国家开放大学电大专科《网络系统管理与维护》形考任务2答案.docx

1、国家开放大学电大专科网络系统管理与维护形考任务 2 答案 档任务 2 理解计算机病毒防范的常用方法，掌握安装和配置防病毒软件 【实训目标】 理解计算机病毒防范的常用方法，掌握安装和配置防病毒软件。 【实训环境】 1 台服务器、1 台工作站计算机。 【实训内容】 假设您是一家公司的网络系统管理员，负责公司的网络安全管理工作。为此，请您完成以下工作： 1. 部署网络版杀毒软件的控制中心。 2. 设置控制中心，每夭 11 点在线同步病毒库。 3. 安装网络版杀毒软件的客户端程序。 4. 设置控制中心，每夭 19 点扫描客户端计算机。 （可以参考教材“3.2.6 防病毒软件配置”章节部分，完成以上四步

2、操作） 5. 使用服务器上的高级安全 Windows 防火墙功能，阻止对其 53、80 和 443 端口的访问。（可以参考教材“3. 3.3 Windows 防火墙的基本配置”章节部分，完成操作） 6. 使用 ccProxy 代理软件，配置 8080 端口来代理企业内网用户访问 Web 服务。 （可以参考教材“3.6 代理服务”章 节部分， 完成操作） 实习步睇， 由于天网防火墙有正式版 （收费的版本，服务好，功能强） 和试用版 （免费，用的人很多，高级功能受一些限制） 之分， 本人支持正版软件，所以这里就以正式版为例给大家介绍，试用版的界面和操作基本都一样，使用试用版的可 以参考类似的 操作

3、。 安装完后要重起，重起后打开天网防火墙就能起到作用了。跋认情况下，它的作用就很强大了。但有时它苛刻的 IP 规 则也带来了很多不便，后面再说。所以，如果没什么特殊要求的，就设置为耿认就 0K 了，安全级别为中就好。 一、 普通应用（取情况）略 二、 防火师炒口应用 如果想开放端口就得新建新的 IP 规则，所以在说开放端口前，我们来说说怎么新建一个新的 IP 规则，如下图 1. 在自定义 IP 规则里双击进行新规姻设置。此主题相关图 1 如下： 图 1 IP 规则 点击增加规则后就会出现以下图所示界面，我们把它分成四部分。 此主题相关图片如卜图 2： 图 2 IP 规则修改 1） 图六 1 是

4、新建 IP 规则的说明部分，你可以取有代表性的名字，如“打开 BT6881-6889 端口二说明详细点也 可以。 还有数据包方向的选择，分为接收,发送，接收和发送三种，可以根据具体情况决定。 2） 就是对方 IP 地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。 3） IP 规则使用的各种协议，有 IP, TCP, UDP, ICMP, IGMP 五种协议，可以根据具体情况选用并设置，如开放 IP 地址 的是 IP 协议，如使用的是 UDP 协议等。 4） 比较关键，就是决定你设置上面规则是允许还是拒绝.在满足条件时是通行还是拦截还是继续下一规则，要 不要记 录，就看你 ri 己

5、想怎么样了，具体看后面的实例。如果设置好了 IP规姻就单击确定后保存并把规则上移到该 协议组的置顶， 这就完成了新的IP规则的建立，并立即发挥作用。 三、打开堵口实例 吁 TCPTCP 在介绍完新 IP 规则是怎么建立后，我们就开始举例说明，毕竟例子是最好的说明。大家也许都知道 BT 使用的端 口为 68816889 端口这九个端口，而防火墙的默认设置是不允许访问这些端口的，它只允许 BT 软件访问网络，所以 有时在一定 程度上影响了 BT 下裁速度。当然你关了防火堵就没什么影响了，但机器是不是就不安金了？所以下面以 打开 6881-6889 端 口举个实例。 1）在图 1 双击后建立一个新的

6、 IP 规则后在出现的下图 3 里设置，由于 BT 使用的是 TCP 协议，所以就按下图 3 设置就 0K 了，点击确定完成新规则的建立，我命名为 BT。 此主题相关如卜图 3： 图 3 BT 的 IP 规划设置 设置新规则后，把规则上移到该协议组的置顶，并保存。然后可以进行在线端口测试是否 BT 的连接端口已经开 放的。 此主题相关如卜图 4： 图 4 保存设置规则 四、应用自定义规则防止常见病毒 上面介绍的是开放端口的应用，大体上都能类推，如其他程序要用到某些端口，而防火墙没有开放这些端口时, 就可以 fl 己设置，相信大家能搞定。下面来介绍一些实例的应用，就是封端口，让某些病毒无法入侵。

7、 1、防范冲击波 冲击波，这病毒大家熟悉吧？它是利用町NDOIS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口 入侵。 如何防范，就是封主以上端口，首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用（就 是打 勾）就已经禁止了 135 和 139 两个端口。 下边是禁止 4444 端口的图九 此主题相关如下图 5： 图 5 禁止 TCP4444 端口 下面是禁止 69 和 446 端口的图，图 6 为 69,图 7 为 446 此主题相关图片如下： 图 7 禁止 TCP445 端口 建立完后就保存，记得保存，很多人就是不记得保存。保存完后就可以防范冲击

8、波了，补丁都不用打，爽吧？ 2、防范冰河木马 冰河，熟悉了吧？也是比较狠的病毒哦，它使用的是 UDP 协议，默认端口为 7626,只要在防火墙里把它给封了, 看它还 能怎么样？具体见下图 8。 此主题相关图片如下： 图 8 禁止 UDP 端口 7626 如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置，其实设置都差不多，大家可以参照， 可以 大大防范病毒和木马的攻击！ 五、下面介绍怎么打开 WEB 和 FIP 服务 相信不少朋友都使用了 FTP 服务器软件和 WEB 服务器，放火墙不仅限制本机访问外部的服务器，也限制外部计算 机访 问本机。 所以我们为了 VEB 和 FTP 服

9、务器能正常使用就得设置防火墙，首先在图八把“禁止所有人连接”前的勾去掉。 以下是 WEB 和 FTP 的 IP 规则供大家参考上图 9 为 WEB,下图 10 为 FTP。此主题相关图片如下: 六、常见日志的分析（仅供 X） 使用防火墙关键是会看日志，看懂日志对分析问题是非常关键的，大家看下图，就是日志记录，上面记录了不符 合规 则的数据包被拦截的情况，通过分析日志就能知道自己受到什么攻击。下面我们就来说说日志代表的意思。此主 题相关图 片如下： 看上图，一殷日志分为三行，第一行反映了数据包的发送、接受时间、发送者 IP 地址、对方通讯端口、数据包 类型、 木机通讯端口等等情况：第二行为 TO

10、数据包的标志位，共有六位标志位，分别是： URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母，他们的简单含义如下： A（X：确认标志 提示远端系统已经成功接收所有数据 SYN：同步标志 该标志仅在建立 TCP 连接时有效，它提示 TCP 连接的服务端检查序列编号 FIN：结束标志 带有该标志位的数据包用来结束一个 TO会话，但对应端口还处于开放状态，准备接收后续数据。 RST：复位标志，具体作用未知 其他不知道了，呵呵 第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会 显示 为“继续下一规则”。 下面举些常见典型例子

11、来讲讲： 记录 1： 22： 30： 56 202、121、0、112 尝试用 PING 来探测本机 TCP 标志：S 该操作被拒绝 该记录显示了在 22： 30： 56 时，从 IP 地址 202、121、0、112 向你的电脑发出 PING 命令来探测主机信息，但 被拒 绝了。 人们用 PING 命令来确定一个合法 IP 是否存在，当别人用 PING 命令来探测你的机器时，如果你的电脑安装了 TCP/IP 协议，就回返回一个回音 ICMP 包，如果你在防火墙规则里设置了 “防止别人用 PING 命令探测主机”如图八里 设置，你的 电脑就不会返回给对方这种 ICMP 包，这样别人就无法用 P

12、ING 命令探测你的电脑，也就以为没你电脑的存 在。如果偶尔一两 条就没什么大惊小怪的，但如果在日志里显示有 N 个来自同一 IP 地址的记录，那就有鬼了，很有 可能是别人用黑客工具 探测你主机信息，他想干什么？谁知道？肯定是不怀好意的。 记录 2： 5： 29： 11 61、114、155、11 试图连接本机的 http80端口 TCP 标志：S 该操作被拒绝 木机的 http80端口是 HTTP 协议的端口，主要用来进行 HTTP 协议数据交换.比如网页浏览，提供 WEB 服务。 对于服 务器，该记录表示有人通过此端口访问服务器的网页，而对于个人用户一般没这项服务，如果个人用户在日志 里见

13、到大量 来自不同 IP 和端口号的此类记录，而 TCP 标志都为，（即连接请求）的话，完了，你可能是受到 SYN 洪水 攻击了。还有就 是如“红色代码”类的病毒，主要是攻击服务器，也会出现上面的情况。 记录 3： 5： 49： 55 31、14、78、110 试图连接本机的木马冰河7626端口 TCP 标志：S 该操作被拒绝 这就是个害怕的记录啦，假如你没有中木马，也就没有打开 7626 端口，当然没什么事。而木马如果已植入你的 机子， 你已中了冰河，木马程序自动打开 7626 端口，迎接远方黑客的到来并控制你的机子，这时你就完了，但你装 了防火墙以后， 即使你中了木马，该操作也被禁止，黑客拿

14、你也没办法.但这是常见的木马，防火墙会给出相应的木 马名称，而对于不常见 的木马，天网只会给出连接端口号，这时就得*你的经验和资料来分析该端口的是和哪种木马 程序相关联，从而判断对方的 企图，并采取相短措施，封了那个端口。 记录 4： 6： 12： 33接收到 228、121、22、55 的 IGMP 数据包 该包被拦截 这是日志中最常见的，也是最普遍的攻击形式。IGMP (Internet Group Management Protocol)是用于组播的一 种协议， 实际上是对 Windows 的用户是没什么用途的，但由于 Windows 中存在 IGMP 漏洞，当向安装有 Windows

15、9X 操 作系统的机子发 送长度和数量较大的 IGVP 数据包时，会导致系统 TCP/IP 栈崩溃，系统直接蓝屏或死机，这就是所谓 的 IGMP 攻击。在标志 中表现为大量来自同一 IP 的 IGMP 数据包。一般在自定义 IP 规则里已经设定了该规蚓，只要选 中就可以了。 记录 5： 6： 14： 20 192、168、0、110 的 1294 端口停止对本机发送数据包 TCP 标志：F A 继续下一规则 6： 14： 20本机应答 192、168、0、110 的 1294 端口 TCP 标志：A 继续下一规则从上面两条规则看就知道发送数据包的机子是局域网里的机子，而且本机也做出了应答，因此

16、说明 此条 数据的传输是符合规则的。为何有此记录，那是你在图八里防火墙规则中选了 “TCP 数据包监视”，这样通过 TCP 传输的数 据包都会被记录下来，所以大家没要以为有新的记录就是人家在攻击你，上面的日志是正常的，别怕！阿呵! 防火墙的日志内容远不只上面凡种.如果你碰到一些不正常的连接，自己手头资料和网上资料就是你寻找问题的 法宝， 或上防火墙主页上看看，这有助于你改进防火堵规则的设置，使你上网更安仝。 七、在线升级功能 现在天网不断推出新的规则库，作为正式版用户当然可以享受这免费升级的待遇，只要在天网界面点击一下在线 升级， 不到 2 分钟就可以完成整个升级过程，即快捷又方便。此主题相关

17、如图 12： 图 12 在线升级 点击后出现一个在线升级网络设置的提示框，如果你没有使用代理上网的就不用设置，直接下一步安装规则包, 这样 就完成升级了。此主题相关如图 13： 图 13 在线升级设置 3 升级后防火墙的 fl 定义规则就会多了很多条防御木马的规则，这下可好了不用 fl 己乱设置，只要使用 fl 定义级别 就 可以了。不过选用 h 定义后，记得要把自定义里的 IP 规则选勾保存规姻，这样日志才会有记录的。 八、忌绪 给大家说了也不知道大家能不能看懂，其实防火墙的作用就是隐藏自己真实 IP 的同时，监控各个端口，并给出 日志， 让大家分析并找出相应的对策，灵活应用防火墙能给自己机子带来比较高的安金性。当然有些病毒木马是诱导 用户主动访 问而感染的，就要靠自己提高安全意识来防范了。总之，互联网大了，用的人多了，什么样的人都有，所 以给 fl 己机子上 装个防火墙是必不可少的基本防御！ 五、实训思考葛 1、 什么是防火墙？其有什么作用？ 2、 防火瑞有哪些类型？ 3、 学习设置其它软件防火墙的设置（如瑞星防火墙）。