防火墙安全规则设置.doc

低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁止互联网上的机器访问这些服务。 中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。 高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。 扩：天网为用户制定了一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级，为您提供最安全的服务！ 用户可以根据自己的需要调整自己的安全级别，方便实用。 注意：天网的简易安全级别是为了方便不熟悉天网使用的用户能够很好的使用天网而设的。正因为如此，如果用户选择了采用简易的安全级别设置，那么天网就会屏蔽掉高级的IP规则设定里规则的作用。 如果你点了高级后又去点IP规则，天网会自动帮IP规则改为默认 135,445端口介绍 135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的Snork攻击！ 对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但任需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。 ！为了保护你的信息安全，强烈建议你安装微软的最新windows补丁包。！ 2、如何理解并关闭139端口（NetBIOS提供服务的tcp端口） Netbios（NETworkBasicInput/OutputSystem）网络基本输入输出系统。是1983年IBM开发的一套网络标准，微软在这基础上继续开发。微软的客户机服务器网络系统都是基于NetBIOS的。在利用WindowsNT4.0构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此，我们很有必要堵上这个可怕的漏洞。 。 445端口 也是一种TCP端口，该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务。同样地，攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。445端口对普通用户是没用的，推荐关闭 IGMP数据包：IGMP对于Windows普通用户没什么用途，但由于Win9X操作系统的内核缺陷，其自身存在一个IGMP漏洞，有人会利用这个漏洞向指定主机发送大量的IGMP数据包，使Windows 操作系统的网络层受到破坏，导致死机，这在防火墙日志中会有记载 若是你局域网内的IP地址，每当你网内的机器要连接局域网时都会向外发送数据包，以搜索网内的其他机器，在机器装有TCP/IP的情况下，会返回一个回应的数据包，天网把这些不规则的数据包拦截下来了。简单来说就是，你打开电脑，然后你的电脑会自动寻找局域网内的其他电脑，并发送数据包，其他网内的电脑回应时也会发回一个数据包；同样的道理，别的电脑开机时，也会那样，你的电脑是在这个局域网内的，当然会收到这些数据包。 137，138，139的关闭方法 控制面扳网络连接右键本地连接属性把网络文件和打影机共享前面的勾去掉就OK了 但是本地墩口还是会监听对方的共享的，属于正常范围 对于有些设置了自动启动,但是系统进程里面还是没有进程的解决办法。就是没有图标 用 Administrators 这个帐户登陆系统,然后就可以用了,这个帐户可以改名的.具体方法是 控制面板-管理工具-计算机管理-本地用户和组-用户-右键Administrators,重新命名,随便改,记住，重新登陆时,这个改过的才是登陆号哈,(只有你系统进程里没有的时候推荐这个方法) 其2,QQ自动运行,也是导致天网无法自动运行的原因,关闭方法:开始菜单-程序-启动,把里面的QQ删除就好了,或者改注册表,这里就不详细说了,(有时间再填加上来) 或者中毒，一般情况下有些木马会自动关闭防火墙，包扣WIN墙 对日志的解释，就拿我的来解释吧，我是局域网上的 17:12:41 尝试用Ping 来探测本机， 该操作被拒绝。 17:12:49 接收到 51 的 IGMP 数据包， 该包被拦截。 17:13:01 8试图连接本机的CIFS445端口， TCP标志：S， 该操作被拒绝。 17:19:42 94试图连接本机的CIFS445端口， TCP标志：S， 该操作被拒绝。 17:18:41 50试图连接本机的135端口， TCP标志：S， 该操作被拒绝。 21:34:29 *.*.*.*试图连接本机的NetBios-SSN139端口， TCP标志：S， 该操作被拒绝。 就这么多吧，其他的解释是一样的， 这段日志中，是以开默认规则的，上面的操作是被拒绝的，所以它没连接到你端口，你是安全的，IGMP是局域网中，主机散布的广播，一般98系统是不需要这个的，多了98会死机，所以天网帮你拦截了 关于access violation at address 00413082 in moduleb pfw.exe write at address 0000033c的问题 如果安装重起后出现这个问题，请卸载。重起，安装，重起，最好卸载后把文件夹删除，实在不行就在安全模式下用内置帐户安装 有人不断试图连接我的电脑,我该怎么办啊 只要你连接到网络上，就会有人连接你，就跟上面日志一样，不会有问题，除非你防火墙显示的是通过，那么要么你允许了，要么你的防火墙设置有错误，请设置成中或高，新手不推荐使用自定义 防火墙日志简明而又全面。防火墙日志一向是天书：TCP、UDP，再加上TCP SYN明白的看得简直头晕，不明白的看起来心慌。其实日志是防火墙很重要的功能，但很多人却不重视，也未仔细研究过日志内容。日志记录看似枯燥的数据，其实提供了大量宝贵的第一手资料，帮助我们更好地管理和维护网络。 因此我来说明常见的天网防火墙日志，都表示些什么。点击天网主界面右上方的“日志”按钮，会看到如下信息： 一般日志分为三行： 第一行： 反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况； 第二行： 为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等 ，其中标志位ACK、SYN和FIN比较常用，简单含义如下： ACK：确认标志 提示远端系统已经成功接收所有数据 SYN：同步标志 该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号 FIN：结束标志 带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。 RST：复位标志，具体作用未知 第三行： 对数据包的处理方法： 对于不符合规则的数据包会拦截或拒绝，显示为：“该操作被拒绝”，意思是，此操作被天网防火墙拦截了！也就是对方根本不知道你的存在！ 对符合规则的但被设为监视的数据包会显示为“继续下一规则”。 10:41:30 接收到3的IGMP数据包， 该包被拦截。 这条日志出现的频率很高。IGMP的全称是internet组管理协议，它是IP协议的扩展，主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击，不过黑客可以通过编写攻击程序，利用windows本身的BUG，采用特殊格式数据包向目标电脑发动攻击，使被攻击电脑的操作系统蓝屏、死机。蓝屏炸弹一般用的就是IGMP协议。 一般形成IGMP攻击时，会在日志中显示为大量来自于同一IP地址的IGMP数据包。 不过，有时收到这样的提示信息也并不一定是黑客或病毒在攻击，在局域网中也会常收到来自网关的类似数据包；再有一些有视频广播服务的机器也会对用户发送这样的数据包，因此不用过于惊慌。 7:11:04 接收到 36 的 UDP 数据包， 本机端口: 47624 ， 对方端口: 40627 该包被拦截。 没有什么好担心的，这是有人在用扫的软件在扫地址而正好扫到你的地址段,此类软件对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方的IP，如果实在太烦，你可以把你的那个端口关掉。 9:04:18 3试图连接本机的Http【80】端口， TCP标志：S， 该操作被拒绝。 如果你安装了IIS来建立自己的个人网站，开放了WEB服务，即会开放80端口。因此黑客扫描判断你是否开放了WEB服务，寻找相应的漏洞来进行入侵。一般我们所遇到的大都是别人的扫描行为，不需要过于担心了。 如果经常收到来自外部IP高端口（大于1024）发起的类似TCP的连接请求，你得小心对方电脑是否中了“红色代码”，并试图攻击你（也有可能是人为使用软件攻击）。由于此病毒只传染装有IIS服务的系统，所以普通用户不需担心。 若发现本机试图访问其他主机的80端口，则应检查自己系统中是否有此病毒了。 9:04:18 3试图连接本机的FTP Open Server【21】端口， TCP标志：S， 该操作被拒绝。 21端口是FTP服务所开放的端口，导致这条记录出现的大部分原因是一些网虫在使用ftp搜索软件看哪些电脑开放了FTP，以寻求软件、电影的下载。 8:39:42 23 尝试用Ping 来探测本机， 该操作被拒绝。 对于这条日志的理解应该不困难。我们知道PING命令可以用来测试两台电脑之间是否可以进行通讯，黑客在攻击前首先要确定目标是否连接了网络。但安装防火墙之后，即使电脑连接了网络，黑客PING的结果也会显示数据包无法到达，这样就会起到迷惑黑客的作用。出现这条日志说明可能有人用PING命令发送数据包来探测你是否开机并连在网络上，不必担心，防火墙已拦截了数据包。 14:00:24 46 尝试用Ping来探测本机， 该操作被拒绝。 14:01:09 2 尝试用Ping来探测本机， 该操作被拒绝。 14:01:20 01 尝试用Ping 来探测本机， 该操作被拒绝。 特征：多台不同IP的计算机试图利用Ping的方式来探测本机。 日志中所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞，一旦发现，即把病毒传播到这些机器上。 在排除了人为进行的ping之外，要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此，对于本机来讲，刻不容缓的事情就是要安装微软的“冲击波”补丁。 14:01:28 9试图连接本机的【135】端口， TCP标志：S， 该操作被拒绝。 同上，是利用RPC服务漏洞的冲击波类的蠕虫病毒，该病毒主要攻击手段就是扫描计算机的135端口进行攻击。更新微软的补丁还是必要的。 11:58:08 8试图连接本机的NetBios-SSN【139】端口， TCP标志：S， 该操作被拒绝。 特征：某一IP连续多次连接本机的NetBios-SSN139端口，表现为时间间隔短，连接频繁。 日志中所列IP的计算机可能感染了“尼姆达病毒”。感染“尼姆达”的计算机有个特点，会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，达到病毒传播目的。 139端口是NetBIOS协议所使用的端口，在安装TCP/IP 协议的同时，NetBIOS也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切! 尽管在天网防火墙的监控下，此隐患没有被利用。但不能无动于衷，应把这漏洞补上。对于连接到互联网上的机器，NetBIOS完全没用，可将它去掉。 10:42:27 6试图连接本机的CIFS【445】端口， TCP标志：S， 该操作被拒绝。 445端口，一个既让人爱，又招人恨的端口，有了它，网民们可以在局域网中轻松访问各种共享文件夹或共享打印机，但正因为有了它，Internet上的“恶人”们才有了“可乘之机”，他们能躲在Internet上的“阴暗角落”里，偷偷共享你的硬盘，甚至会在悄无声息中，将你的硬盘格式化掉！ SMB： Windows协议族，用于文件和打印共享服务。 NBT： 使用137(UDP), 138(UDP) and 139 (TCP）来实现基于TCP/IP的NETBIOS网际互联。 在Windows NT中SMB基于NBT实现。 而在WinXP中，SMB除了基于NBT的实现，还有直接通过445端口实现。 当WinXP（允许NBT)作为client来连接SMB服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，以455端口通讯来继续.当445端口无响应时，才使用139端口。 5:49:55 10 试图连接本机的木马冰河【7626】端口 TCP标志：S 该操作被拒绝 这条记录就要注意一下啦，假如你没有中木马，也就没有打开7626端口，当然没什么事。而木马如果已植入你的机子，你已中了冰河，木马程序自动打开7626端口，迎接远方黑客的到来并控制你的机子，这时你就完了，但你装了防火墙以后，即使你中了木马，该操作也被禁止，黑客拿你也没办法。但这是常见的木马，防火墙会给出相应的木马名称，而对于不常见的木马，天网只会给出连接端口号，这时就得*你的