自动打开7626端口,迎接远方黑客的到来并控制你的机子,这时你就完了,但你装了防火墙以后,即使你中了木马,该操作也被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得*你的经验和资料来分析该端口的是和哪种木马程序相关联,从而判断对方的企图,并采取相应措施,封了那个端口。



[6:14:20] 192、168、0、110 的【1294】端口停止对本机发送数据包
    TCP标志:F A
    继续下一规则

[6:14:20] 本机应答192、168、0、110的【1294】端口
    TCP标志:A
    继续下一规则

    从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在天网防火墙规则中选了“TCP数据包监视”,这样通过TCP传输的数据包都会被记录下来,所以大家没必要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!呵呵!


-----------------------------------

    要特别说明的是,不是所有被拦截的数据包都意味着有人在攻击你,有些正常的数据包会由于你设置的安全级别过高而不符合安全规则,也会被拦截下来并报警,如你设置了禁止别人Ping你的主机,如果有人向你的主机发送Ping命令,天网也会把这些发来的数据拦截下来记录在日志上并报警。

    如果你选择了监视TCP和UDP数据包,那你发送和接受的每个数据包也将被记录下来。

  一个定义不好的规则加上记录功能,会产生大量没有任何意义的日志,并浪费大量的内存。

    给大家说了一通了,也不知道大家能不能看懂,其实防火墙的作用就是隐藏自己真实IP的同时,监控各个端口,并给出日志,让大家分析并找出相应的对策,灵活应用防火墙能给自己机子带来比较高的安全性。当然有些病毒木马是诱导用户主动访问而感染的,就要靠自己提高安全意识来防范了。总之,互联网大了,用的人多了,什么样的人都有,所以给自己机子上装个防火墙是必不可少的基本防御!

<!---->
--  作者:kgenxp
--  发布时间:2005-8-25 21:05:00

--  
偶用天网2.76没遇到什么问题,以前的版本有没有这样的问题?改用以前旧的稳定的版本试试。
--  作者:nba2003
--  发布时间:2005-8-26 10:23:00

--  
我正用着啦没任何问题……

Powered By :Dvbbs Version 7.0.0 Sp2
论坛内容仅代表网友个人观点,不代表CN5566.COM观点
当前模板样式:[默认模板]
广告及合作QQ联系:57923183 79794400
苏ICP备05010311号

全球中文论坛100强
<script language="javascript" src="http://dx04b.51.la//j/277.js" type="text/javascript"> </script> <script type="text/javascript"> var stat51la_2104_top_from = "51la"; var stat51la_2104_par_url = ""; var stat51la_2104_par_from = "51la"; var stat51la_2104_self_url = window.location; var stat51la_2104_self_from = document.referrer; var stat51la_2104_ok_from = ""; var stat51la_2104_ok_page = ""; var stat51la_2104_date = new Date(); var stat51la_2104_color=""; if (navigator.appName == "Netscape") {stat51la_2104_color=screen.pixelDepth;} else {stat51la_2104_color=screen.colorDepth;} </script><script type="text/javascript"> stat51la_2104_top_from = top.document.referrer; </script><script type="text/javascript"> stat51la_2104_par_url = window.parent.location; </script><script type="text/javascript"> stat51la_2104_par_from = window.parent.document.referrer; </script><script type="text/javascript"> stat51la_2104_ok_from = stat51la_2104_self_from; if (stat51la_2104_par_from !== "51la") {stat51la_2104_ok_from = stat51la_2104_par_from;} if (stat51la_2104_top_from !== "51la") {stat51la_2104_ok_from = stat51la_2104_top_from;} stat51la_2104_ok_page = stat51la_2104_par_url; try{lainframe}catch(e){stat51la_2104_ok_page = stat51la_2104_self_url;} document.write('<IFRAME width="0" height="0" marginwidth="0" marginheight="0" frameborder="0" scrolling="no" src="http://dx04b.51.la//s.asp?siteid=277&tzone=' + (0 - stat51la_2104_date.getTimezoneOffset()/60) + '&tcolor=' + stat51la_2104_color + '&sSize=' + screen.width + ',' + screen.height + '&referrer=' + escape(stat51la_2104_ok_from) + '&vpage=' + escape(stat51la_2104_ok_page) + '"></IFRAME>'); </script> marginwidth="0" marginheight="0" src="http://dx04b.51.la//s.asp?siteid=277&tzone=8&tcolor=32&sSize=1024,768&referrer=http%3A//www.baidu.com/s%3Fwd%3DTCP%25B1%25EA%25D6%25BE%25A3%25BAS%25A3%25AC%26cl%3D3&vpage=http%3A//bbs.cn5566.com/printpage.asp%3FBoardID%3D27%26ID%3D293749" frameborder="0" width="0" scrolling="no" height="0">
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值