1、计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬网络防火墙的使用网络防火墙的使用通过风云防火墙简单介绍规则型防火墙的使用计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬风云防火墙简介风云防火墙简介 风云防火墙是目前国内刚刚兴起的一个个人软件网络防火墙。相对于其他防火墙,它的体积小巧,占用资源低,使用简单,但同时又具有高级的设置功能。该防火墙的两大特点是规则型防火墙和ARP保护,其中ARP保护在软防火墙中属于创新功能。由于风云防火墙有注册版(收费的版本,服务好,功能强)和未注册版(免费,升级功能受一些限制)之分,所以这里
2、就以未注册版为例给大家介绍,注册版的界面和操作基本都一样。安装完后不要重起,直接打开风云防火墙就能起到作用了。默认情况下,它的作用就很强大了。但有时它苛刻的IP规则也带来了很多不便,后面再说。所以,如果没什么特殊要求的,就设置为默认就OK了。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬一、普通应用(默认情况)一、普通应用(默认情况)计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n下面来介绍风云的一些简单设置,如下图一是系统设置界面,其中升级设置选项卡中可以输入正版注册号,大家可以参照来设置:计算机基础讲义河南财经
3、学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n下面是IP端口过滤规则设置,一般默认就可以了。如果你想新建新的IP规则也是可以的,后面再具体介绍,这里是默认情况就不多说了。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n下面是所有网络连接,可以查看什么程序使用了协议和端口,使用哪个协议和端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n以上是风云在默认下的一些情况,只要
4、你没什么特殊要求,如开放某些端口或 屏蔽某些端口,或某些IP操作等等,默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法,大家可以依次类推,完成你想要的相关操作。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬二、防火墙开放端口应用二、防火墙开放端口应用 计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n如果想开放端口就得新建新的IP规则,所以在说开放端口前,我们来说说怎么新建一个新的IP规则,如下图,在IP端口过滤规则里进行新规则设置。红框所圈起来的三个按钮
5、从左至右依次是增加规则,删除规则,保存规则。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n点击增加规则后就会出现以下图所示界面,我们把它分成四部分计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n1 是新建IP规则的名称,你可以取有代表性的名字,如“打开BT6881-6889端口”,说明详细点也可以。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n2 数据包方向的下拉菜单选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。协议类型下拉菜单种可选择要设定的协议,分为AL
6、L,TCP,UDP,ICMP,IGMP。这里有一个BUG,协议类型中默认的选项是TCP,如果你打算设定TCP端口,请先选择任意一个其它协议,如UDP,再选择TCP,此时才会出现端口设置。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n3 对方IP,既可以填入一个网断,也可以填入一个主机,如果要填入一个主机,将从和到栏中填入同一个IP即可。如果将从和到栏中均填入0.0.0.0,则表示任意IP地址。本地端口既可以填入一个端口范围,也可以填入一个单一端口,规则和对方IP的填入方法一样。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教
7、师:魏 彬n4 比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要日志记录或语音发声,就看你自己想怎么样了,具体看后面的实例。如果设置好了IP规则就单击确定后保存,这就完成了新的IP规则的建立,并立即发挥作用。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬三、打开端口实例三、打开端口实例 计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n在介绍完新IP规则是怎么建立后,下面开始举例说明,毕竟例子是最好的说明。大家也许都知道默认BT使用的端口为68816889端口这九个端
8、口,而防火墙的默认设置是不允许访问这些端口的,它只允许BT软件访问网络,所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了,但机器就不安全了。所以下面以打开68816889端口举个实例。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n点击增加规则后建立一个新的IP规则后在出现的下面图里设置,由于BT使用的是TCP协议,所以就按下图设置就OK了,点击确定完成新规则的建立,命名为BT。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n设置新规则后,按上移按钮,把规则上移到规则组的顶部,并保存。然后可以
9、进行在线端口测试是否BT的连接端口已经开放的。最后一定记住要按保存规则按钮进行保存!计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬四、应用自定义规则防止常见病毒四、应用自定义规则防止常见病毒计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n 1、防范冲击波 冲击波病毒是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵的。如何防范,就是封住以上端口,首先在默认的IP规则包里有一项是“禁止互联网上的机器使用我的共享资源”这项的启用(就是打勾)就已经禁止了135和139两个端口
10、。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n 禁止4444端口计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n 禁止69端口计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n 禁止445端口 计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n建立完后就保存,记得保存,很多人就是不记得保存。保存完后就可以防范冲击波了,补丁都不用打。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n 2、防范冰河木马
11、 我们上节课讲的冰河木马大家还记得吧?是比较有名的病毒,它使用的是UDP协议,默认端口为7626,只要在防火墙里把它给封了,它就无法和外界通讯了。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n 大家可以上网查找一些常见病毒和木马的攻击特性及其使用的端口,然后可以参照上面的方法设置,设置方法都差不多,大家可以参照以上步骤,可以大大防范病毒和木马的攻击!计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬五、打开五、打开WEB和和FTP服
12、务服务 计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n可能有同学使用了FTP服务器软件和WEB服务器,建立自己的WWW和FTP服务器,放火墙不仅限制本机访问外部的服务器,也限制外部计算机访问本机。所以我们为了WEB和FTP服务器能正常使用就得设置防火墙,首先在图九把“禁止所有人连接低端端口”前的勾去掉。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n 开放WEB服务计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n 开放FTP服务计算机基础讲义河南财经学院现代教育技术中心河南
13、财经学院现代教育技术中心主讲教师:魏 彬六、常见日志的分析六、常见日志的分析 计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n使用防火墙关键是会看日志,看懂日志对分析问题是非常关键的,大家看下图,就是日志记录,上面记录了不符合规则的数据包被拦截的情况,通过分析日志就能知道自己受到什么攻击。但对于分计算机专业的个人用户而言,仅需要简单的明白日志的作用即可,详细的日志分析方法大家不必学习。下面通过几个实例简单说说日志代表的意思。n日志分为三列,第一列反映了数据包的发送、接受的时间;第二行为数据包使用的协议类型,对方的IP地址,本机的端口号;第三行是对数据包的
14、处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。下面举些常见典型例子来讲讲 。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n该记录显示了在22:30:56时,从IP地址202.121.0.112 向你的电脑发出PING命令来探测主机信息,但被拒绝了。人们用PING命令来确定一个合法IP是否存在,当别人用PING命令来探测你的机器时,如果你的电脑安装了TCP/IP协议,就回返回一个回音ICMP包,如果你在防火墙规则里启用了“阻止别人用PING命令探测”设置,你的电脑就不会返回给对方这种ICMP包,这
15、样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的,但如果在日志里显示有N个来自同一IP地址的记录,那很有可能是别人用黑客工具探测你主机信息。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n本机的TCP80端口是HTTP协议的端口,主要用来进行HTTP协议数据交换,比如网页浏览,提供WEB服务。对于服务器,该记录表示有人通过此端口访问服务器的网页,而对于个人用户一般没这项服务,如果个人用户在日志里见到大量来自不同IP的此类记录,你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒,主要是攻击服务器,也
16、会出现上面的情况。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n这是个木马攻击的记录,假如你没有中木马,也就没有打开7626端口,当然没什么事。而木马如果已植入你的机子,你已中了冰河,木马程序会自动打开7626端口,接受黑客控制你的主机,但你装了防火墙以后,即使你中了木马,该操作也被禁止,黑客拿你也没办法。防火墙会给出连接端口号,这时就得凭经验和资料来分析该端口是和哪种木马程序相关联,从而判断对方的企图,并采取相应措施,封了那个端口。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n这是日志中最常见的,也是最普遍的
17、攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n防火墙的日志内容远不只上面几种,如果你碰到一些不正
18、常的连接,自己手头资料和网上资料就是你寻找问题的法宝,或上防火墙主页上看看,这有助于你改进防火墙规则的设置,使你上网更安全。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬七、升级功能七、升级功能 计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬n现在风云不断推出新的规则库,作为注册版用户(非注册版不可以)当然可以享受这免费升级的待遇,只要在风云界面点击一下在线升级,很快就可以完成整个升级过程,即快捷又方便。n现在网上还有很多高手和安全论坛制作的规则包下载,这些规则保基本上可以涵盖所有安全内容,非注册版的用户可以看配套
19、的规则包说明然后选择一个适合自己的,当然注册版用户也可以使用。但不要重复安装规则包,否则可能会引起故障。n 升级后防火墙的自定义规则就会多了很多条防御木马的规则,大大提高了安全性。不过选用自定义后,记得要把自定义里的IP规则选勾保存规则,这样日志才会有记录的。计算机基础讲义河南财经学院现代教育技术中心河南财经学院现代教育技术中心主讲教师:魏 彬八、总结八、总结 其实防火墙的作用就是隐藏自己真实IP的同时,监控各个端口,并给出日志,让大家分析并找出相应的对策,灵活应用防火墙能给自己机子带来比较高的安全性。当然有些病毒木马是诱导用户主动访问而感染的,就要提自己提高安全意识来防范了。总之,互联网大了,用的人多了,什么样的人都有,所以给自己机子上装个防火墙是必不可少的基本防御!
