好多网友发帖询问防火墙规则的做法,看来这些朋友不常到防火墙区走动,那里面有很好的教程啊。为了帮助这些朋友,我简单地说点个人的肤浅看法。
防火墙规则,一般分为全局规则和应用程序规则两部分。
全局规则,从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP等协议进行规则设置的地方。
应用程序规则,从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。
TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。
全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。
在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛……
应用程序规则的制定,围绕协议、地址和端口这三个要素进行。
当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。
当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。
如非必要,在做规则时,一般可以不填源地址和目标地址。
【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。名词虽不同,意思都是一样的】
计算机上的端口,理论上有0-65535个,按TCP和UDP协议分,则TCP端口和UDP端口各有65536个。
在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。
使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。TCP连接是可靠连接,网络数据传输中使用得比较多。UDP连接虽然是不可靠连接,但是传输速度较快,QQ和P2P 软件中会使用它。
【要了解各个端口的作用及对应的服务,可以下个《端口大全》之类的资料进行参考】
【本地高端口(活动端口)的选择,精确一些的话,选常用端口即可。xp的常用端口是1024-5000,vista的好像是49512-65535。一般情况下,偷懒的话,直接选满档1024-65535即可。注意,域名解析的规则,一定要选1024-65535,因为微软的补丁变来变去的,一会儿是常用端口,下一个补丁来了可能又变成50000以上的大端口】
基本东西了解,程序规则做起来就很简单。
先看系统进程:
外网的话,只须允许svchost即可,其它的可以禁止访问网络。svchost的规则如下:
1、域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53
2、DHCP服务行为允许协议UDP 方向出源端口68 目标端口67【有的规则直接写成源端口67-68,目标端口67-68,目的是同时适用于客户端与服务端】
3、时间同步行为允许协议UDP 方向出源端口123 目标端口123
4、系统更新行为允许协议TCP 方向出源端口1024-65535 目标端口80和443【不用系统更新的删掉】
5、UPNP 行为允许协议UDP 方向出源地址任意目标地址239.255.255.250 源端口1024-65535 目标端口1900【不用upnp可以不设】
6、扎口袋行为阻止协议TCP/UDP 方向出/入【从严厉的角度讲,协议应选IP,如果不清楚它是否使用ICMP协议,那就选TCP/UDP即可】
扎口袋的作用,是阻止不必要的弹窗——不在前面规则设定允许之列的一律阻止,不要再来弹窗询问。如果是内网的话,再加个system的规则即可。只需共享其它计算机文件的,按如下设置:
1、行为允许协议IP 方向出源地址任意目标地址为本地网络1#
同时在全局规则中也添加:行为允许协议IP 方向出源地址任意目标地址为本地网络1#
如果允许其他计算机共享本机文件,按如下设置:
1、行为允许协议IP 方向入源地址本地网络1# 目标地址任意
同时在全局规则中也添加:行为允许协议IP 方向入源地址本地网络1# 目标地址任意
注意:以上规则如果要细化,请将IP协议改为UDP,添上目标端口为137-138;将IP协议改为TCP,添上目标端口为139
也就是把1、行为允许协议IP 方向入源地址本地网络1# 目标地址任意改为
1、行为允许协议UDP 方向入源地址本地网络1# 目标地址任意来源端口任意目标端口137-138
2、行为允许协议UDP 方向入源地址本地网络1# 目标地址任意来源端口任意目标端口139
【文件共享,一般只需访问UDP137-138端口(获取机器名称),TCP139端口(传文件)即可;对于2000之类的系统,使用445端口来共享文件,那就再加上UDP445与TCP445端口的规则即可,局域网中共享远程打印,也会使用445端口和upnp服务(该服务一般在svchost中设置即可)】
【对于只想允许特定IP的计算机(例如死党、好友)共享本机文件的情况来说,请把源地址本地网络1# 改为指定的局域网内计算机的IP地址,要允许几台计算机,就添加几条规则】
使用VPN的话,再加个lsass的规则即可。全局规则里可能需要设置一下协议支持,具体参看VPN的设置方法。
应用程序规则,可以分一下类:
1、只做客户端。这是最大的一类。无论这种客户端软件使用的TCP协议还是UDP协议,对于它们来说,规则都是出奇的简单——使用本机的活动端口【1024-65535的高端口】出外连接【方向出】远程计算机【服务端】的服务端口即可。比如我们熟悉的浏览器,以TCP协议的方式连接服务器的80端口【HTTP】,如果需要加密连接【例如网络银行之类的特殊场合】就再加条以TCP协议的方式连接服务器的443端口【HTTPS】,如果要使用代理,那就再加上以TCP协议的方式连接服务器的1080端口、3128端口、8080端口即可。一般应用程序升级,只须HTTP连接即可【以TCP协议的方式连接服务器的80端口】。像联众、中国在线游戏之类的一般性游戏,只须以TCP协议的方式连接远程服务器开放的指定端口,既可登录游戏中心玩游戏。
注意,HTTP服务的端口,标准规定是80端口,但是有些网站却使用其它端口来做HTTP服务【HTTP 服务端口是可以设定的】,例如82、83、88、90、1721、8080、8888等。所以,当浏览器的规则设定HTTP访问只能访问80端口时,遇到这样的网站,就会被防火墙拦截而无法正常访问。解决的办法是:一、这种另类网站很少,无视。二、自控掌握,规则结尾写上一条TCP协议的本机高端口访问远程任意端口时询问的规则。
如果没有在系统服务中禁用DNS Client服务,域名解析是由svchost进程代劳域名解析的;如果禁用了该服务,就得启用应用程序本身的域名解析功能,这就需要在规则中添加上一条允许本机高端口【1024-65535】出站连接【方向出】远程UDP【UDP协议】53端口的规则。【域名解析的作用,是把域名翻译成IP地址,因为计算机的网络通信只认IP地址,如果没有域名解析功能,当我们输入
https://www.doczj.com/doc/094024071.html,的时候,浏览器就不知道它要连接的是什么地址,结果就会报错而无法访问。域名解析有TCP和UDP两种方式,一般只用UDP方式,因为UDP速度快,无需像TCP为了建立一个连接须进行三次握手、为了断开一个连接又须发出确认标志,适合DNS服务的快连快断的特点】。
(如果不确定是否需要启用程序的域名解析功能,一般建议在应用程序规则中加上一条域名解析的规则以防万一)
以浏览器规则为例,其规则一般一两条就够了:
①HTTP访问行为允许协议TCP 方向出源端口1024-65535 目标端口80,443
②域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53
③扎口袋行为阻止协议TCP/UDP 方向出/入
注意,上面的①②两条规则如果合并为一条规则:允许发起对外的访问行为允许协议IP 方向出时,实际上是比较宽松的,它包含的意思是,允许本机0-65535的端口【实际上应是1024-65535,系统分配给应用程序使用的活动端口号是从1024开始的】以TCP或者UDP的方式访问远程的0-65535端口,还允许对外发出任意的ICMP消息【只要是全局规则没有禁止的而程序能发的都会被允许】。如果再加上一条扎口袋的规则,它就成了”只允许外联访问“。
2、既是客户端又是服务端。这类软件也很多,P2P软件【迅雷、电驴、快车、网络电视……】、QQ、大型网游【CS、魔兽争霸……】。这类软件,客户端规则与上面第一类基本相同外,由于还会开放本机端口【通常是一个TCP端口和一个UDP端口】做服务端,所以还要加上服务端的规则——允许远程计算机的活动端口来连接【方向入】本机的服务端口【如果想精确控制,那么需要明确写上本机开放的是哪个端口号。由于我们不知道P2P软件究竟设置了哪个端口来做服务端口,模糊处理,可以指定范围——本机允许该软件使用高端口1024-65535范围内的端口来做服务端口,这样做出的P2P软件规则就会具有很大的通用性。倘若采用精确控制的方法来设定P2P软件的规则,如果所有的P2P软件都套用该规则,那么,就得在P2P软件上改设置——所有的P2P软件,不论是迅雷还是BT,都只能使用规则中指定的端口来做服务端口,否则就会被防火墙拦截】。
对于这类软件的规则,以P2P规则为例,不做精确控制的话,五条规则即可:
①外出访问行为允许协议TCP/UDP 方向出源端口1024-65535 目标端口任意
②接入服务行为允许协议TCP/UDP 方向入源端口1024-65535 目标端口1024-65535
③域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53
④允许ping出行为允许协议ICMP 方向出 ICMP细节:ICMP回显请求
⑤扎口袋行为阻止协议TCP/UDP 方向出/入
像QQ这种聊天软件来说,直接套用P2P的规则也无不可,如果模糊控制,那就是两条规则:
①外联访问行为允许协议IP 方向出
②接入服务行为允许协议TCP/UDP 方向入源端口1024-65535 目标端口1024-65535
如果要细化一点,作些精确控制,那么就是:
1、允许外出的HTTP访问【本机高端口连接远程服务端的TCP80、443、1080、3128、8080、8000、12000端口】
2、允许ICQ访问【本机UDP4000-4002端口连接远程服务端的UDP8000-8002端口,本机UDP5000-5002端口连接远程服务端的UDP9000-9002端口】
3、接入服务【远程客户端UDP4000-5002端口连入本机UDP9000-9002端口】
4、文件传输TCP方式【本机高端口1024-65535外出访问远程服务端的高端口1024-65535】
5、文件传输UDP方式【本机UDP6000-6012端口访问远程服务端的高端口1024-65535】
6、扎口袋或者询问
一般来说,能够进行精确控制的,尽量精确控制。究竟是采用精确控制还是模糊控制,除了个人选择之外,一般需要根据防火墙类型来确定。像jetico、LNS之类的防火墙,都是采用精确控制的;像风云、毛豆之类的防火墙,可以采取模糊控制;像PCT之类的大多数防火墙,总的设定初看是模糊控制,
而实际使用中是精确控制——当检测到一个应用程序开放某端口时,会弹窗询问,如果用户选择确定,就将允许连入该端口的规则加入白名单。
魔兽争霸等大型网游的规则,与P2P一样,可以单独设置,也可以直接套用P2P规则。
超越以上两类,不知道如何分类才好的,是杀毒软件【这里说的杀毒软件是指具有网络监控和访问服务代理的杀毒软件(比如卡巴、avast、AVG之类),对于绿色杀软和一般的杀马软件只须升级病毒库的对其升级程序给予HTTP连接的规则即可】的规则。对于杀毒软件的规则,建议采用毛豆默认的规则【只一条】:
全权允许【行为允许协议IP 方向出/入】
如果全局规则按照U版的打磨规则进行了详细的设置,那么,应用程序规则中允许的端口,全局规则中必须放行,否则就会被全局规则拦截而使程序无法正常访问或是影响连接速度。
【最后提请注意一点,在程序规则及数据的过滤上,各种防火墙的控制不一样,有的只须单向过滤即可(例如毛豆、CHX),有的需要双向控制(例如LNS、JETICO),请根据所用防火墙的特点灵活掌握。本帖所谈内容主要是针对毛豆来讲的。】
好了,基本上就是这样。
罗哩叭嗦说半天,不知道新手是清楚了还是越发糊涂了。水平有限,只能讲成这样子,不对之处还请大家批评指正,以免误人子弟。
好多网友发帖询问防火墙规则的做法,看来这些朋友不常到防火墙区走动,那里面有很好的教程啊。为了帮助这些朋友,我简单地说点个人的肤浅看法。 防火墙规则,一般分为全局规则和应用程序规则两部分。 全局规则,从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP等协议进行规则设置的地方。 应用程序规则,从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。 TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。 全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。 在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛…… 应用程序规则的制定,围绕协议、地址和端口这三个要素进行。 当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。 当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。 如非必要,在做规则时,一般可以不填源地址和目标地址。 【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。名词虽不同,意思都是一样的】 计算机上的端口,理论上有0-65535个,按TCP和UDP协议分,则TCP端口和UDP端口各有65536个。 在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。 使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。TCP连接是可靠连接,网络数据传输中使用得比较多。UDP连接虽然是不可靠连接,但是传输速度较快,QQ和P2P 软件中会使用它。 【要了解各个端口的作用及对应的服务,可以下个《端口大全》之类的资料进行参考】 【本地高端口(活动端口)的选择,精确一些的话,选常用端口即可。xp的常用端口是1024-5000,vista的好像是49512-65535。一般情况下,偷懒的话,直接选满档1024-65535即可。注意,域名解析的规则,一定要选1024-65535,因为微软的补丁变来变去的,一会儿是常用端口,下一个补丁来了可能又变成50000以上的大端口】 基本东西了解,程序规则做起来就很简单。 先看系统进程: 外网的话,只须允许svchost即可,其它的可以禁止访问网络。svchost的规则如下: 1、域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53 2、DHCP服务行为允许协议UDP 方向出源端口68 目标端口67【有的规则直接写成源端口67-68,目标端口67-68,目的是同时适用于客户端与服务端】 3、时间同步行为允许协议UDP 方向出源端口123 目标端口123
防火墙有什么用工作原理介绍 什么是防火墙,有什么作用 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种 获取安全性方法的形象说法,它是一种计算机硬件和软件的结合, 使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙 主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。 该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在 两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的 人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不 通过防火墙,公司内部的人就无法访问Internet,Internet上的人 也无法和公司内部的人进行通信。 XP系统相比于以往的Windows系统新增了许多的网络功能(Windows7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或 是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如 专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火 墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。 ICF工作原理 ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连
Wireshark的捕捉过滤器和显示过滤器 Wireshark两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍: 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是: - 选择capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存,以便 在今后的捕捉中继续使用这个过滤器。 - 点击开始(Start)进行捕捉。
语法: 例子:tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用"src or dst" 作为关键字。 例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。Host(s): 可能的值:net, port, host, portrange. 如果没有指定此值,则默认使用"host"关键字。
电脑个人防火墙的使用技巧 对于广大PC机用户防范黑客的重要手段之一就是安装个人版防火墙。防火墙成了我们上网的必备工具,那么,对于个人防火墙你必须要有所了解。 什么是个人版防火墙? 个人版防火墙是安装在你的PC机系统里的一段"代码墙"把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。也就是说:在不妨碍你正常上网浏览的同时,阻止INTERNET上的其他用户对你的计算机进行的非法访问。 一个好的个人版防火墙必须是低的系统资源消耗,高的处理效率,具有简单易懂的设置界面,具有灵活而有效的规则设定。 国外在该领域发展得比较快,知名的品牌也比较多,如LOCKDOWN、NORTON、ZONEALARM、PCCILLIN、BLACKICE等等。国内虽然相对慢了一步,但也涌现了如“天网个人版防火墙”这样的优秀品牌,而且在实用性能上并不比国外知名品牌逊色。 部分个人版防火墙的对比列表 项目BlackICELockDown 2000ZoneAlarmNortonInternetSecurity2001PCcillin 2001天网个人防火墙 监控端口有有有有有有 连接状态数据流量统计有有有有无有
追查对方信息有有有无无有 使用容易程度一般一般专业性强专业性很强一般一般隐藏互联网连接监控无有有有无有 简易防护等级设置有无无有无有 界面英文英文英文英文英文中文 局域网共享支持能力强一般一般强一般一般 支持操作系统9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K9x/me/ NT/2K 系统资源占用情况低较低较低高高低 目前是否可免费获得否否否否否是
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
Wireshark图解教程(简介、抓包、过滤器)配置 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的 数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、 邮箱、msn、账号等的密码!! Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!! wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。下面是一张地址为192.168.1.2 的计算机正在访问“https://www.doczj.com/doc/094024071.html,”网站时的截图。 1.MENUS(菜单) 2.SHORTCUTS(快捷方式) 3.DISPLAY FILTER(显示过滤器) 4.PACKET LIST PANE(封包列表) 5.PACKET DETAILS PANE(封包详细信息) 6.DISSECTOR PANE(16进制数据) 7.MISCELLANOUS(杂项)
1. MENUS(菜单) 程序上方的8个菜单项用于对Wireshark进行配置: -"File"(文件)-"Edit"(编辑)-"View"(查看)-"Go"(转到)-"Capture"(捕获)-"Analyze"(分析)-"Statistics"(统计) -"Help"(帮助)打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。 2. SHORTCUTS(快捷方式) 在菜单下面,是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。 3.DISPLAY FILTER(显示过滤器) 显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 返回页面顶部 4.PACKET LIST PANE(封包列表)
Wireshark的抓包及过滤规则实验 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。 与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。 Wireshark的优势: - 安装方便。 - 简单易用的界面。 - 提供丰富的功能。 Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。 实验一抓ARP包 一:安装并运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。 二:几分钟后就捕获到许多的数据包了,主界面如图所示:
如上图所示,可看到很多捕获的数据。 第一列是捕获数据的编号; 第二列是捕获数据的相对时间,从开始捕获算为0.000秒; 第三列是源地址,第四列是目的地址; 第五列是数据包的信息。 选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据 三:开始分析数据 在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮
截图(替换掉该图) 现在只有ARP协议了,其他的协议数据包都被过滤掉了。注意到中间部分的三行前面都有一个“+”,点击它,这一行就会被展开。如下图所示: 截图(替换掉该图) 现在展开第一行。看到的结果如下: 截图(替换掉该图)
防火墙应用指导手册
防火墙应用指导手册 防火墙是为防止非法访问或保护专用网络而设计的一种系统。防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。本文将从防火墙的简介、种类、选择的方法、配置、管理和维护等几个方面向您做详细的讲解。 防火墙简介 防火墙是为防止非法访问或保护专用网络而设计的一种系统。所有的数据在进入或离开内部网络时都要经过防火墙,防火墙会检查每个数据包,并且阻止那些不符合指定安全标准的数据包。 防火墙简介 防火墙的种类 每一种防火墙都有自己的特点,或许它们的区别可能与你所想的不一致。网络层防火墙和应用层防火墙的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。本文主要讲述网络层防火墙、应用层防火墙、代理防火墙及统一威胁管理。 网络层防火墙 应用层防火墙 代理防火墙 统一威胁管理 如何选择防火墙 为了选择最佳的周边安全解决方案,首先要考虑的就是防火墙的功能。比较好的是,那些在产品间做决定的主流防火墙都起相同的核心作用。每个都会执行状态检测包过滤,及允许实施基本的周边防御。
谁来负责防火墙 防火墙的安全风险有哪些 购买建议 防火墙配置 当为一个企业开发边界保护策略时,最常见的问题是“我应该把防火墙设置在哪里,以发挥其最大效用?我们目前的网络有两套防火墙系统:Fortinet的FortiGate和思科的PIX Firewall。从安全角度讲,采用不同厂商的多个防火墙有什么好处吗? 防火墙安置 两个网络防火墙比一个网络防火墙好吗 防火墙管理与维护 在通过了防火墙的选择和架构设计阶段的挑战后,我们面对的是持续的改变要求和厂商对我们的防火墙可执行操作的补丁之间的平衡。迅速而频繁的改变配置使得日常维护任务变得很难。 防火墙行为审计
第一章 1.防火墙定义:防火墙是位于两个(或多个)网络之间,实施访问控制策略的一个或一组组件的集合。(或者防火墙是设置在本地计算机或内联网络与外联网络之间,保护本地网络或内联网络免遭来自外部网络的威胁和入侵的一道屏障。) 2.防火墙位置:物理位置,安装在内联网络与外联网络的交界点上;对于个人防火墙来说,是指安装在单台主机硬盘上的软件系统。 逻辑位置:防火墙与网络协议相对应的逻辑层次关系。 3.防火墙理论特性:根据信息安全理论对其提出的要求而设置的安全功能,是各种防火墙的共性作用。 防火墙从理论上讲是分离器、限制器和分析器,即防火墙要实现四类控制功能: 方向控制:防火墙能够控制特定的服务请求通过它的方向; 服务控制:防火墙可以控制用户可以访问的网络服务类型; 行为控制:防火墙能够控制使用特定服务的方式; 用户控制:防火墙能够控制能够进行网络访问的用户。 4.防火墙规则 (1)过滤规则 (2)设计原则:a.拒绝访问一切未予特许的服务:这个原则也被称为限制性原则,在该规则下,防火墙阻断所有的数据流,只允许符合开放规则的数据流进出。 b.允许访问一切未被特许拒绝的服务:该规则也被称为连通性原则,在该规则下, 防火墙只禁止符合屏蔽规则的数据流,而允许转发其他所有数据流。 5.防火墙分类 按采用的主要技术划分:包过滤型防火墙、代理型防火墙 按具体实现划分:(1)多重宿主主机:安放在内联网络和外联网络接口上的一台堡垒主机,它提供最少两个网络接口,一个与内联网络连接,另一个与外联网络连接。 (2)筛选路由器:用一台放置在内联网络与外联网络之间的路由器来实现。它对进出内联网络的所有信息进行分析,并按照一定的信息过滤规则对进出内联网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。 (3)屏蔽主机:由内联网络和外联网络之间的一台过滤路由器和一台堡垒主机构成。它强迫所有外部主机与堡垒主机相连接,而不让他们与内部主机直接相连。 (4)屏蔽子网:它对网络的安全保护通过两台包过滤路由器和在这两个路由器之间构筑的子网来实现。 6.防火墙的优点 (1)防火墙是网络安全的屏障 (2)防火墙实现了对内网系统的访问控制 (3)部署NAT机制 (4)提供整体安全解决平台 (5)防止内部信息外泄 (6)监控和审计网络行为 (7)防火墙系统具有集中安全性 (8)在防火墙上可以很方便的监视网络的信息流,并产生警告信息。 7.防火墙的缺点 (1)限制网络服务 (2)对内部用户防范不足 (3)不能防范旁路连接
Win7系统墙规则设置 Windows Firewall with Advanced Security (Guide for win7) 这篇文章大体上是防火墙高手stem在https://www.doczj.com/doc/094024071.html,/showthread.php?t=239750 里面的Vista系统墙的教程。本人将其翻译成中文然后全部在win7中测试过其可靠性。而且全部例子全部用win7试验过,全部截图都是win7下自己截的,并未使用原作者的图片。我觉得这篇文章确实很好,对喜欢用系统防火墙的用户来说是一个很好的教程。希望大家有所收获。 本文分三个部分,以后还会继续翻译和添加 第一部分:win7系统墙概要 第二部分:规则建立的基本理论知识和实例 第三部分:实战,添加特殊的规则 第一部分:win7系统墙概要 位置:控制面板-windows防火墙
打开后 点击高级设置
里面默认有3种配置文件供你使用,一个是域配置文件,一个是专用配置文件,一个是公用配置文件。一个配置文件可以解释成为一个特定类型的登录点所配置的规则设置文件,他取决于你在哪里登录网络。 域:连接上一个域 专用:这是在可信网络里面使用的,如家庭的网络,资源共享是被允许的。 公用:直接连入Internet或者是不信任的网络,或者你想和网络里面的计算机隔离开来。 当你第一次连接上网络的时候,windows会检测你的网络的类型。如果是一个域的话,那么对应的配置文件会被选中。如果不是一个域,那么防火墙会有一个弹窗,让你选中是“公用的”还是“专用的”,这样你就能决定使用哪个配置文件。如果你在选择后改变了主意,想改变其,那么你就得去“网络和共享”那里。这我们会在后面提到。 在我们进一步深入之前,我们得学会怎样进行出站控制。 选中高级设置图片中的属性(上图打框的那里)
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信 息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基丁IP协议的技术,所有的信息通信都 是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的 IP地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时,网络中的每一台设备都有一个I nternet 地址,这在实行各种Internet 应用上当然是最理想不过的。但 是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备 攻击,同时由丁I nternet目前采用的IPV4协议在网络发展到现在,所 剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去, 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网
路地址信息,使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、部地址与出口地址的——对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的,而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置:由丁实验用的是ISDN拨号上网,在internet 上只能随机获得出口地址,所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound
Windows 7防火墙设置详解(一) 文介绍Windows 7防火墙的设置方法,自从Vista开始,Windows的防火墙功能已经是越加臻于完善、今非昔比了,系统防火墙已经成为系统的一个不可或缺的部分,不再像XP那样防护功能简单、配置单一,所以无论是安装哪个第三方防火墙,Windows 7自带的系统防火墙都不应该被关闭掉,反而应该学着使用和熟悉它,对我们的系统信息保护将会大有裨益。 防火墙有软件的也有硬件德,当然了,其实硬件仍然是按照软件的逻辑进行工作的,所以也并非所有的硬防就一定比软防好,防火墙的作用是用来检查网络或Internet的交互信息,并根据一定的规则设置阻止或许可这些信息包通过,从而实现保护计算机的目的,下面这张图是Windows 7帮助里截出来的工作原理图: Windows 7防火墙的常规设置方法还算比较简单,依次打开“计算机”——“控制面板”——“Windows防火墙”,如下图所示:
上图中,天缘启用的是工作网络,家庭网络和工作网络同属于私有网络,或者叫专用网络,图下面还有个公用网络,实际上Windows 7已经支持对不同网络类型进行独立配置,而不会互相影响,这是windows 7的一个改进点。图2中除了右侧是两个帮助连接,全部设置都在左侧,如果需要设置网络连接,可以点击左侧下面的网络和共享中心,具体设置方法,可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章,另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。 下面来看一下Windows 7防火墙的几个常规设置方法: 一、打开和关闭Windows防火墙
适用机器 UR-910、UR-915、UR-918、UR-930、UR-935、UR-938、UR-955、UR-958、UR-959 适用版本 2.2.0.1 注意事项 ======================================================================= 01 软件更新之后, 系统会自动重新启动, 约 3 ~ 5 分钟. 更新事项 ======================================================================= #1# 系统设定 修正 讯息通知 > 软件更新通知 > 新韧体释出时,只会发出一次通知信,通知讯息不再继续发送 修正 讯息通知 > DDNS更新失败 > 通知信内容不正确 修正 讯息通知 > SLB主机侦测断线 > 通知信内容有误 修正 讯息通知 > HA状态切换及资料同步异常 > 通知信内容有误 修正 讯息通知 > 硬盘容量过低(Usage over 90%)和坏轨 > 通知信内容有误 修正 数据导出及挂载 > 远程数据挂载 > 按下 "检视远程磁盘内容" 之后,就会出现整个UI卡住的状况 新增 讯息通知 > 各项次内容可自定义检查时间 新增 讯息通知记录 > 报表功能寄送成功失败的纪录查询 新增 管理员 [系统设定] > 通透的LAN/DMZ联机可经由其他WAN线路NAT 上网开关 #2# 网络接口及路由 修正 port自定义之后,没有对应的ipv6设定 修改 网络接口 > [外部网络_1],增加 若DMZ为BRI模式时,不能切换WAN1联机模式的防呆显示通知。 新增 外部网络 > PPPOE联机模式 wan 接口 支持带vlan tag 新增 网络接口 > DMZ 切换成 Transparent Routing时,要先关闭 DMZ dhcp 的防呆显示通知。 #3# 管制条例 修改 套用上网认证的条例即预先开启DNS的服务 修正 wan 到 lan / dmz 到 lan 条例 的目的网络显示 没有套用到 "系统设定 > 数据显示笔数"的设定值 新增 条例后方实时流量链接图示的字段 新增 QUOTA/DAY(每个来源IP) ,流量限额满了之后 , 联机用户浏览器时显示告知 , 以及通知管理者 #4# 地址表 修改 外部网络群组 > 支持中文URL解析 修正 外部网络群组 > 用户自定义 Domain 在比对domain时,不分大小写 修正 地址群组 括号不能储存问题 修正 ip的名称中间有多个空格,网络群组从地址表选择成员选取该ip时,该ip的组名显示不出来 修正 ip的名称中间有多个空格,网络群组从地址表选择成员选取该ip时,无法达到连动删除的问题 修正 [内部网络群组]、[非军事区群组]、[外部网络群组] > 当名称有「11.0」时,再新增「11」会显示名称已重复的问题 新增 地址表计算机名称、IP地址及MAC地址以及群组组名及成员的搜寻选项
Windows XP集成的防火墙常被视为鸡肋,但现在的WIN7防火墙强悍的功能也有了点“专业”的味道。今天教和大家一起来看看该如何使用WIN7防火墙。 与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista 不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 Vista 防火墙允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域(通过控制面板--系统和安全--系统--高级系统配置--计算机名选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略
M2-2 使用防火墙规则提高windows桌面系统的防御 1.1教学目的与要求 1.1.1 教学目的 学生通过该能力模块的学习,能够独立完成和熟练掌握WindowsXP的防火墙配置。 1.1.2 教学要求 1.教学重点 ?防火墙原理 ?防火墙的规则配置 2.教学难点 ?防火墙的规则概述: 启用:在“高级”选项卡上选定的所有网络连接启用Windows防火墙,启用Windows防火墙,仅允许请求的通信和已添加到例外列表中的传入通信。 不允许例外:允许请求的传入通信。不允许已添加到例外列表中的传入通信。 关闭:禁用Windows防火墙。 1.2 本能力单元涉及的知识组织 1.2.1本能力单元涉及的主要知识点 1.防火墙概述 2.防火前功能 3.防火墙的基本操作 1.2.2本能力单元需要解决的问题 1.按照项目的需求,重点对WindowsXP的防火墙概念机操作进行深入的理解。
1.3核心技术和知识的理解 1.3.1 防火墙基本原理 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙英语为firewall 《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。 1.3.2 为什么使用防火墙? 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 1.3.3 防火墙的类型 一个个人防火墙, 通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。这样防火墙过滤所有信息进入或留下被连接的网络。 后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。以下是两个主要类防火墙: 网络层防火墙和应用层防火墙。这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。
安装Comodo前,你需要卸载其它第三方防火墙(防火墙只需要一个,两个防火墙装一起,有可能轻则不能上网,重则蓝屏死机),关闭Windows 防火墙。重启。 用杀毒软件扫描系统,保证你的系统是干净的。如果你喜欢收集病毒样本,先将这些样本用压缩软件打包。 断开网络连接,暂时停用你的一切保护,双击安装程序开始安装。 这里可以选择Advanced Firewall with Defense+ (包过滤防火墙+ HIPS),或者不需要安装HIPS,可以选择Basic Firewall(基础的包过滤防火墙)。即使这里选择安装高级防火墙,以后在使用中,也可以选择不激活Defense + 而成为一个包过滤防火墙。 我们接下来要备份默认规则,运行regedit 导出注册表:HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro 双击运行Comodo,在MISCELLANEOUS -> Manage My Configurations 用Export 导出设置。 图1 为啥备份默认规则? 因为,怕你以后胡搞瞎搞,整的连系统都进不去了,好跑到安全模式,删掉HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro,然后恢复默认规则。 右键点防火墙托盘图标,去掉Display Ballon Messages ,这个选项本来就应该去掉的,以减少对用户的打扰。 图2 在MISCELLANEOUS -> Settings -> Update 去掉Automaticlly perferm an online lookup for the unrecognized files , 以减少警告对话框弹出时间。 图3 开始菜单运行里输入services.msc 将Terminal Services 设置成手动,并且启动。 其实这里设不设置都无所谓,不过开机可以看到绿色的已启动,比还在初始化要舒服。(注:新版已修复此问题,禁用此服务也无所谓) 图4 在MISCELLANEOUS -> Settings -> Logging -> Disable Firewall logging/Disable Defense+ logging,取消记录日志,大多新人看不懂日志,不如取消,等有问题的时候再打开也不迟。 图5 安装结束,重启系统。 第四部分Defense+ 基本设置 自动检测私有网络 Comodo V3 在安装以后会自动检测本地网络连接,弹出相应的提示: 是一个带有掩码的IP地址段,比如:192.168.1.100/255.255.255.0、10.200.1.62/255.255.255.252 通常,拨号上网,只要点OK 就可以,或者勾上不自动检测;局域网如果需要共享文件,需要勾上相应的选项。 图6 完全禁用Defense+(高级防火墙和基本防火墙切换)
建立防火墙规则集 高阳 建立一个可靠的规则集对实现成功的、安全的防火墙来说是非常关键的一步。在安全审计中,经常能看到一个巨资购入的防火墙由于规则配置的错误而将机构暴露于巨大的危险中。本文以高阳信安的DS2000防火墙为例介绍如何设计、建立和维护一个可靠、安全的防火墙规则集。不管你用的是哪种类型的防火墙,设计规则集的基本原理都相同。 成功的关键 首先需要强调的是一个简单的规则集是建立安全的防火墙关键所在。你的网络的头号敌人是错误配置。为什么当你意外地将消息访问协议(IMAP)公开时,那些坏家伙会试图悄悄携带欺骗性的信息包通过你的防火墙?保持防火墙规则集简洁和简短,就会减少错误配置的可能性,并使理解和维护更容易,同时,只分析少数的规则,还能提高性能。一个好的准则是规则不要超过30条。有30条规则,理解将要发生什么相对简单。规则在30条至50条之间,事情就变得混乱起来,错误配置的概率以指数级递增。 那么,我们如何建立一个安全的规则集呢?我们从一个虚构企业的安全策略开始设计开发防火墙规则集。 安全策略 管理层规定实施什么样的安全策略,防火墙是策略得以实施的技术工具。所以,在建立规则集之前,我们必须理解安全策略。本文以一个简单的安全策略为例来说明如何建立规则集,管理层将该策略描述如下: ?内部雇员访问Internet不受限制; ?规定Internet有权使用公司的Web 服务器和Internet E mail; ?任何进入公用内部网络的通话必须经过安全认证和加密。 安全体系结构 作为管理员,我们的第一步是将安全策略转化为安全体系结构。现在,我们来讨论把每一项安全策略核心转化为技术实现。 ?第一项很容易。内部网络的任何东西都允许输出到Internet。 ?第二项安全策略核心很微妙。我们要为公司建立Web和E-mail服务器。我们通过把它们放入一个DMZ来实现该项策略核心。DMZ(Demilitarized Zone)是一个孤立的网络,你把不信任的系统放在那里。既然任何人都能访问我们的Web和E-mail服务器,我们不能信任它们。 ?唯一的从Internet到内部网络的通话是远程管理。我们必须让系统管理员能远程地访问他们的系统,实现的方式是只允许加密服务进入内部网络。 ?我们必须要添加DNS。作为安全管理员,要实现Split DNS。Split DNS是指在两台不同的服务器上分离DNS的功能,我们通过使用外部DNS服务器和内部用户使用的映射内部网络信息的内部DNS服务器来实现。可以将外部DNS服务器与Web和E-mail服务器一起放在有保护的DMZ 中。内部DNS服务器放在内部网络中,防止Internet危及内部DNS的安全。 规则次序