实验七 防火墙软件及网络入侵检测系统的使用.doc

实验：防火墙软件及网络入侵检测系统的使用实验目的Sygate Personal Firewall个人防火墙能对网络、信息内容、应用程序、以及操作系统提供多层面全方位保护，可以有效地防止黑客、木马和其它未知网络威胁的入侵。本实验的目的是了解Sygate Personal Firewall防火墙的基本功能，学会使用Sygate Personal Firewall防火墙进行实时安全检测。实验环境一台接入Internet的计算机，计算机上安装Sygate Personal Firewall个人防火墙。实验内容熟悉Sygate Personal Firewall个人防火墙的配置方法。1安装并启动Sygate Personal Firewall，可以看到如图8.9所示不断滚动的、以曲线图方式显示的实时网络状态，左边部分为网络进出的流量及总量，右边为受到攻击的历史图表。下面显示的是系统中运行的程序，具体信息包括协议、监听状态、本机和远程的端口以及IP地址等。去掉“Hide WINDOWS Services”选项前的勾，还可以查看到所有的服务。单击下方的“Show Message Console”按钮可以显示软件的操作记录。图8.92单击工具栏上的“Applications”按钮，列表中显示的是访问过网络的所有程序名称、路径以及规则设置，每点击一次最左边的图标，将在允许、禁止和询问间进行切换。如图8.10所示。选择一个程序点击下面的“Advanced高级”按钮，可以进行更详细的设置。例如规定它所使用的协议、端口以及IP地址段，如图8.11所示。图8.10图8.113限制网络邻居通信，在“Tools/Options/Network Neighborhood”的“Network Neighborhood Settings”中去掉所有的”“，可以设置禁止本机别人浏览和共享你的文件和打印机。然后再到“常规”标签下勾选“在屏保模式时禁止网络邻居通讯”和“通知前发出声音提示”两项，以便在你离开时不会受到攻击。还可以设置安全密码，防止别人篡改设置。如图8.12、8.13所示。图8.12图8.134单击 “Tools/Options/Security”，还可以进行更多安全设置，可以选择开启入侵监测和端口扫描检测，并打开驱动程序级保护、NETBIOS保护，当受到攻击例如特洛伊木马恶意下载、拒绝服务(DoS)攻击等，防火墙能够自动切断与对方主机的连接，还可开启隐身模式浏览、反IP欺骗、反MAC欺骗等选项，以防止黑客获得计算机信息，如图8.14所示。图8.145安全测试，Sygate Personal Firewall Pro还提供了在线安全测试功能，点击工具栏上的“Test your Firewall”按钮，可以进行在线安全测试，如图8.15所示。图8.156定义规则，选择“Tools/Advanced Rules/Add“可以进行访问控制规则的定义。如图8.16、8.17所示。图8.16图8.177查看日志记录，单击工具栏上的“Logs”按钮，可以查看Security、Traffic、Packet和System四种日志记录。如图8.18、8.19所示。l Security Log：记录计算机所受到的潜在的威胁活动，如端口扫描、拒绝服务攻击、特洛伊木马攻击等。l Traffic Log：记录计算机和网络建立的任意连接。l Packet Log：捕获进出计算机的所有数据包。l System Log：记录计算机上所有改变的操作，例如服务的启动和停止、检测到的网络应用、改变软件配置以及软件执行出错等。图8.18图8.191、Enable Intrusion Detection System爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会& |1 m: i% s. P) D- Y5 c启用IDS. _, s% r6 g; 1 s, o爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会该选项默认是启用的。IDS 代表入侵检测系统，当其他人攻击您的系统时，它会提供报警功能。入侵检测包括拒绝服务攻击检测， 端口扫描，特洛伊木马和可执程序变更等。金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会. C& a; F) b K6 E& : x1 js7 7 h9 8 W/ j- O, |* F* 2、Enable anti-IP spoofing爱毒霸社区 Kingsoft Internet SecurityForum- u5 q- P; _8 3 D6 M启用反IP欺骗7 P M# C1 g. SIP欺骗是黑客用来劫取两个计算机间会话的过程。我们称这两台计算机为A和B。黑客先发送数据包使机器A中断通讯。然后伪装成机器A，黑客就可以和机器B通讯，6 j* Q( o0 b) p9 E爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会因此劫取了会话并且试图攻击计算机B。 h* b2 G/ C+ 9 _( J, D# P反IP欺骗能挫败IP欺骗的企图，它通过随机化每个通讯包的序列号以防止黑客预测和截取数据包。7 7 SB- X& X2 f2 F, x9 T6 L) 7 t% N$ o _, o爱毒霸社区 Kingsoft Internet SecurityForum3、Enable port scan detection/COLOR5 I8 P7 f2 m1 q1 o* T启用端口扫描检测, V& M# C! u0 y3 h: Z4 K4 l/ 端口扫描是黑客中流行的方法，用来窥视您的计算机上打开的端口。端口被Sygate Personal Firewall Pro动态封闭，以防止黑客们的企图。一旦该功能检测到有人在扫描您的端口就会给出报警。 如果被禁用，Sygate Personal Firewall Pro 将不会检测端口扫描企图也不会通知您。但是仍将保护您的端口不被黑客扫描到。 w! R, e8 C, p; 4 S A爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会爱毒霸社区 Kingsoft Internet SecurityForum( J& E9 z9 E3 J y1 H D4、Enable stealth mode browsing爱毒霸社区 Kingsoft Internet SecurityForum! n1 X% 1 o1 z C启用隐蔽模式的浏览隐蔽方式 用来描述当一个计算机存在于网络上但不为其他计算机所知的情况。例如互联网上有一台机器处于隐蔽模式，那么用端口扫描或通讯尝试都将无法检测到它（比如ping）。 如果启用该功能，您的计算机将在任何网络中不可见。2 ?& P, b5 F/ ?! V金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会爱毒霸社区 Kingsoft Internet SecurityForum, 7 c* w8 a5 u: T5、Enable DoS protection和Block Universal Plug and Play (UPnP) Traffic/COLOR爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会1 n9 G/ e) 6 o1 - 启用DoS保护和启用活动应答金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会: G: n9 I; * a. o% ) ?& a活动应答功能一旦检测到入侵，就会阻止来自于源主机的所有通讯。例如，当Sygate Personal Firewall Pro 检测到来自于某个IP的拒绝服务攻击，将按照时间域中设定的期限阻止来自于该IP的任何流量。 U# ( S0 Q2 _. t. C i; , d: E金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会7 W6 2 U) , R% c8 i6、Block all traffic while the service is not loaded/COLOR- v/ I* F3 | E* ?/ L在防火墙启动前禁止流量9 y! U* i) P5 E+ t; ?0 s0 i这个有价值的特性可以在机器开机Sygate Personal Firewall Pro启动前的这段时间内禁止任何流量进出。这个时间段是一个小的安全漏洞，可能容许未授权的通讯。启动该功能可以阻止潜在的特洛伊木马或其他未授权程序与外部计算机通讯。 d9 v& C: j7 # k% u爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-3 4 l$ d0 L; G; v& d. |6 c金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会7、Enable DLL authentication爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会6 F/ v8 I: % U9 B& N9 | P启用动态连接库验证# W5 7 _6 H: xU金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会DLL代表“动态连接库”，它包含被Windows应用程序使用的函数或数据。大多数Windows应用程序使用DLL。经常会有几个程序访问相同的DLL。爱毒霸社区 Kingsoft Internet SecurityForum- o2 H0 Dy0 A$ 7 ?8 k3 J但是某些黑客将恶意代码或程序伪装成DLL，并且用他们来黑计算机。大多数DLL的文件扩展名为.dll, .exe, .drv, or .4 W A) f- g8 g7 m6 g启用动态连接库验证意味着您容许Sygate Personal Firewall Pro 决定那些DLL可被那些程序使用，并且阻止任何未与程序关联的DLL。爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会 s. B$ I5 ) r& S因为该选项会干扰Windows应用程序的功能，建议那些透彻了解Windows系统和DLLs的用户启用该功能。# L% Q- l: p, K爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-5 D) k5 7 O/ G# o5 O8、Enable anti-MAC spoofing E/ t. I* z8 sS$ i爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会启用反MAC欺骗+ o8 l( T, i0 J/ L% : p爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-象IP欺骗，某些黑客使用MAC欺骗来劫取两个计算机之间的会话以攻击计算机。MAC（媒介访问控制）地址是用来标识计算机，服务器，路由器等的硬件地址。当计算机A想和计算机B通讯时，它可能送一个ARP （地址解析协议）包给计算机B。1 Os- S, C6 B7 : m反MAC欺骗功能阻止发向您的计算机的任何ARP包。这样，想知道您的MAC地址的黑客会无从下手。 当您请求一个ARP包时，Sygate Personal Firewall Pro将容许。7 D9 p o& I1 爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会* B* c, P, ) Z% - ?爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会9、Enable OS fingerprint masquerading爱毒霸社区 Kingsoft Internet SecurityForum7 o& P) : f4 g) F启用操作系统指纹伪装6 a/ F: j4 & Q$ S% 操作系统指纹伪装功能能够保护您的操作系统不被其他机器识别出来。如果你启用该功能，请确定同时启用反IP欺骗功能。# Q* O; n) b5 - I. F; ) p; S3 S7 s3 a. Y10、Enable driver-level protection, q3 I+ 1 a& _8 G; D Q9 R启用驱动程序级保护5 N6 y( X! & r; & p7 j& L) 当该功能启用时，会阻止协议驱动程序访问网络，除非用户授予权限。如果一个协议驱动程序试图访问网络，您将看到一个弹出的消息询问是否容许。; u1 h u, g, 5 _/ M1 Y1 |. f, w( h9 L; N1 v4 f爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-11、Enable smart DNS金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会+ O- l4 x* W+ Y* z启用智能DNS % H0 Z0 j$ R! D W) t) v; L爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会智能DNS功能阻止所有的DNS流量，除非是出去的DNS请求和相应的回答。这意味着如果您的计算机往外发送DNS请求，如果其他计算机在5秒钟内给出响应，通讯将被容许。所有其他的DNS包将被丢弃。# T3 k# s( t% S: R0 j金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会如果您禁止该功能，请注意您将需要手动容许DNS名称解析。如果您选择禁止，您将需要创建一条高级规则容许到远程53端口的UDP流量。( d2 d% k9 x0 C8 t9 N# 4 # s, V/ q4 M* G3 . 爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-12、NetBIOS 3 _7 4 J s# A5 h( wNETBIOS保护3 0 u2 : , P9 B5 p爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-NETBIOS保护功能将阻止来自于您的子网范围以外的机器的通讯。一个子网范围是连到同一个网关的一组计算机。如果您的计算机位于办公室网络中，那么办公室里其他的计算机很有可能和您在一个子网中。如果您通过ISP连接到互联网，那么您的子网可能会很大。为了进一步增强您的计算机的安全性，您可以在网络邻居选项卡中禁用文件共享。爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会$ k& P_. w Q3 K爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会& j3 Y q6 i1 i9 u8 o9 T1 j13、Enable smart DHCP爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会F7 E% C; h2 |. l: g启用智能DHCP/COLOR9 P3 E3 b& VY v; 4 N. s* f% j7 I p金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会智能DHCP功能将只容许外出的DHCP请求。该功能仅适用于容许DHCP的网卡。: X2 0 Z* ?; o( Q1 b爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会需要使用DHCP，您应该选择禁止该功能。您必须为远端67端口的UDP包创建一条高级规则。# h# q# f9 S9 A% X& X爱毒霸社区 Kingsoft Internet SecurityForum爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-4 G) O5 * R% E, M14、Enable smart WINS/COLOR9 n2 F j6 Y) e! C1 d2 U. 启用智能WINS/COLOR8 - Z8 G7 ?3 D! m/ z% C# D# d爱毒霸社区-金山毒霸杀毒软件官方社区,提供金山毒霸2009,金山毒霸2010,在线杀毒,金山卫士,专杀工具等产品信息,有电脑病毒,木马专杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动平台,爱毒霸社区-中国知名杀毒社区,做中国杀毒软件最用心社区-默认是关闭的，一般服务器中使用。爱毒霸社区,金山毒霸,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会8 U& q2 l6 d6 W7 F2 K8 E4 P+ q( n& r15、Anti-Application H( V7 L- K( s3 $ b+ H反Application绑架& V( M9 n& j- Z- R$ LY& 金山毒霸,爱毒霸社区,金山网盾,病毒,软件,IT,木马,杀毒软件,亚运会默认情况下，这个选项是启用的。这可以使防火墙检查是否存在插入DLLS的恶意请求，如果有恶意请求，则阻止。爱毒霸社区 Kingsoft Internet SecurityForum) O0 b, ( K) E) O I! K7 v- ?: t2 E5 e0 z* b金山毒霸,爱