“冲击波”等蠕虫的一个特点是利用易受攻击的操作系统来攻击端口,因此防止此类病毒的简单方法是屏蔽不必要的端口。防火墙软件就有这个功能。事实上,对于使用Windows2003或WindowsXP的用户来说,不需要安装任何其他软件,因为系统自带的‘互联网连接防火墙’可以用来防止黑客攻击。
一.基本设置
1.右键单击“网上邻居”并选择“属性”。
2.然后右键单击“本地连接”,选择“属性”,就会出现图1所示的界面。如图,选择“高级”选项,选择“互联网连接防火墙”,并确认防火墙将工作。
图1
第二,测试基本设置
1.在另一台机器上ping这台机器,而在ping另一台机器时出现请求超时。
2.在另一台计算机上,使用漏洞扫描工具扫描该计算机发现未打开的端口。
通过这两项测试后,说明防火墙发挥了作用。
第三,高级设置
单击“设置(G).按钮,将出现图2所示的界面。可以进行高级设置。
图2
1.选择要打开的服务。
如图3,如果本机要开通相应的服务,可以选择该服务。在本例中,选择了FTP服务,以便其他机器可以通过FTP连接到本机器。扫描本机时,可以发现端口21是开着的。您可以按“添加”按钮来添加相应的服务端口。
图3
2.设置日志。
如图4所示,选择要记录的项目,防火墙将记录相应的数据。默认日志是C: \ windows \ pfire.log,可以用记事本打开。
图4
3.设置ICMP协议
如图5所示,最常用的ping是ICMP协议。默认设置后,是因为ICMP协议被屏蔽。如果您想ping这台机器,只需选中“允许传入响应请求”。
图5
四、几个问题
设置很简单,但是在给别人设置的过程中,有人提出了以下问题。你有以下困惑吗?
1.当端口被阻塞时,我如何与其他计算机通信?
默认设置完成后,可以看到没有添加端口。当所有端口都被阻止时,我如何与其他计算机通信?
互联网上的相互通信是通过TCP/IP协议完成的。上网访问网页时,在本地电脑上随机打开一个大于1024的端口连接服务器的80服务端口。用Telnet协议登录其他设备也是在本地电脑上随机打开大于1024的端口连接服务器的23 service端口。“互联网连接防火墙”会封闭服务端口,如HTTP的80端口、FTP的21端口、TELNET的23端口等。只要系统提供这些服务,系统一打开,这些端口就会打开。可以说,当其他计算机连接到提供服务的计算机时,这些端口长期有效。随机打开的端口是临时的。例如,当您访问互联网上的一个网站时,您的计算机随机打开一个端口1026,并连接到网站服务器的端口80。当访问结束后关闭网页时,计算机的端口1026关闭,而服务器的端口80始终打开。在网上可以看到‘互联网连接防火墙’是一个密封的服务端口,不是临时开放的端口,所以不需要添加端口就可以正常上网。WIN98默认不提供任何服务,所以没有开放端口。不能正常上网吗?
一般互联网用户不需要提供任何服务,所以不需要开放任何端口。但是,要使用一些网络通信工具,例如,要打开FTP服务,就应该打开端口‘21’。同样,如果你发现一个常用的网络工具不起作用,请找出它在这台机器上打开的端口,然后在‘互联网连接防火墙’中添加一个端口。
2.设置好‘互联网连接防火墙’后,用netstat -na命令检查,但是端口还是开着的?
有人认为以上设置后没有打开的端口,但是设置后使用netstatna命令检查打开的端口是否和之前一样多。不起作用吗?
实际上,端口是由服务进程打开的。要完全关闭端口,必须完成相应的服务。例如,要关闭端口80,必须停止WWW服务。而且我们使用‘互联网连接防火墙’在外围建立防火墙。打个简单的比方,一栋房子有很多门。有两种方法可以确保安全性。一种是用砖堵住门;第二种是留着门,在房子周围建一堵墙。第一种方法是通过结束进程来关闭端口,第二种方法是使用“互联网连接防火墙”。虽然这个端口是由netstatna开放的,但它的周围已经建起了一堵不透气的墙。
我如何知道防火墙是否在工作?最简单的方法就是用xscan、superscan等扫描工具在另一台机器上扫描这台机器。如果没有开放端口,就意味着在房子周围建一堵墙是没有漏洞的。
3.如何不用扫描软件远程测试本地端口是否打开?
如果手头没有扫描软件,可以使用telnet命令测试相应端口是否打开。例如,要测试端口21是否打开,可以在另一台机器上telnetxxx.xxx.xxx.xxx21。如果端口打开,会出现一条消息;如果没有打开,会出现连接失败的消息。