风云防火墙使用方法详解(2)
然后点击打开IP端口规则窗口,见下图:
IP端口规则设置是任何一款防火墙作为安全防护软件的重要核心部分,它是规定了允许或禁止外来IP和端口与本机连接(包括接收,发送,双向传输)的一组规则的集合。先简述一下几个基本概念:
【网络端口--计算机“端口”是英文port的义译,可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口,如:USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基本输入输出)缓冲区。例如常用的137、138、139端口 ,用于提供NETBIOS Name Service服务 。其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。在通常状态下,系统这些端口是默认开放的,就常常会被黑客或木马病毒利用,对计算机系统进行攻击。端口规则设置的作用就在于保证正常网络连接的前提下,封闭系统端口漏洞,达到网络安全防御的目的。】
需要说明的是风云防火墙的默认IP端口规则也是基于否定在先原则的,就是首先封闭一切端口连接,在此基础上采取个别信任方式,以使正常网络访问行为能够顺利进行,屏蔽所有非法访问。事实上复杂的端口规则设置需要掌握很多的专业网络知识才能合理操作,也只适用于特定的网络环境。而以牺牲用户很大的心力为代价去编辑设置规则也绝不应当是软件厂商和应用者的初衷。了解网络端口常识的朋友从前面风云防火墙内置的默认IP规则立即可以得出初步结论,它已经具备防御所有通常性网络攻击(这个问题在后文将会重点探讨)的效能,从这个意义来讲,风云防火墙这种设计的易用性和可靠性是无疑是很出色的。
朋友们还应该认识到关于IP端口规则设置的一个误区,即端口规则的设置与规则文件包并非越复杂越优良。据我所知,个别防火墙软件的IP规则设置文件大小甚至达到了M的数量级,为什么呢?因为很多用户感觉多一条规则多一份塌实,坦白的讲,那些规则频繁无度的升级增容本质上只是用来迎合大家这种空洞的心里需求而已,并无任何实际意义!这种现象已经不只是个单纯的网络技术问题,N(关闭)→Y肯定(开放)→N否定(关闭)→Y肯定(开放)这种圆周式反复迂回的逻辑原理在理论上可以把IP端口规则的数目扩展到无穷而依然正确无误,这同时也是个别防火墙软件占用系统资源巨大,降低网络性能的一个主要原因!
防火墙日志记录是用来记录其工作状况(包括触发时间,对方IP地址,使用端口等事件详细描述,防火墙所采取的防护手段)并提供用户查阅备案的,可以随时保存或清除。在IP端口规则的设置中一般按照只需记录非法入侵数据的原则开启日志记录功能即可,对于正常而频繁的网络访问行为没有必要打开这个选项。
下为系统启动项的常规启动项界面:
上图红框中为网络神偷Nethief服务端的隐藏自启动项目【网络神偷Nethief是一个远程文件访问工具,可对本地及远程驱动器进行:新建文件、新建文件夹、查找文件、剪切、复制、粘贴包括:本地文件操作、上传、下载、同远程主机的文件复制与移动、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等操作,并且所有操作均支持多选及文件夹操作。服务端运行原理与一般的远程控制黑客程序不同,它利用“反弹端口”原理——服务端(被控制端)主动连接客户端(控制端),为了隐蔽起见,一般使用提供HTTP服务的80端口作为监听端口,随着IE浏览器的开启即可进行远程数据传输。而控制端发给服务端的数据是通过一个第三方的一般用一个主页之类的网络空间来实现,控制端通过FTP写主页空间上的一个文件,而服务端定期用HTTP 协议读取这个文件的内容获取指令,当发现控制端允许连接时,就进行主动连接。这样,即使用户使用专业端口扫描软件检查自己的端口,也难以发现,控制端就可以穿过防火墙,甚至还能访问局域网内部的电脑。】
下图为服务启动项界面:
红色图示为检查服务启动项目时,找到的一个隐藏服务--灰鸽子服务端程序。【灰鸽子木马分两部分:客户端和服务端。攻击者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe。(上面这个2006最新版本的灰鸽子木马病毒服务端名称为 Windows XP Vista,可谓与时俱进)。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT 下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。 G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。 G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在 Explorer.exe的进程空间中,有时候则是附在所有进程中。】
一般来讲绝大多数的木马病毒都会寻找隐藏的服务和进程自动运行以达到随时发动而不为人察觉的目的。常规启动项和服务启动项检查可以准确了解随系统自动启动的所有应用程序及服务,令这些隐蔽性危害性极强的木马病毒无所遁形,发现可疑项目可以点击选中后后按删除选定将其删除。仅从优化系统性能的角度考虑,即使是安全的应用程序和服务在跟随系统同时启动之际的数量也是少少益善。此界面的安全优化服务功能,即可用来针对性的安全关闭多项不需要的系统服务。
这是文件关联项界面:
多种病毒会在运行时对注册表进行恶意修改,造成默认文联错误,使用户在在打开常规文件项目时系统对其直接调用,达到加载运行的目的,导致系统不能正常运行。发现可疑文件关联,点击自动修复即可恢复正常文件关联,防止该类型文件为病毒利用。请见下图:
这里要提到的是,风云防火墙作为一款安全防护软件,目前这个实用功能只是基于系统安全防护角度考虑的,它只监控修改注册表 [HKEY_CLASSES_ROOTtxtfileshellopencommand]@="NOTEPAD.EXE %1"这个关键键值,对于非安全性方面的系统文件关联错误非关键键值并未加以考虑。
以下是特洛伊检测shell插件界面:
