123   1  /  3  页   跳转

防火墙相关知识

防火墙相关知识

什么是防火墙?
    防火墙是使用一段"代码墙"把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。 在将来,防火墙会成为PC上的标准装备,这是毫无疑问的。但在今天,它需要在必要的地方安装――几乎是所有的地方。

▲防火墙是怎样工作的?

    所有的internet通信都是通过独立数据包的交换来完成的。每个包由源主机向目标主机传输。包是internet上信息传输的基本单位,虽然我们常说电脑之间的"连接",但这"连接"实际上是由被"连接"的两台电脑之间传送的独立数据包组成的。实质上,它们"同意"相互之间的"连接",并各自向发送者发出"应答包",让发送者知道数据被接收。

为了到达目的地――不论两台电脑是隔着两步远还是在不同的大洲上――每个internet数据包都必须包含一个目标地址和端口号,和源主机的IP地址及端口号,以便接收者知道是谁发出了这个包。也就是说,每一个在internet上传送的包,都必须含有源地址和目标地址。一个IP地址总是指向internet上的一台单独机器,而端口号则和机器上的某种服务或会话相关联。

那么,这意味着什么呢?
既然防火墙检查每个到达你的电脑的数据包,那么,在这个包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收internet上的任何东西。

当第一个请求建立连接的包被你的电脑回应后,一个TCP/IP端口被打开。如果到达的包不被受理,这个端口就会迅速地从internet上消失,谁也别想和它连上。

但防火墙的真正力量在于选择哪些包该拦截,哪些包该放行。既然每个到达的包都含有正确的发送者的IP地址(以便接收者发送回应包),那么,基于源主机IP地址及端口号和目标主机IP地址及端口号的一些组合,防火墙可以"过滤"掉一些到达的包。

例如,你正在运行web服务器,需要允许远程主机在80端口(http)和你的电脑连接,防火墙就可以检查每个到达的包,并只允许由80端口开始的连接。新的连接将会在所有的其他端口上被拒绝。即使你的电脑不小心被装入了"特洛依木马"程序,向外界打开了一个监听端口,禁止"特洛依木马"通行的扫描也可以检测到"特洛依木马"的存在,因为所有联络系统内"特洛依木马"程序的企图都被防火墙拦截了。

也许你想在internet上建立一条"安全隧道",以便你的家庭电脑和办公室电脑可以共享文件而不受外来的侵入。防火墙使这成为可能并相对简单。你可以在办公室电脑的防火墙上设定,只允许来自你家庭电脑的IP地址的连接,使用NetBios文件共享端口137-139;类似的,在家庭电脑的防火墙上可以设定,只允许来自你办公室电脑的IP地址的连接,使用137-139端口。这样,两台机器都可以看到对方的NetBios端口,而internet上的其它人都看不见这两台机器之间建立了一条"安全隧道"。

如果你想把自己的电脑连接到internet上的其它机器上呢?例如,当你在网上冲浪时,你会连接具有任何IP地址的web服务器。你不会因为想拦截某个企图入侵的家伙而把所有包都挡在外面吧?对于防火墙来说,这也是很容易的。既然internet连接的每一端都会回应另一端的数据,在网上传送的包都有一个"应答位",这一位是用来说明已经收到了前面的数据。这意味着,只有最初建立新连接的包不含应答信息。也就是说,防火墙可以很容易地区分开要求建立新连接的包和已有连接的后续包,使用已有连接的端口的数据包会被放行,而要求建立新连接的包会被拒绝。这样,防火墙可以放行外出请求连接的包,拦截外来的请求连接包。

有些高性能的防火墙还具有"应用程序级"的过滤和反应功能。绝大部分的防火墙都做到了上面所说的要求,而这的确提供了很大的保护。但它们不会尝试去理解它们所放行或拦截的包里面的数据,它们的放行和拦截都是建立在源IP地址和目标IP地址上。但一个"应用程序级"的防火墙会进入到对话实际发生的地方。例如,我们知道Microsoft文件和打印机共享的一个大问题是对密码缺乏保护,骇客可以不断重试,直到破译为止。但一个智能型的"应用程序级"防火墙可以显示139端口(保护密码的地方)正发生什么,并进而完全拦截住那台远程主机。它可以自动将其源地址加入"黑名单",以制止这位外来者现在和将来的任何访问。

下面,介绍一下天网防火墙个人版是如何保护你的电脑的:


天网防火墙个人版是一套给个人电脑使用的网络安全程序,它帮你抵挡网络入侵和攻击,防止信息泄露。

天网防火墙个人版把网络分为本地网和互联网,可以针对来自不同网络的信息,来设置不同的安全方案,以下所述的问题都是针对互联网而言的,故所有的设置都是在互联网安全级别中完成的。 怎样防止信息泄露? 如果把文件共享向互联网开放,而且又不设定密码,那么别人就可以轻松的通过互联网看到您机器中的文件,如果您还允许共享可写,那别人甚至可以删除文件。 你可以在个人防火墙的互联网安全级别设置中,将NETBIOS 关闭,这样别人就不能通过INTERNET访问你的共享资源了。(这种设置不会影响你在局域网中的资源共享)。

▲怎样防止信息泄露?

    当您每次拨号上网之后,网络就会分配一个地址给你,我们简称它为IP。人们用可以用ping命令来确定一个合法的IP是否存在。如果一个不怀好意的人探测出您的IP之后,可能就不是一件好事了。

你可以在互联网的安全级别设置中,将ICMP关闭,这样,别人用PING的方法就无法确定你的IP是否存在了。ICMP关闭后,不会影响你用ping命令去探测别人,除非对方也安装了防火墙,并且也关闭了ICMP。

▲怎样防止蓝屏攻击?

    蓝屏攻击的受害者指的是Microsoft的操作系统如WINDOWS95/98,因为WINDOWS系列的操作系统在崩溃的时候,通常是显示一个蓝色的屏幕,上面写着一些复杂的符号和数字。蓝屏攻击实际上是利用WINDOWS操作系统的内核缺陷,或采用大量的非法格式数据包发向被攻击的机器,使WINDOWS操作系统的网络层受到破坏,而引起蓝屏当机。目前比较常见的攻击方式有:

NETBIOS攻击: 向有WINDOWS9x操作系统的机器的139号端口发送一个数据格式非法的数据包。典型的攻击工具有WINNUK。
IGMP攻击: 向有WINDOWS9x操作系统的机器发送长度和数量都较大的IGMP数据包。典型的攻击工具有DOOM。
ICMP攻击: 向有WINDOWS9x操作系统的机器发送数量较大,且类型随机变化的ICMP包。

▲对付上面几种攻击的方法是:
在互联网的安全级别设置中,将NETBIOS,IGMP,ICMP关闭,关闭这些协议不会影响你使用INTERNET。



▲怎样防止别人确定你IP?

如果把文件共享向互联网开放,而且又不设定密码,那么别人就可以轻松的通过互联网看到您机器中的文件,如果您还允许共享可写,那别人甚至可以删除文件。 你可以在个人防火墙的互联网安全级别设置中,将NETBIOS 关闭,这样别人就不能通过INTERNET访问你的共享资源了。(这种设置不会影响你在局域网中的资源共享)。

▲怎样防止别人用冰河等特洛依木马软件来控制你的机器?

    冰河是一种特洛依木马程序,如果你不小心运行过冰河的服务器端的程序,而且你的IP又给别人知道,那就麻烦了,别人可以用冰河的客户端软件,通过INTERNET控制你机器上的所有资源。

有两种设置可防止这种情况的出现:
由于冰河的客户端软件在联系主机前,会用ICMP协议探测你的IP是否存在(即类似Ping命令的一种方式),如果探测不到,就会停止下一步的操作。故你只要把ICMP关闭,冰河的客户端软件就会以为服务程序所在的机器不存在而停止连接。

另一种方式是将TCP监听关闭。由于客户端软件会主动尝试与服务端程序连接,将TCP监听关闭后,服务端程序就不会响应客户端软件的控制。

TCP监听关闭后,还可以防止端口扫描程序的扫描。
由于对于普通用户来说,在互联网上只是用于WWW浏览,或使用ICQ等软件,关闭TCP监听不会影响用户的操作。

▲怎样看待安全记录?

    需要指出的是:防火墙拦截的信息并不完全是攻击信息,它记录的只是你在安全设置中所拒绝接收的数据包。在某些情况下,你可能会收到一些正常但又被拦截的数据包,如某些路由器会定时发出一些IGMP包,等等;或有些主机会定时PING你的机器,如果你将ICMP和IGMP关闭后,就会在安全记录中见到这些被拦截的数据包。当你见到这些记录时,请不用惊慌,因为就算这些记录中包含了攻击信息,它们已经被拦截了,不会对你的机器造成什么影响。
最后编辑2005-12-14 18:51:54
分享到:
gototop
 

太好了!
gototop
 

好贴子啊!!!
gototop
 

ding
gototop
 

谢谢你
gototop
 

请教一个问题:为什么说网络上会有主机定时ping地址可能是正常现象?
gototop
 

写的好啊!!!~~~~~~顶
gototop
 

今天才看到,不错,顶一下
gototop
 

好贴
gototop
 

【回复“435408”的帖子】
能否定期出一些有关防火墙方面的基础知识?我觉得有必要了解这方面得基础知识,就像我在使用ZoneAlarm时,虽然知道它的功能很强大,但对于里面的很多东西根本就时一头雾水,像每次当它出现一些访问之类的提示框让我选择,究竟哪些该让它通行,哪些该禁止,心里完全没底。根本不了解哪些是安全的,假如遇到中了木马程序后,出现一个提示框让我选,可能再自己按下通行时都还不知那是反常的程序。痛苦啊
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT