减少XP系统漏洞和封堵方法及iptables配置.doc

减少XP系统漏洞和封堵方法及iptables配置我们现在家里面都用的是XP系统，那么我们平时该怎么减少我们电脑的漏洞和封堵方法，我们电脑万一出现了漏洞，那么也是相当的严重的情况，只有注意好我们该怎么解决这些问题，才能让我们电脑处于安全的状态之下为我们更好的工作。1、切换功能漏洞WindowsXP快速用户切换功能存在漏洞，当你单击“开始”/注销/“切换用户”启动快速用户切换功能，在传统登陆方法下重试登录一个用户名时，系统会误认为有暴力猜解攻击，因而会锁定全部非管理员账号。解决办法：单击控制面板/用户帐户/更改用户登录或注销的方式，取消“使用快速用户切换”，以便禁用用户快速切换功能。2、不可靠的即插即用UPnP亦称通用即插即用软件(全称UniversalPlugandPlay)，微软这个软件是基于互联网协议的，它允许不同的设备如电脑、扫描仪、打印机联成网络，可以在彼此之间自动识别，并进行通信，这样用户不需要再挨个地为每个外设来配置计算机了，安坐家中可以开视频会议，打联网的视频游戏了，而且XP操作系统在发售时就已经激活了UPnP功能，给用户带来极大的方便。然而，事实上并没有完美的，UPnP也存在安全漏洞。黑客可以利用该软件上的漏洞控制同一网络上的电脑，或者发动_blankDOS攻击。当然更为严重的是，来自同一网络的其它用户甚至不需要知道该计算机的IP地址，就可以对其发对攻击。具体来讲，UPnP服务可以导致以下两个安全漏洞：3、缓冲溢出问题UPNP协议存在安全漏洞问题，最早是由eEye数字安全公司发现并通知微软的。其中的UPnP存在缓冲区溢出问题，也是Windows中有史以来最严重的缓冲溢出漏洞，当处理NOTIFY命令中的Location字段时，如果IP地址、端口和文件名部分超长，就会发生缓冲区溢出，由此会造成服务器程序的一些进程，其内存空间的内容被覆盖。由于UPnP服务运行在系统的上下文，攻击者如果利用漏洞成功，可以完全控制主机。更为严重的是SSDP服务器程序同样也监听广播和多播接口，所以攻击者可以同时攻击多个机器而不需要知道单个主机的IP地址。解决方法：由于WindowsXP打开了UPnP(通用即插即用)功能，因此所有WinXP用户都应该立即安装该补丁；而WinME的用户，只有在运行了UPnP的情况下才需要该补丁，因为WindowsME的UPnP功能在安装时是关闭的；至于Win98，由于其中并没有UPnP，只有当用户自己安装了UPnP的情况下，才需要使用该补丁。下载并安装补丁：我们通过以上的方法可以快速的把我们电脑的XP系统的漏洞给封堵掉，然后快速度的让我们电脑重新的安全起来，这是相当重要的，如果我们平时没有注重系统漏洞，那么很有可能黑客会侵袭你的电脑导致电脑完全的瘫痪。对于Internet上的系统，不管是什么情况都要明确一点：网络是不安全的。因此，虽然创建一个防火墙并不能保证系统100安全，但却是绝对必要的。 Linux提供了一个非常优秀的防火墙工具netfilter/iptables。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控 制，且可以在一台低配置机器上很好地运行。本文将简单介绍使用netfilter/iptables实现防火墙架设和Internet连接共享等应用。netfilter/iptabels应用程序，被认为是 Linux中实现包过滤功能的第四代应用程序。netfilter/iptables包含在2.4以后的内核中，它可以实现防火墙、NAT（网络地址翻 译）和数据包的分割等功能。netfilter工作在内核内部，而iptables则是让用户定义规则集的表结构。netfilter/iptables 从ipchains和ipwadfm（IP防火墙管理）演化而来，功能更加强大。下文将netfilter/iptabels统一称为iptables。可以用iptables为Unix、Linux和BSD个人工作 站创建一个防火墙，也可以为一个子网创建防火墙以保护其它的系统平台。iptales只读取数据包头，不会给信息流增加负担，也无需进行验证。要想获得更 好的安全性，可以将其和一个代理服务器（比如squid）相结合。基本概念典型的防火墙设置有两个网卡：一个流入，一个流出。iptables读取流入和流出数据包的报头，将它们与规则集（Ruleset）相比较，将可接受的数据包从一个网卡转发至另一个网卡，对被拒绝的数据包，可以丢弃或按照所定义的方式来处理。通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令，规则控制信息包的过滤。通过使用iptables系统 提供的特殊命令iptables建立这些规则，并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令，一般语法如下：iptables -t table command match target1表（table）-t table选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三个可用的表选项：filter、nat和mangle。该选项不是必需的，如果未指定，则filter作为缺省表。各表实现的功能如表1所示。表1 三种表实现的功能 2命令（command）command部分是iptables命令最重要的部分。它告诉iptables命令要做什么，例如插入规则、将规则添加到链的末尾或删除规则。表2是最常用的一些命令及例子。表2 命令的功能和样例 3匹配（match）iptables命令的可选match部分指定信息包与规则匹配所应具