随着Internet的普及,网络的安全问题变得更为重要,而防火墙(Firewall)就是专门为增强间谍潜入等问题时,也要比清除间谍软件感染容易得多。
11.1 如何防御间谍软件
间谍软件(Spyware)是一种可以秘密地收集有关计算机信息的软件,并且可能向一些未知网站发送数据,包括“键盘记录软件”或“按键捕获寄生虫”木马程序。
间谍软件主要攻击微软操作系统,通过Internet Explorer漏洞进入并隐藏在Windows的薄弱之处。有些间谍软件,尤其是恶意Cookie文件,可以在任何浏览器之中发生作用,但是,这只是间谍软件当中很小的一部分。微软的一些软件产品,如Internet Explorer、Word、Outlook和Media Player,一旦下载就将自动执行,从而使间谍软件很容易乘虚而入。
11.1.1 轻松拒绝潜藏的间谍
虽然市面上有新的反间谍软件工具可供使用,但要想最大限度地避免自己的机器上被潜入间谍,最好的方法还是遵循如下的操作规范。
1. 拒绝不明下载
切忌从Web上下载一些自己不明真相的“免费”程序,如果确实希望下载,最好到一些较大或有名气的站点去下载。有必要告诉大家的事,一些小网站中,在浏览器页面旁边看起来像广告或朋友发给他们的那些链接,实际上就是间谍软件散播的最常见方式。因此,提醒大家对一些危险信号一定要敏感,如弹出的条幅广告说可以提供免费间谍软件检查。
2. 学会备份和恢复
由于现在人们在计算机上的东西越来越多以及硬盘越做越大,以致基本上都懒得做各种备份选择。其实,拥有一份存满备份数据的外部磁盘可以减轻充斥着间谍软件的系统所带来的很多麻烦,并使其回到早期没有间谍软件的情况,从而使一切恢复正常。
如何在Windows系统中生成恢复点以及在每次从非知名网站下载之前设置一些恢复点,这样,即使自己的硬盘中存满了东西,在出现无法确定是否有间谍潜入等问题时,也要比清除间谍软件感染容易得多。
3. 制作一张反间谍软件CD
把反间谍软件实用程序刻录到一张CD-ROM盘上,当需要清除间谍软件时,直接将其拿出来运行即可。
4.使用交叉清除办法铲除间谍
针对间谍软件清除程序可能存在杀除盲点的情况,可考虑最少使用两种最新版的反间谍工具来实现交叉查杀和清除。笔者的一般做法是:清除系统并重新启动进入安全模式,然后使用另一种工具进行清除并再次重新启动系统。
5. 封堵桌面通信漏洞
由于间谍软件可以进行自我更新,并增加新“性能”,因此,只要封锁出站信息就可以提高用户安全等级(一般的防火墙软件都可以做到)。
11.1.2 用SpyBot揪出隐藏的间谍
SpyBot-Search&Destroy作为一款功能与性能最出色的间谍软件清除工具,能够找出用户预设的所有间谍软件(Spyware),该软件还免费提供了中文操作界面。另外,其优秀的易用性对用户来说操作也比较简单,并且报告非常详细。
SpyBot-Search&Destroy支持多种语言,具体使用的操作步骤如下:
① 在程序安装过程中选择“Chinese(PRC)”项,,11-1所示,则在完成安装并首次启动运行后即可出现简体中文界面。
② 11-2所示,单击主界面中的【检查问题】按钮,系统即可开始检测。
③ 稍待一会儿之后,SpyBot-Search&Destroy就会将检查结果显示在中间的列表框中,11-3所示。
④ 在问题列表中单击其中任意一项.软件会自动弹出关于这条信息的详细描述,据此即可判断该可疑文件或键值是否是真正的“间谍”。
对于英文基础不是很好的用户,只要留意自己最近安装的软件名称,即可从其名称、位置和在注册表中的位置进行初步的判断。对来历不明的软件,最好单击【修复选定的问题】按钮进行修复。因为万一操作失误,还可以通过单击左边导航条中的【恢复】按钮进行恢复。
SpyBot-Search&Destroy可以使用很多种方法来判断系统是否有潜在的危险,比方说可以对下载的软件进行监控。具体使用方法如下:
对下载的软件进行监控属于SpyBot-Search&Destroy的高级设置功能,需要先激活SpyBot-Search&Destroy的高级设置界面:选择【界面模式】→【高级界面】命令即可将程序的高级设置界面调出,可以看出高级设置界面左侧导航条中的功能比默认界面要强大得多,11-4所示。
选择导航条中的【设置】→【文件夹】按钮,弹出11-5所示的界面。在右下部分的空白处单击鼠标右键,在弹出的菜单中选择【添加文件夹】命令。
在指定下载文件保存的目录路径后,SpyBot-Search&Destroy就可以随时对这个目录进行检测,以判断其中下载的程序是否会对系统构成危害。
SpyBot-Search&Destroy中内置了大量的间谍软件、键盘记录程序、木马等列表,只要单击主界面导航条中的【免疫】按钮即可使系统免受这些程序的侵扰,11-6所示。
如果在某些情况下需要保留自己硬盘上的某些已知程序不被清除(比如Cookies),可以单击导航条中的【单个忽略项】按钮,从中设置不想被系统自动过滤掉的程序即可,11-7所示。
用户可以选择安装某个间谍软件的免疫程序,使捆绑间谍软件的应用程序在试图将间谍软件安装到计算机上时返回一个错误信息,使之相信已经安装了该间谍软件,从而避免某些程序在捆绑的间谍软件清除后出现无法正常运行的情况。
11.1.3 间谍广告的杀手——AD-aware
AD-aware 是一个很小的系统安全工具,它可以扫描用户计算机中网站所发送进来的广告跟踪文件和相关文件,并且能够安全地将它们删除掉。使用户不会因为它们而泄露自己的隐私和数据。该软件的扫描速度相当快,能够生成详细的报告,并且可在眨眼间把它们都删除掉。
AD-aware安装后的运行界面11-8所示。该软件的使用十分简单,软件会根据用户的要求迅速全面地扫描系统,只要在扫描结束后单击【Next】按钮,按向导的提示进行操作即可出现扫描清单,可能包括“Processes”、“Registry keys”及Cookies等信息。
右键单击相应的信息条,在弹出的命令窗口里即可选择相应的操作,选择所有的可疑信息之后,单击【Next】按钮将瞬间清除
当然,用户还可以在“Select a scan mode”选项区域里选择所使用的扫描模式。如Perform smart system scan(执行智能系统检查)、Use custom scanning options(自定义扫描选项)等,这样用户可以根据自己的需求单击【Setting】按钮,让软件更好地为自己服务。
【注意】 该软件会把3721上网助手列为跟踪文件,对于上网助手的使用者,在删除文件前请先把扫描到的相关3721文件放入忽略名单。
11.2 如何关闭端口和隐藏IP
对于个人用户来说,用户可以限制所有的端口,根本不必让自己的机器对外提供任何服务;而对于对外提供网络服务的服务器,则需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
11.2.1 如何关闭和开启自己的端口
默认情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等。为了保证系统的安全性,就可以通过“关闭/开启”端口的方法来进行控制操作。
1.关闭端口
比如要在Windows 2000/XP中关闭,则可以这样做:
① 在确认自己已经启用了SMTP服务的25端口的情况下,打开【控制面板】并双击其中的【管理工具】→【服务】图标按钮,11-9所示。
② 在打开的【服务】窗口中找到并双击Simple Mail Transfer Protocol(SMTP)服务,单击【停止】按钮来停止该服务,然后在【启动类型】中选择“已禁用”。
③ 最后单击【确定】按钮即可。
这样,关闭了SMTP服务就相当于关闭了对应的端口。
2.开启端口
在Windows 2000/XP中开启该端口的具体操作步骤如下:
① 开启该端口只要先在【启动类型】中选择“自动”,单击【确定】按钮
② 打开该服务,在【服务状态】中单击【启动】按钮,即可启用该端口。
③ 最后单击【确定】按钮即可。
【小技巧】 由于在Windows 98中没有【服务】选项,可以使用防火墙的规则设置功能来“关闭/开启”端口。
11.2.2 学会隐藏自己的IP
很多人在使用QQ时莫名其妙地遭受到信息炸弹或是其他攻击,究其原因,大多是先用一个工具查出对方的IP,然后换用攻击软件,所以,简单而有效的办法就是隐藏自己的IP。 怎么隐藏?使用代理服务器上QQ是一种较为简单实用的办法,具体操作步骤如下:
① 打开QQ的【系统设置】并选择【代理设置】选项卡,选中【使用自定义的网络设置】单选按钮,11-10所示。
② 在【服务器】、 【端口】、 【用户名】、 【密码】文本框中输入自己寻找的免费代理地址(能在QQ中使用的代理为SOCKS4和SOCKS5型的,端口号为:1080)。
③ 好了,把IP地址和端口号输入(用户名和密码一般不用填),单击【测试】按钮。如果输入的代理地址有效(代理服务器的地址很多网站有提供,自己用工具也可以找到很多),则会弹出“代理服务器工作正常”提示框,否则就会弹出“无法连接到代理服务器”的提示。④ 上述步骤做完之后,最后单击【确定】按钮完成操作。
【注意】 按照上述方法找到确实可用的代理服务器后,要先退出QQ,再启动QQ重新登录,这样才会改变QQ的IP,否则QQ的IP不会改变。代理服务器有时会失效,需要换一个新的服务器。
此方法只能隐藏QQ的IP,即别人通过一般QQ工具查不到自己的真实IP地址,但高手们还是有办法查出真实IP的。 还有就是该办法对消息炸弹毫无用处,因为消息炸弹和一般的消息无异,只是时间短得多而已。拒绝QQ消息炸弹其实很简单,只要在【系统设置】→【基本设置】项中选择【拒绝陌生人的消息】复选框即可,11-11所示。这两种方法一起用的话,自己被通过QQ攻击的可能性就大大降低了。
复选框下面再来说说利用“QQ代理公布器XP”和SocksCap32隐藏真实IP的具体方法,具体操作步骤如下:
① 运行“QQ代理公布器XP”并在【代理类型】选项区选中【Socks5】单选按钮,接着选中右侧的【是否测试代理】复选框,11-12所示;
② 单击工具栏中的【读数据】按钮 ,则程序返回代理IP信息,选择一个速度最快的代理IP,在其上单击右键,选择 命令复制IP,11-13所示。
③ 启动SocksCap32并在主界面中选择【File】→【Setting】命令,在设置框中将复制的IP地址粘贴到“Socks Server”文本框中,端口使用默认,11-14所示。选中“Socks Version 5”单选按钮并单击【确定】按钮返回主窗口,11-15所示。
④ 以QQ程序为例,在SocksCap32主窗口中选择【File】→【New】命令,11-16所示,在【Profile Name】文本框中随意输入QQ并单击【Browse】按钮指定QQ程序所在的目录,11-17所示。
⑤ 单击【OK】按钮之后,再双击SocksCap32中的QQ图标,测试QQ能否正常登录(登录正常则显示的IP为刚才设置的代理IP)。如果QQ不能登录,则说明代理服务器响应慢,只要再选择一个响应速度较快的代理IP即可。
下面再来看一款利用HTTP代理来隐藏IP地址的MultiProxy软件,具体使用方法如下: ① 在IE的地址栏中输入http://www.allproxies.com/page1.html,接着将那些代理IP复制到Word中并按下Ctrl+Shift+F8组合键,删除所有代理IP以外的内容,再用【替换】功能修改成形如×××.×××.×××.×××:port格式即可。
② 此时还需要把IP与端口号之间的两个空格替换成“:”,完成修改后,将文件保存成TXT文件。
③启动MultiProxy并单击【选项】按钮,11-18所示。在【常规选择】选项卡中将【缺省超时(秒)】的时间设长些(如30),其他设置保持不变,11-19所示。
④ 切换到【代理服务器列表】选项卡并执行右下角的【菜单】→【文件】→【导入代理列表】命令,打开刚才保存的代理IP文件,11-20所示,单击【检查代理】对话框中的【确定】按钮,11-21所示,再单击一次【确定】按钮即可返回主窗口。
⑤ 如果无法将刚才选择的代理IP文件导入到列表中,则可能是由于该文件中存在了不符合格式的IP,将它们修改正确并保存后重新导入即可。
⑥ 完成导入之后继续单击【检查所有的代理】按钮,验证IP是否可连接。检验完毕后,再次单击【选项】按钮,切换到【代理服务器列表】选项卡,执行左下角的【菜单】→【代理表】→【删除没有应答的代理】命令,出现询问【是否肯定删除所有没有应答的代理】的对话框,单击【确定】按钮把没有应答的代理IP删除后,剩下的即为可连接的代理IP,单击【确定】按钮返回到主窗口。
⑦ 在不关闭MultiProxy的情况下启动IE,选择【工具】→【Internet选项】命令并切换到【连接】选项卡进行相应设置。
⑧ 设置完毕之后,登录一个能够显示IP的论坛测试一下,可以看出真实IP已经隐藏,显示的仅仅是代理服务器IP。
至此为止,用户就可以达到隐藏自己真实IP的目的了。
11.2.3 对不必要的防火墙端口进行限制
端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。常用的FTP默认端口为21,而WWW网页一般默认端口是80。
有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如“冰河”、“BO”、“广外”等都可以自动开一个不易察觉的端口。则只要把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?
对于采用Windows 2000以上版本的用户来说,不需要安装任何其他软件,利用【TCP/IP筛选】功能就可以实现服务器端口的限制。具体设置的操作步骤如下:
① 右击【网上邻居】并选择【属性】命令,双击【本地连接】后出现11-22所示的【本地连接 状态】对话框。
② 单击【属性】按钮并在弹出的【本地连接属性】对话框中选择【此连接使用下列项目】中的【Internet协议(TCP/IP)】复选框,11-23所示。
③ 继续单击【属性】按钮并在选择【Internet协议(TCP/IP)】对话框中单击【高级】按钮,在【高级TCP/IP设置】对话框中选择【选项】选项卡,选中“TCP/IP筛选”项后单击【属性】按钮,11-24所示。
④ 选中【TCP/IP筛选】对话框中的【启用TCP/IP筛选(所有适配器)】复选框,然后选中【只允许】单选按钮,11-25所示。
至此,读者就可以参考上述步骤来自己添加或删除TCP、UDP或IP的各种端口了。添加或删除完毕并重新启动机器之后,服务器就被保护起来了。
11.2.4 通过安全策略关闭危险端口
也许大家都知道网上有些扫描器,如letmein.exe和whoisadmin.exe等,基本上都是通过TCP的139和445端口来获取一些计算机相关信息,如计算机的名称、管理员账号(知道管理员的账号后可以猜测或暴力破解其密码来获得计算机的控制权)等,这样便可以通过相应的攻击工具进行入侵了。
下面就来学习一下通过安全策略关闭139和445端口的具体方法。
① 执行【开始】→【设置】→【控制面板】命令,在【控制面板】窗口中双击【管理工具】图标,11-26所示。
② 执行【管理工具】对话框中的【本地安全策略】项,并在【本地安全策略】对话框中右击【IP安全策略,在本地计算机】项,选择【管理IP筛选器表和筛选器操作】命令
③ 在11-28所示的“管理IP筛选器列表”选项卡上单击【添加】按钮后将弹出【IP筛选器列表】对话框,11-29所示,分别添入名称和描述,如禁用139连接并单击【添加】按钮,将出现【IP筛选器向导】对话框,11-30所示。
④ 单击【下一步】按钮之后出现【指定通信IP源】对话框,11-31所示。在【源地址】中选择“任何IP地址”,单击【下一步】按钮,在【IP通信目标】对话框的【目标地址】中选择“我的IP地址”。
⑤ 单击【下一步】按钮之后,在【IP协议类型】对话框的【选择协议类型】中选择TCP,单击【下一步】 按钮,在【IP协议端口】对话框【设置IP协议端口】的里第一栏中选择【从任意端口】单选按钮,第二栏为【到此端口】并输入139。
⑥ 单击【下一步】按钮,并在11-35所示的对话框中单击【完成】按钮,回到【IP筛选器列表】操作窗口。
小技巧】 选择【管理筛选器操作】选项卡并单击【添加】按钮同样会出现一个【筛先器操作向导】对话框,单击【下一步】按钮之后,在【名称】中输入“禁用139连接”并单击【下一步】按钮,接着选择【阻止】并再次单击【下一步】按钮,最后单击【完成】按钮,同样可以制定“禁止139连接”的策略。
【注意】 禁用445端口的“筛选器列表”和“筛选器操作”的操作和“禁止139连接”的方法同理,但惟一不同的一点就是:在添加139和445的筛选器操作时,不能为了省事用同一个“阻止”筛选器操作,这样制定出的规则将无法使用。
⑦ 当禁止139或445的操作都完成之后,回到【IP安全策略,在本地机器】并通过右击选择 命令,此时将会出现一个【IP安全策略向导】的窗口,11-37所示。
⑧ 直接单击【下一步】按钮,在【名称】中输入“禁用139/445连接”,11-38所示,然后一路单击【下一步】按钮直到最后完成。
⑨ 在11-39所示的【禁用139/445连接 属性】对话框中单击【添加】按钮将会出现一个11-40所示的【安全规则向导】对话框,一路单击【下一步】按钮到【IP筛选器列表】中选择“禁用139连接”项,单击【下一步】按钮并在【筛选器操作】中选择“禁用139连接”项,单击【下一步】按钮,接着单击【完成】和【确定】按钮完成本次操作。
⑩ 此时可通过“添加”将禁用445端口的筛选器列表和操作也添加进去,接着是一路单击【下一步】按钮到【IP筛选器列表】,选择“禁用445连接”并继续单击【下一步】按钮,至此,就经完成了所有的配置。最后将刚才配置好的“禁用139/445连接”的安全策略指派即可。对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
最后,提醒个人用户需要注意的是,如果只是上网浏览的话,可以不添加任何端口。但要是利用一些网络联络工具,比如Outlook Express,就要把“1037”这个端口打开。同理,如果发现某个常用网络工具不能起作用时,请搞清它在自己主机上所开的端口,然后在【TCP/IP筛选】中添加该端口即可。
11.3 网络防火墙的安装与使用
防火墙就是一个位于计算机和它所连接的网络之间的软件,对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁木马的置入途径。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
11.3.1 如何使用“天网防火墙”防御网络攻击
“天网防火墙”个人版是个人计算机使用的网络安全程序,根据管理者设定的安全规则把守网络,提供强大的访问控制、信息过滤等功能,帮助抵挡网络入侵和攻击,防止信息泄露。天网防火墙把网络分为本地网和因特网,可针对来自不同网络的信息,来设置不同的安全方案,适合于任何方式上网的用户。
下面来看一下“天网防火墙”是如何来防御网络攻击的?
1.运行“天网防火墙”
① “天网防火墙”在安装好后,在任务栏处将出现 图标,11-41所示。只要双击 图标,就会弹出【天网防火墙个人版】窗口,11-42所示。
② 如果右击 图标,则会弹出11-43所示的快捷菜单,只要选择【退出】命令就可以退出“天网防火墙个人版”程序了。
【注意】 由于防火墙一般都要检查网络连接,因此,当在自己的机子上安装了网络防火墙后,上网速度可能会有所下降,但并不明显。
众所周知,如何设置“天网防火墙”是其有效防止网络攻击的很关键的一步,否则,所谓的网络防火墙就只不过是一只“纸老虎”。
1. 设置“应用程序规则”
① 单击主窗口中的 按钮后出现【应用程序规则】对话框,11-44所示。从中可以设置允许、提示、禁止三种方式来判断是否允许程序访问网络资源。
② 随便选择其中的一个程序,如Outlook Express,单击【删除】按钮之后,就可以看到11-45所示的【天网防火墙提示信息】对话框了。
③ Outlook Express在单击【确定】按钮之后将被禁止使用网络资源,如果运行Outlook Express将弹出11-46所示的【天网防火墙警告信息】对话框。
④ 选中【该程序以后都按照这次的操作运行】复选框并单击【允许】按钮,则该Outlook Express程序就可以使用网络资源了。
【提示】 各应用程序项中的“√”表示该程序可以使用的网络资源;“?”表示当该程序使用网络资源时将弹出信息提示对话框;“×”表示该程序不能使用网络资源。如禁止了Outlook Express程序,则运行Outlook Express时,将弹出11-47所示的Outlook Express对话框。
2.设置程序高级规则
① 选择应用程序列表中的一项并双击【选项】按钮,将弹出【应用程序规则高级设置】对话框,11-48所示。
② 如果选中【端口范围】单选按钮,则会出现【应用程序规则高级设置】对话框,11-49所示。从中可以设定该程序访问网络的端口范围(本对话框中内容表示Internet Explorer程序只能使用0~1024之间的端口)。
③ 选中【端口列表】单选按钮后将出现【应用程序规则高级设置】对话框,从中可以限定程序具体使用了哪些端口,11-50所示,在右侧列表框处列出了该程序可以使用的端口
3. 设置“自定义IP规则”
单击 按钮后将弹出11-51所示的【自定义IP规则】窗口,单击其中任一项,如【IP规则】项,在列表框下面将出现该规则的描述。
新建一条IP规则的具体操作步骤如下:
① 单击工具栏上的 按钮后将弹出11-52所示的【IP规则修改】对话框,从中可以设定规则的具体内容。
② 11-53所示,可以在【规则】选项区域中的【名称】文本框输入规则名称,再在【说明】文本框输入对该规则的描述。
③ 在11-54所示的【对方IP地址】下拉列表框中,可以选择规则实施对象的IP地址,此时可选“指定地址”项并输入指定的IP地址,如输入192.168.0.11,11-55所示。还可以选择“任何地址”项来对任何IP地址实施该规则;如选择了“局域网的网络地址”选项,即可对局域网中所有计算机来实施这个规则。
④ 11-56所示,当在【满足上面条件时】项中设置了当满足此规则的条件时,本地计算机将做出反映,只要选择“拦截”所有数据包,同时选中【记录】复选框项即可。
⑤ 此时如果回到11-57所示的主窗口来查看一下新增添的IP规则,将会发现,当192.168.0.11试图访问本地计算机时,“天网防火墙”将实施【禁止192.168.0.11访问】的规则,11-58所示。
删除某一IP规则的具体操作步骤如下:
① 选中前面创建的IP规则【禁止192.168.0.11访问】,然后单击 按钮,将弹出【天网防火墙提示信息】对话框,11-59所示。
② 单击【确定】按钮即可将该IP规则删除,11-60所示,是不是在IP规则列表框中已经没有了【禁止192.168.0.11访问】的存在?
重新编辑IP规则的具体操作步骤如下:
选中某一IP规则后单击 按钮,将弹出11-61所示的【IP规则修改】窗口,此时就可以修改IP规则了。
设置IP规则优先级的具体操作步骤如下:
① 先选中某一IP规则,如【防止别人用ping命令探测】项,11-62所示。
② 单击 按钮即可提高该规则的优先级别(如果优先级别设置的越高则规则就越早被实施,反之则越晚被实施)。
③ 同理,如果单击 按钮,则该规则的优先级将被降低。
4. 应用“系统设置”
① 单击 按钮,在【系统设置】对话框中选择【启动】中的【开机后自动启动防火墙】复选框,则以后每次在计算机启动时都会自动运行“天网防火墙”。如果单击了其中的【重置】按钮,则将出现11-63所示的【天网防火墙提示信息】对话框
② 单击【确定】按钮后将删除所有后来加入的新规则,而所有被修改过的规则都将变成初始的默认设置。
③ 单击【向导】按钮后将会弹出【天网防火墙个人版设置向导】对话框,11-64所示。以后的设置与安装“天网防火墙”的步骤相同。
④ 如果在【应用程序权限】选项区域选中【允许所有应用程序访问网络,并在规则中记录这些程序】复选框,“天网防火墙”将自动允许所有程序访问网络资源,不过笔者还是建议不要选中此复选框,11-65所示。
⑤ 而【局域网地址设定】只要在其中输入要设定的IP地址即可,在【报警声音】中,可以选择一个当满足规则的数据包到来时所发出的声音。
完成设置之后,只要单击【确定】按钮,即可完成对“天网防火墙”的系统设置。
6.用“天网防火墙”防范木马
在对设置“天网防火墙”有了一个全面了解后,再来讲述一下其防范木马的主要情况。 对于木马程序第一次运行的情况可以采用如下的防御方法:
如果这时候在“天网防火墙”已经运行的情况下,如果木马服务器程序要打开网络端口,则弹出【天网防火墙警告信息】对话框。利用这种方法可以很容易检测到自己运行的程序是否被绑定了木马程序。
如果单击【天网防火墙警告信息】对话框中的【禁止】按钮,即可防止此程序来使用网络资源,攻击者也就无法通过木马服务器程序来对被攻击者的机器进行远程控制了。
对于已经植入到用户的计算机中的木马可以采用如下的防御方法:
新建一条IP规则并在【名称】文本框输入“禁止冰河木马的侵入”,在【说明】文本框输入“记录冰河木马入侵,方法是记录7626端口的访问情况,在发现有冰河木马入侵的时候,同时发声”。在11-66所示的【数据包方向】中选择“接收”项,再在【对方IP地址】中选择“任何地址”项。
单击【TCP】标签之后将出现11-67所示的【TCP】选项卡,在【本地端口】中设定端口为从7626到7626。单击【UDP】标签之后将出现11-68所示的【UDP】选项卡,在【本地端口】中设定端口为从7626到7626。
这两处(TCP/UDP)的设置主要是为了监听7626端口而进行的,因为“冰河”木马服务器程序就是使用这个端口与客户端程序进行通信的。
当在【当满足上面条件时】下拉列表框中选择“通行”项之后,再在11-69所示的【同时还】中选择【记录】、【发声】复选框。此时,在11-70所示的IP规则列表框中即可看到已经出现了的【禁止冰河木马的入侵】规则。
此时,只要其他计算机想通过“冰河”客户端程序控制本地计算机,本地计算机就会发出警报声音,并同时还会出现“!”在 图标上不断闪烁。单击 按钮之后“天网防火墙”就会显示出是哪些IP通过木马访问本地计算机的界面了。
11.3.2 功能强大的“网络安全特警2005”
“诺顿网络安全特警2005(NIS 2005)”简体中文版由Norton Internet Security、Norotn AntiVirus(可以阻止特定在尝试进入系统破坏性的网络蠕虫)、Norton AntiSpam(帮助用户检测并过滤欺诈性的和非垃圾邮件,和 POP3 地址簿自动同步允许列表)三大组件所构成,针对病毒、黑客和隐私泄露,提供了一系列基本防护措施。也就是说,它既有网络防火墙的部分,又包含有病毒防火墙,还有一系列捍卫计算机的新式武器。
1.运行“诺顿网络安全特警2005”
① “诺顿网络安全特警2005”在安装好后,选择【开始】→【程序】→【Norton Internet Security】→【Norton Internet Security】命令,打开11-71所示的Norton Internet Security程序,或双击任务栏处的 图标,11-72所示。
② 如果使用鼠标右击 图标,则会弹出11-73所示的快捷菜单,选择其中的 命令就表示可以禁用Norton Internet Security程序了。
③ 如果选择 命令,则可以打开【Norton Internet Security】主窗口;如果选择【禁止通信】命令,则在以后有远程系统试图访问自己的计算机时,将弹出11-74所示的对话框。
④ 选择【注销】命令后将弹出11-75所示的对话框。此时,该菜单将变成11-76左所示,选择其中的【账户登录】命令,则出现11-76右图所示的对话框。
2. 利用Norton Internet Security防范入侵企图
个人防火墙是基于应用程序的防火墙,旨在防止不需要的应用程序(如间谍软件或特洛伊木马等)访问 Internet。使用预先配置的应用程序规则,个人防火墙可以自动允许最常见的应用程序连接到Internet或显示建议允许这些应用程序的警报。
Internet攻击利用了计算机传输信息的方式,Norton Internet Security 可以通过监控出入计算机的信息并禁止任何攻击企图来对计算机进行保护。
具体操作步骤如下:
① 确保已启用Norton Personal Firewall和入侵检测,然后就可以开始自定义防火墙的防护了。选择11-77所示的【个人防火墙】并单击【配置】按钮,在11-78所示的对话框中通过鼠标拉动安全级别滑块来进行设置,选择好后单击【默认级别】按钮即可。
② 再来自定义防火墙的设置规则,选中【程序】选项卡中的 复选框,11-79所示,然后从安全中心扫描 Internet 程序。
③ 单击 按钮,选择自己的计算机上要扫描的磁盘,11-80所示。单击【下一步】按钮开始扫描,扫描结束并选择好后,在11-81所示窗口中,单击【下一步】按钮即可。也可以通过单击 按钮手动将程序添加到【程序控制】中。
④ 如果想要对其中的某个程序进行修改,则只要在选中该程序后单击【修改】按钮即可,11-82所示。
如果还需要对防火墙的规则进行配置,则选择【高级】选项卡并对其中的【一般规则】和【特拉伊木马规则】进行设置,11-83所示。在这两个窗口中可分别对某些规则进行相应的【添加】、【修改】、【删除】、【上移】和【下移】操作,11-84和图11-85所示。
⑤ 由于默认的“入侵检测”设置已经可以为大多数用户提供足够的保护,但这里仍然可以自定义入侵检测,方法就是将特定网络活动排除在监控范围之外、启用或禁用自动禁止以及限制已经禁止的计算机。
⑥ 如果需要将攻击特征排除在监控范围之外,则可以单击11-86所示的【入侵检测】对话框中的【特征】按钮,然后在【特征】列表中选择要排除的攻击特征。选择好后,单击【排除】按钮,11-87所示。如果想要添加攻击特征,则可单击【包括】按钮。完成特征排除或添加后,单击【确定】即可。如果排除攻击特征后需要再次监控该特征,可以将它们包括在活动特征列表中。
⑦ 如果需要将计算机排除在自动禁止之外,可单击【入侵检测】对话框中的【IP地址】按钮进入11-88所示的对话框。在【当前禁止】列表中,选择已禁止的IP地址并单击【排除】按钮即可。如果单击【添加】按钮,则可在【指定计算机】对话框中输入计算机名、IP 地址、网络标识或包含需要排除的计算机在内的一系列IP地址,11-89所示。
⑧ 完成排除IP地址之后,单击【确定】按钮即可。
⑨ 如果想要限制被禁止的计算机,则只要在自动禁止当前禁止计算机的列表中,选择要添加到【限制区域】的计算机,然后单击【限制】按钮,在完成计算机的限制后,单击【确定】按钮就可以完成计算机的入侵检测设置了。
3. 让磁盘、文件和数据远离病毒
如果临时禁用了自动防护(如加载或使用与Norton Antivirus冲突的其他程序时)而又忘记了重新启用它,则硬盘就有被感染病毒的可能性(用户可以扫描整台计算机或单个软盘、驱动器、文件夹或文件)。
具体操作步骤如下:
①选择Norton Internet Security安全中心中的【Norton Antivirus】→【扫描病毒】命令并选择其中的“扫描我的电脑”选项,11-90所示。
② 在【操作】下单击【扫描】按钮,当扫描完成时,将出现11-91所示的扫描摘要,单击【完成】按钮即可完成操作。
③ 如果想要定期的扫描计算机的某个部分,但又不想每次都指定要扫描的部分,就可以创建一个自定义扫描。不需要时,还可以删除该扫描。
单击【扫描病毒】对话框中【操作】下的【新建】按钮,在【Norton Antivirus扫描向导】对话框中单击【下一步】按钮,如果单击【添加文件夹】按钮,则选择文件夹和驱动器进行扫描,如果单击【添加文件】按钮,则选择单个文件进行扫描。也可以两个选项都使用,组合选择要扫描的对象,11-92所示。
④ 在完成了扫描项目列表的创建后,单击【下一步】按钮,为该扫描输入一个易于识别的名称,最后单击【完成】按钮。
⑤ 如果单击【扫描病毒】对话框中的调度按钮 ,则可以对调度扫描进行11-93所示的设定。
Norton Antivirus还可以自动运行每周一次的全面系统扫描,可以安排自定义病毒扫描在特定的日期和时间或按固定的间隔自动执行。如果该调度扫描开始时正在使用计算机,则该扫描会在后台执行,而根本不必停止当前的工作。
11.3.3 黑客程序的克星——Anti Trojan Elite(反黑精英)
“反黑精英”(原名 Trojan Ender)可以说是木马、QQ盗号软件、传奇盗号软件等各种黑客程序的真正克星,查杀速度快且准确率最高,各种辅助工具使用简单而功能强大。可查未知木马、QQ盗号软件、传奇盗号软件等各种黑客程序,可自动修复被破坏的注册表键值,支持对压缩文件的扫描,并可轻松查杀捆绑式木马、无进程木马等。
具体操作步骤如下:
① 该软件的安装很简单,只在安装完成之后需要重新启动计算机。在启动该软件之后将出现11-94所示的对话框,选择其中的Simplify Chinese项之后,Trojan Ender的操作界面就变为简体中文了,11-95所示。
② 单击其中的【扫描】项之后,可以看到其下面包含有【类型】、【文件】和【文件夹】3个选项,单击其中的【类型】选项之后,将出现11-96所示的窗口界面。
③ 如果单击【监控】项,则可以看到其下仅包括【系统】一个选项,也即Trojan Ender仅对系统进行相应的监控,11-97所示。
④ 在【工具】项中则包含【网络连接】、【进程管理】、【服务管理】、【系统优化】、【IE修复】、【重要键值】、【扫描备份】和【扫描日志】等多个工具选项,其中以11-98所示的【网络连接】工具项和11-99所示的【IE修复】工具项最为常用
⑤ 在【软件选项】项中主要包括【系统设置】、【在线升级】、【软件注册】、【关于】和【帮助手册】几个选项,其中的【系统设置】最为重要,其中包括【程序选项】、【扫描设置】、【杀除策略】和【高级设置】4个选项卡,11-100所示即为设定其【杀除策略】选项卡。【在线升级】仅针对已注册用户,而【关于】则给出了本软件的一些相关信息,【帮助手册】则对用户快速掌握本软件提供了可能,11-101所示。
图11-100 设定【杀除策略】选项卡
11.3.4 免费的个人网络防火墙——ZoneAlarm
ZoneAlarm网络防火墙的使用很简单,只要在安装时输入自己的资料,安装完后重新开机,ZoneAlarm就会自动启动并执行任务。
用户可以自由设置所有程序是否允许连接Internet,利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住(Lock)网络不让任何程序通过,只有自己核准的软件才可以通行无阻。还可利用它来查看开机后已经使用了多少网络资源,也可以设定锁定网络的时间。
ZoneAlarm网络防火墙的具体使用步骤如下:
① 在ZoneAlarm网络防火墙中有个【系统概要】选项,11-102所示,对ZoneAlarm的各项功能进行了一个简单的介绍,如果用户想要快速上手,则可以单击【使用指南】超链接,在11-103所示的使用向导中逐步进行学习,学习完之后单击【完成】按钮即可返回主界面窗口。
② 如果单击【防火墙】选项,则可以在11-104所示的【防火墙】窗口中通过滑块设定【Internet安全保护】和【信任区域安全保护】的保护级别,还可以单击【高级】按钮,在11-105所示的【高级设置】对话框中进行各项设置。
③ 如果单击【程序控制】选项,则可以在11-106所示的【程序控制】窗口中通过滑块设定【应用程序控制】和【警报级别】的保护级别,还可以设置【自动Internet封锁】的开启或关闭状态,如果单击【高级】按钮,则可以在11-107所示的【高级设置】对话框中进行各项设置。
④ 要确保自己受到最佳保护,最重要的就是要保持自己防病毒软件时刻处于最新状态。在ZoneAlarm中可以通过开启11-108所示的【病毒监控】功能来监控自己所使用防病毒软件的安全状况。
⑤ 作为防病毒软件的重要补充,【邮件防护】功能已经日益显示出了其重要性,可以通过11-109所示的【邮件防护】窗口来设置收取或寄出邮件安全防护的“开启/关闭”。单击其中的【高级】按钮,则可以在11-110所示的【高级电子邮件保护】对话框中进行各项设置。
⑥ 如果单击【隐私保护】选项,则可以在11-111所示的【隐私保护】窗口中通过滑块设定【Cookies控制】和【广告封锁】的保护级别,还可以设置【活动码控制】的开启或关闭状态。
⑦ 如果单击【ID锁】选项,则可以在11-112所示的【ID锁】窗口中通过滑块设定【ID封锁】的防护等级,还可以观察到保护隐私信息的状态。
⑧ 如果单击【警报/日志】选项,则可以在11-113所示的【警报/日志】窗口中设定“警报/日志”的工作状态。单击其中的【高级】按钮,则可以在11-114所示的【高级警报和日志设置】对话框中进行各项设置。
经过上述设置之后,如果有程序要访问网络,ZoneAlarm就会弹出对话框,询问是否允许其访问网络,11-115所示。
如单击 按钮则该次访问即可进行;如果是自己放心的程序,则可同时选中 复选框,这样在下次该程序下次访问网络时ZoneAlarm将不再询问是否允许。
好了,有兴趣的用户不妨到网上下载一个试试吧,也许ZoneAlarm正是自己所需要的。 11.4 可能出现的问题与解决
隐藏IP虽然能够防范攻击,但是你的好友想要同你通信也就没那么方便了。而关闭不必要的端口,也要以牺牲系统性能作为代价,所以这两种防范方法都不是很理想。其实最好的方式就是采用网络防火墙。
为了抵御黑客的攻击,网络防火墙逐渐成为上网人士必备的安全软件之一,它可以有效地拦截一些来历不明的敌意访问,同时能拦截木马程序的恶意连接。
在本章中向大家讲解的是目前个人上网用户常用的几款功能强大的防火墙的使用方法,希望大家能选择一种适合自己需要的防火墙来为系统筑上一道坚固的“墙”,让黑客无从下手。
笔者在这里还是要提醒大家一下:安装网络防火墙之后,由于防火墙一般都要检查网络连接,因此上网速度可能会有所下降,但对于目前的机器配置和网速而言,好像还不太明显。
11.5 总结与经验积累
在讲述了几个经典防火墙软件的基础上,还需要为大家补充一点Windows系统自带防火墙方面的知识:Internet连接防火墙(Internet Connection Firewall,简称ICF)是Windows XP用来限制哪些信息可以从家庭或小型办公网络进入Internet以及从Internet进入家庭或小型办公网络的一种软件。ICF建立在用户的计算机与因特网之间,它可以让用户请求的数据通过、而阻碍没有请求的数据包,是一个基于包的防火墙。
ICF的第一个功能就是不响应Ping命令,而且,ICF还禁止外部程序对本机进行端口扫描,抛弃所有没有请求的IP包。其原理是通过保存一个通信表格,记录所有自本机发出的目的IP地址、端口、服务以及其他一些数据来达到保护本机的目的。当一个IP数据包进入本机时,ICF会检查这个表格,看到达的这个IP数据包是不是本机所请求的,如果是就让它通过,如果在那个表格中没有找到相应的记录就抛弃这个IP数据包。
例如,当用户使用Outlook Express来收发电子邮件时,本地个人机发出一个IP请求到POP3邮件服务器。ICF会记录这个目的IP地址、端口。当一个IP数据包到达本机时,ICF将会进行审核,通过查找事先记录的数据可确定这个IP数据包是来自请求的目的地址和端口,于是这个数据包获得通过。一旦有新的邮件到达邮件服务器时,邮件服务器会自动发一个IP数据包到Outlook客户机来通知有新的邮件到达。
当邮件服务器的IP数据包到达客户机时,客户机的ICF程序就会对这个IP包进行审核,发现本机的Outlook Express客户端软件曾发出过对这个地址和端口发出IP请求,所以这个IP包就会被接受,客户机当然就会收到发自邮件服务器的新邮件通知,然后让Outlook Express去接收邮件服务器上的新邮件。