首页 > 单独文章 > 正文

防火墙的选择与安全使用建议

时间:2008-09-03 08:26:53 作者:officeba 【认证】

   防火墙似乎是安全必不可少的东西,不过对许多个人用户来说,是否安装防火墙成了一个两难的问题——不安装,安全得不到保障,说不定第二天游戏账号就被盗了;如果安装,有些程序莫名其妙地连接不了网络,而且复杂的网络规则设置让人头疼……即使是安装了防火墙,就一定能保证安全?也许防火墙安全的表象其实不过是一个假象,罪恶的攻击正在它的掩护下进行——网游账号被盗、网银存款莫名消失、网购交易失败……

    假象:XP/Vista防火墙

    Windows XP/Vista系统中都自带了防火墙功能,Winqdows XP/Vista系统防火墙占用的系统资源相当少,而且与系统兼容性非常好,因此许多用户都在使用XP/Vista防火墙。不过虽然启用了防火墙,网络的安全也有了一定的保证,但是Windows XP/Vista系统防火墙真的足够安全吗?

    脆弱的XP单向防火墙

    Windows XP自带的防火墙,有一个最大的安全漏洞,那就是不能阻止由内向外的出站连接。XP防火墙只能阻止控制从外向内的程序网络连接,却无法对系统中程序主动对外界的连接进行限制,由于该缺陷的存在,使得Windows XP SP2防火墙根本无法阻止反弹木马、注入式木马的攻击。这些木马可以内嵌注入到系统进程中,或者本身直接向控制端发起一个连接,从而导致系统被攻击者恶意控制。

    Vista防火墙的不足

    在Vista中对防火墙的功能进行了升级,Vista中的防火墙与Windows XP SP2相比,最大的改进就是增加了出站规则控制,补充了出站连接控制功能,保证系统的安全性。因此许多用户放弃市面上第三方防火墙产品,而改用Vista自带的防火墙。然而,Vista防火墙也并非想象中的那样完美,有时候它的出站控制只是一个美好的假像。
    首先,Vista防火墙启用出站控制比较麻烦。如果在控制面板中,双击打开“Windows防火墙”,可看到防火墙与原来XP SP2差不多,并未见到新增的出站控制功能。要使用出站控制功能,需要使用Vista中的高级防火墙,即打开“控制面板/管理工具/高级安全防火墙”,才能对Vista网络安全进行全面保护控制。而且防火墙出站监视功能默认状态下是关闭的,需要手工开启。虽然开启了出站监控功能,默认情况下是允许所有网络出站连接的,还需要建
    立一条规则,将所有对外的出站网络连接设置为阻止,才能够真正禁止出站网络连接。另外,对于DLL注入式的木马,端口利用类的木马,由于可以注入到可信任的程序中,或者利用已开放的网络端口,因此Vista防火墙也无法进行检测和控制。
    在默认设置下,Vista的出站控制是不能作到安全防范的,而且由于操作的繁琐,许多用户都只是使用默认设置的Vista防火墙,因此安全不能够得到保证。如果说操作麻烦只是一个软肋,那么对DLL注入及端口利用类木马的无效,则是Vista防火墙的一个硬伤!

    “免费”选择:杀毒软件自带“防火墙”

    专业的防火墙要收费,而且设置比较复杂。普通用户如何选择一款免费的防火墙,既能保证安全,又能免去防火墙繁琐的设置昵?其实在我们平时使用的杀毒软件中,附带的各种网络控制功能完全可以满足网络安全的需要,省去了复杂的设置。——当然,这里的“免费”,是建立在杀毒软件的基础上的,无需单独为防火墙付费。

    方案一:上网安全不用愁,简单设置排隐患

    卡巴斯基安全套装内置了防火墙组件,因此不用特别安装其它的防火墙,就完全可以对网络进行全盘保护监控。卡巴斯基7.0流量监控功能,可以通过简单操作实现网络安全防护的目的。
    卡巴斯基的流量控制,是通过对计算机端口进行监控检测实现的。端口是系统与外部网络连接的大门,正常程序是通过特定端口进入网络连接的,木马、病毒也是通过端口进入系统从而进行破坏的。通过卡巴斯基的流量监控功能,可对各种危险端口进行监控和检测。
    鼠标右键点击卡巴斯基在系统托盘的图标选择“设置”,进入卡巴斯基设置界面。点击左边的“流量监控”项目,在右边出现的流量监控界面中点击“端口设置”。
    监控所有的端口,可以保证最大的安全性,但是要牺牲电脑一定的速度和性能。卡巴斯基的默认选项“仅监控选中的端口”只监控了常见的重要端口,但是默认监控的端口项目,是不能满足需要的,可针对性地添加一些重要的端口,这样既可以保证速度,也可以保证网络连接的安全性。
    添加监控端口很简单,点击“添加”按钮,在弹出的窗口中输入新端口和描述,点击确定按钮后,即可添加新端口。可将如下端口号添加到监控列表中:21,22、23、135、137、138、139、161、445、593、1025、1433、2745、3127、3389、6129、8080
    添加了这些端口后,卡巴斯基就可以及时地监测到来自这些端口的威胁,大大增强系统的安全与可靠性。
    小提示:在使用某些网络播放器,如VIEWGOOD时,由于开启了卡巴新基的流量监控,进行视频点播时一直显示“连接服务器...”,无法正常播放,此时可通过手工设定卡巴斯基的流量设置解决谊问题,在流量监控的“端口设置”界面,取消对“80”端口“常规HTTP”项目的选择,再取消“8050”端口的选择,保存设置后即可正常播放。

    方案二:日常应用,主动防御完全够用

    在一些杀毒软件中,集成了主动防御功能,可对任何程序的网络访问行为进行监控,实现智能的防火墙功能。这里以江民KV2008为例。
    在KV2008界面中,点击菜单“工具/设置”命令,打开防火墙设置界面。点击对话框左侧“监视/网页监视”项目,在右侧的网页监控设置界面中,勾选“未知程序进行网络连接时询问”项。保存设置后,即可启用网络防护功能。另外,可在主动防御设置项目中,添加对任意网络端口的监控。点击设置界面左侧“主动防御/系统监控”,在右侧界面中点击“修改”按钮,打开监控设置对话框。在对话框中,点击“自定义”按钮,打开监控规则添加对话框。设置规则名称为“网络监控”,在“监控目标”中设置为“应用程序访问网络”项。点击下一步按钮,选择监控对象为“自动访问外部网络”;下一步后,选择监控事件发生时“通知我,并由我决定是否允许”。
    以后有任何程序,无论是正常程序,还是木马病毒,采用正常网络连接,或者是通过注入式、端口利用等方式连接网络时,江民KV2008都会弹出网络连接的提示。询问是否允许网络连接。特别要小心名字中带数字的程序对外连接,直接点击“结束进程”按钮,将程序结束掉。在进行处理时,可勾选“以后都这样处理”,程序将被加入黑白名单,下次访问网络时就会使用曾经的设置决定允许或禁止连接了。


相关文章

同类最新