请输入手机号码注册一码中特

家电维修技术交流

 找回密码
 请使用中文注册

QQ登录

只需一步,快速开始

搜索
新手快速入门新手学发贴无法收到EMAIL邮件禁发广告贴
旧版论坛老用户无法登录版主申请维修联盟网站大?#24405;?/FONT> 
查看: 679|回复: 0
打印 上一主题 下一主题
收起左侧

WindowsXP在线时如何保护自己

[复制链接]
  • TA的每日心情
    开心
    2017-7-7 23:46
  • 签到天数: 7 天

    [LV.3]?#32423;?#30475;看II

    跳转到指定楼层
    1#
    发表于 2003-4-8 18:40:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    分享到:

    马?#31995;?#24405;【中国家电维修联盟论坛】获取更多更全面的信息!

    您需要 登录 才可以下载或查看,没有帐号?请使用中文注册

    x
    您装了电缆调制解调器、DSL 或卫星连接,是吗?那么,您使用个人防火墙吗?如果没有,那么就请您立即 放下手中的事来花点时间阅读一下本文。您的那种高速连接太棒了 — 再也不用等调制解调器拨号上网了或忍受长时间下载的痛苦了 — 全天候上网将改变您在家中使用 Internet 的方式。但是您知?#32518;穡?#20840;天候上网的计算机正是?#20999;?#23547;摸着攻击您的计算机的坏小?#29992;?#22402;涎的目标。如果您?#25442;?#28857;时间来加强计算机的安全保护,它很可能就会成为攻击的目标。

    问题
    全天候上网的计算机是攻击者垂涎的目标。拨号上网连接很难让攻击者有效地利用,因为它们的速度慢而且通常连接时间短,而且每次拨号时连接的 IP 地址都不同。而电缆、DSL 和卫星连接则没有这些限制。因为您的 IP 地址?#25442;?#25913;变(或很少改变),您的快速永久性连接非常有诱惑力:攻击者可一次又一次地光顾到您的计算机。有些攻击者只是给您出点难题,搞垮您的计算机或窥探您文件中的个人信息。另一些攻击者可能是在寻找与公司网络(或许是通过虚拟专用网)相连的计算机;一台受危害的家庭计算机?#32479;?#20102;攻击者和他(或她)的目标之间一条公开的网关,而这台计算机对此却一无所知。还有一些攻击者可能是在发动数百台或数千台家庭计算机,想从这些计算机向 Internet 上另外某一地方的一台计算机发起分布式攻击。不间断高速连接使?#30431;?#26377;这一切对于恶意攻击者来说都是可能实现的。

    ?#27704;?#21490;上看,保护一台计算机不受攻击意味着投入大量的金钱和时间来添加硬件和软件。这对于公司网络来说是有意义的,但小的家庭网络和个人用户不需要这种保护,而且也许花大量的闲暇时间来维护它也确实没有关系。过去?#25913;?#20013;,出现了一?#20013;?#22411;的采用软件的保护措施 - 个人防火墙。这些价格低廉(有时是免费的)的程序在您的个人计算机周围筑起了一道屏障,要想穿过它相当困难。本文将向您介绍 Windows XP 中包括的“Internet 连接防火墙?#24065;?#21450;在 Windows 2000、Windows Millennium Edition、Windows 98 和 Windows 95 上运行的其他一些第三方个人防火墙。

    不过,有一点必须要知道:没有哪一个防火墙 — 无论?#20999;?#22411;的免费个人防火?#20132;?#26159;价值数千美元的企业防火墙阵列 — 能保证让您的计算机固若金汤。与锁和墙以及护城河和守护人一样,防火墙是阻碍攻击的屏障 — 它们挡住某个人试图获取控制的?#32518;貳?#36890;过让攻击者难以攻入您计算机,并?#30431;?#25110;她)花费大量时间,您就会失去对攻击者的吸引力了。个人防火墙可以非常有效地阻止大多数小?#29992;?#21040;处乱流窜。但要想完全防止 所有的入侵是不可能的:任何软件都有缺陷,可能会有人发现您防火墙中有某个不明显的缺陷可以?#30431;?#20204;通过。不过,可别因此打消安装防火墙的念头哟!除了使用最新的病?#26087;?#25551;程序外,在使用不间断连接的家庭计算机上安装一个个人防火墙,是使您自己 — 包括您的 Internet 邻居 — 得到保护的最有效方法之一。

    Windows XP 的 Internet 连接防火墙
    Windows XP 中包括一种叫做 Internet 连接防火墙 (ICF) 的新功能。Windows XP Home Edition 和 Professional 两个版本上提供该功能,在 Windows .Net Server 中?#27493;?#25552;供该功能。以下是 ICF 的三种不同定义。

    简单定义:ICF 允许源自您计算机的传出通信(及相应的传入回复)通过,而阻止其他任何通信。
    对于?#20999;?#23545;技术问题爱刨根问底的人:ICF 是一种全状态检查数据包筛选器。下面简要介绍一下其工作原理,以网上冲浪为例:
    您在浏览器中输入一个 URL。
    您的计算机将一个请求发送到 Internet 上,地址标为目标 Web 服务器。
    ICF 看到有通信离开您的计算机,它会记住该连接的?#38468;凇?
    目标 Web 服务器创建一个回复,地址标为您的计算机,并发送过来。
    ICF 看到传入通信,将它与前面看到的?#38468;?#21152;以比较。如果它们匹配,ICF 就允许?#27809;?#22797;通过。这就是全状态检查中所说的“全状态?#34180;?
    您的浏览器显示您所请求的页面。
    对于?#20999;?#19982; TCP/IP 形影不离的人: ICF 的引擎在其状态表中使用地址、端口、序列号和标志。对于 TCP,传出请求必须只有 SYN 标志为打开;传入的回复必须只有“ACK”和“SYN”标志为打开;下一个传出数据包必须只有“ACK”为打开。如果违反了此序列,ICF 将终止此连?#21360;?#21478;外,ICF 将丢弃任何不能与前面一个传出“ACK”关联(使用地址、端口和序列号)的传入数据包(包括“ACK-SYN?#20445;CF 还将丢弃任何不请自到的“SYN?#20445;?#38500;非它与用户定义的一个例外规则匹配(参见下一节)。ICF 在丢弃数据包时悄然无声,它从不返回“RST?#34180;?
    在下列情况下,ICF 会“忘掉”客户机与服务器之间的某个状态:

    它看到一个针对 TCP 通信的特殊的连接终止序列(“ACK-FIN?#34180;ⅰ癆CK?#34180;ⅰ癆CK-FIN”和“ACK?#20445;?
    基于 UDP 的通信有一段?#25442;?#21160;时间(“超时?#20445;?
    实质上,ICF 只允许?#20999;?#20316;为对前面发出的一个请求的回复的通信进入。ICF 阻止并丢弃所有其他传入通信。它看似简单,但却是保护计算机的一种特别有效的方法。甚至企业级防火墙也?#21069;?#36825;?#25442;?#26412;原理工作的。此方法意味着 ICF 将阻塞以下这些(还有其他)可能有危险的通信:

    扫描。攻击者常常对计算机进行扫描以期?#19994;奖?#24369;?#26041;冢?#29305;别是众所周知的电缆调制解调器子网。因为传入扫描是“不请自到”的(即,不与 ICF 通信记忆库中的内容匹配),所以它?#22681;?#34987;阻止。
    许多(但不是全部)“特洛伊木马?#34180;?#27604;如?#30340;?#30340;计算机感染了“特洛伊木马”病毒。它们中有许多宣布了它们在某处的某个数据库上存在。如果一个攻击者尝试连接到您计算机?#31995;摹?#29305;洛伊木马?#20445;琁CF 就会阻止它。注意,这只适合于攻击者第一次与受感染计算机建立连接时所用的?#20999;?#29305;洛伊木马?#20445;?#20854;他与攻击者建立首次连接的“特洛伊木马”将在 ICF 的记忆库中打开一个连接并允许攻击者回复。这就是为什么除 ICF 之外,还要 有一个病?#26087;?#25551;程序 — 高质量的病?#26087;?#25551;程序还可以保护您一开始就不感染“特洛伊木马”病毒。
    文件共享和匿名连?#21360;indows 网络旨在使计算机间的文件共享更?#22870;悖?#21311;名连接用来发现一台计算机的名称及可用共享文件的列表。当然,在 Internet 上,您可真的不必这么做;ICF 禁止这种连?#21360;?
    启用 ICF

    由于 ICF 集成到了 Windows XP ?#31995;?TCP/IP 协议栈中,所以启用它与选中一个复选框一样简单。请按?#25214;?#19979;步骤操作:

    打开控制面板中的网络连?#21360;?
    右键单击您想保护的网络连?#21360;?#36890;常其名称是“局域连?#21360;保?#38500;非您已将它重命名。
    在弹出?#35828;?#20013;选择属性并单击对话框中的高级选项卡。
    选择通过限制或阻止来自 Internet 的对此计算机的访问来保护?#19994;?#35745;算机和网络。
    就这么简单。您不用重新启动计算机或做别的任何事情;ICF 现在已在运行了。

    如果您有一个家庭网络,其中一台计算机在运行“Internet 连接共享?#20445;?#24744;至少应在此计算机上启用 ICF。或者,为了提高安全性,您也可以在位于运行着共享连接的这一计算机后面的所有计算机上都运行 ICF,但这样就使您无法在家庭网络?#31995;?#35745;算机之间共享文件了。

    设?#32654;?#22806;规则

    您可能想在您的计算机上运行一个 Web 服务器。如果是这样,那么您就需要允许传入连接请求,以便人们可以浏览您的网页。ICF 允许您针?#38405;?#20123;种类的传入通信设?#32654;?#22806;规则;您也可以定义您自己的例外规则。

    一旦启用 ICF 后,对话框中的设置按钮就变为活动的。您可以在这里配置一些 ICF 选项,包括针对传入连接的例外规则。在服务选项卡上有一些预定义的针对几?#22336;?#21153;的例外规则,它们允许指定端口?#31995;?#20256;入连接:

    服务
    端口

    FTP 服务器

    21/tcp


    IMAP3 服务器

    220/tcp


    IMAP4 服务器

    143/tcp


    SMTP 服务器

    25/tcp


    POP3 服务器

    110/tcp


    远程桌面(终端服务)

    3389/tcp


    SSL Web 服务器

    443/tcp


    Telnet 服务器

    23/tcp


    Web 服务器

    80/tcp



    选择这些服务中的任何服务就会告诉 ICF 允许相应的端口?#31995;?#20256;入连接进入您的计算机。(第一个数据包必须只设置了“SYN”标志,否则它将被丢弃,来自外部计算机的连接将失败。)

    假如您家中只有一台计算机,您想在这台计算机上运行一个 Web 服务器,那么只须选择列表中的 Web 服务器 (HTTP) 就行了。现在,ICF 将允许与您计算机?#31995;?Web 服务器服务建立传入连接,同时仍阻止其他所有非允许的通信。但是,假如您有一台计算机在运行“Internet 连接共享?#20445;?#25105;们称之为“网关计算机?#20445;?#24182;在其上启用了 ICF,而您想在家庭网络?#31995;?#21478;一台计算机上运行 Web 服务器,这样?#26032;穡縄CF 是允许这一情况的。在选择了 Web 服务器 (HTTP) 之后,单击编辑。输入运行 Web 服务器的计算机的名称或 IP 地址。Internet ?#31995;?#20154;将把他们的 Web 请求发送到您的网关计算机上,当 ICF 看到这些传入请求时,它就将它们重定向到您指定的那一台计算机。

    您也可以创建自己的例外规则。如果您想允许像传入的 NetMeeting 或 Windows Messenger 音频/视频连接这样的连接,想在 Internet 上玩游戏,或想使用许多即时消息程序的文件共享功能,那么就需要创建例外规则。要创建一个自定义的例外规则:

    在服务选项卡上,单击添?#21360;?
    输入对该服务的描述。描述内容可随您自己的意思编写。
    输入运行此服务的计算机的名称或 IP 地址。如果该服务与 ICF 在同一台计算机上,则只须输入本地主机。
    在此服务的外部端口号中,输入与您在运行的服务关联的端口号。如果您不知?#26469;?#21495;码,可以在软件所带的帮助内容中查找。(有成千上万的端口,有的有名,有的不太有名;不可能在此将它们全部列出。)
    选择适当的协议,用 TCP 或 UDP。同样,还要查看软件的帮助内容。通常,多数软件都使用 TCP,一些多媒体程序使用 UDP。
    在此服务的内部端口号中输入同一端口号。(ICF 支持“端口重定向?#20445;?#36825;属于那种在需要做时自然就会知道怎么做的事情,但很少有人愿意试一试。)
    您不需要在打开这些例外规则后禁用接着再启用 ICF — 它们会立即生效。

    日志记录活动

    ICF 在阻止通信时不显示屏幕警告消息。不过,它将其活动记录到一个文件中。安全日志记录选项卡让您可以配置进行日志记录的方式。一般情况下 ICF 将在 %WINDIR%\pfirewall.log 中记录丢弃的数据包(ICF 阻止的传入通信)。您可以:

    禁用日志记录
    记录两个方向?#31995;?#25104;功连接 — 这样只记录连接,而不记录每一个数据包。
    更改日志文件的位置。
    更改最大日志文件大小。达到最大值后,将删除现有的日志项,从最旧的条目开始删除。
    日志文件中的条目是用空格和制表符分隔的格式,您可以将该文件导入到 Excel 以便阅读起来更?#22870;恪?

    配置 ICMP

    ICMP 曾被广泛用来在计算机间交流状态信息。如今,恐怕只有 PING 实用程序仍在使用 ICMP 了。一般情况下,ICF 会阻止某些种类的传出?#30171;?#20837; ICMP 数据包,包括传入的 PING(“回显?#20445;?#35831;求。这意味着没有人能够 PING 您。如果希望您的计算机能响应 PING,请到 ICMP 选项卡上选择允许传入的回显请求。现在 ICF 将允许传入 PING,Windows ?#27493;?#21487;以作出 ICMP 回复。

    您也许还可以考虑允许传出?#33041;?#25233;制、?#38382;?#38382;题?#32479;?#26102;消息。其他选项存在安全风险,最好?#30431;?#20204;保持在禁用状态。

    用于其他 Windows 版本的个人防火墙
    ICF 是 Windows XP(和 Windows.Net Server)中的一项新功能。如果您用的是?#26174;?#29256;本的 Windows,则需要?#21448;?#22810;的第三方个人防火墙中挑选一种进行安装。这是一个方兴未艾的市场,其中有几种不同的产品在不?#32454;?#26032;和增强之中。您最好?#19994;?#26368;近关于个人防火墙的一些评论,以帮您决定选择用哪一种。请试到以下 Web 站点上看一看:

    c|net — http://www.cnet.com  
    ZDNet — http://www.zdnet.com  
    Home PC Firewall Guide(家庭 PC 防火墙指?#24076;?http://www.firewallguide.com  
    Practically Networked(联网实务)— http://www.practicallynetworked.com  
    SpeedGuide — http://www.speedguide.net  
    另外,请用您最?#19981;?#30340;搜索引擎来尝试搜索“个人防火墙评论?#34180;?

    纵深防御
    纵深防御 是军事?#31995;?#19968;种策略,它正?#27599;?#29992;在保护信息安全上。依靠某一个软件或某一台设备来提供全面的保护是不够的?#21644;?#30772;这一层防御后就毫无安全可言了。

    保护您的家庭计算机不是一件一劳永逸的事情。在这一点上您需要勤快:安装一个个人防火墙,安装并时常更新一个病?#26087;?#25551;程序,并使您的计算机总使用最新的安全修补程序。请访问 http://www.microsoft.com/technet/security/bulletin/notify.asp  并预订 Microsoft Security Notification Service(Microsoft 安全通知服务)。当您接到一个通知说有一?#20013;?#30340;安全修补程序(即时修补)适合您的计算机时,请立即安装。

    个人防火墙和公司网络

    公司网络也采用多层防御。通常在将网络连接到 Internet ?#31995;?#36335;由器上有某种程度的通信屏?#21361;?#36824;有一?#21482;?#22810;?#21046;?#19994;级防火墙,在电子邮件服务器上有病?#26087;?#25551;引擎,还使用了一些侵入检测机制。

    一个有趣的问题是,在公司网络上使用个人防火墙是否管用。企业防火墙和个人防火墙在不同的防御层上运行:企业防火墙保护整个网络,而个人防火墙保护单个主机;所以,一方面来讲,将二者结合起来似乎是可行的。然而,个人防火?#20132;?#38459;止某些公司网络活动:例如,有些单?#25442;?#23450;期扫描公司客户机对密码策略的遵守情况;个人防火墙将妨碍这?#25442;?#21160;。像 ICF 这样阻?#39038;?#26377;传入连接的防火墙将妨碍基于 LAN 的应用程序,因为这些应用程序需要向客户机发送通知(打印机状态消息和 Exchange 新到邮件通知就是两个例子)。您的单位需要在安全策略中?#24471;?#26159;否允许个人防火墙以及它们应如何配置。

    Windows XP 中的 ICF 遵守“网络位置知晓”规则而且可以通过 Windows .Net Server Active Directory 组策略来禁用。移动用户在外出时不用记着启用或禁用 ICF。他们可以让 ICF 保持启用状态,这样在家或旅行时都可受到保护;在办公室时,一旦将计算机连接到网络上,组策略就会禁用其 ICF。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾?#27573;?#21338;腾?#27573;?#21338; 腾讯朋友腾讯朋友
    收藏收藏 转播转播 分享分享 支持!支持! 反对!反对!
    您需要登?#24049;?#25165;可以回帖 登录 | 请使用中文注册

    本版积分规则

    QQ|Archiver|?#21482;?#29256;|网站地图|资料列表|网站XML|板块XML|大众电子网 ( 粤ICP备09021106号  
    深圳市深威志电子有限公司 版权所有 站长QQ:17158联系站长请点这里
    粤ICP备09021106号

    GMT+8, 2019-7-16 10:37 , Processed in 0.064672 second(s), 33 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表
    请输入手机号码注册一码中特 泰坦帝国电子游戏 鹿岛鹿角官网 华丽剧场APP 彩票大奖3亿 皇家社会赛程 神庙古墓怎么玩 爱彩网双色球预测专家 瓦伦西亚vs马竞 墨尔本胜利对广岛三箭 舞线游戏