构筑网上个人安全堡垒2000年10月12日 10:27

　　网络,一个多姿多彩的世界,同时也是危机四伏的——你需要提防黑客或一些“好奇”之徒伺机闯入你的系统。账号、密码被窃取,邮箱被黑或入侵者控制你的系统都会造成难以预料的结果。

　　那怎么办呢?没有安全经验的个人用户该采取什么措施呢?试试Conseal PC Firewall和LockDown 2000吧,它们是个人防火墙软件和目前评价颇高的黑客程序检查软件。

　　用Conseal PC Firewall构筑个人防火墙
　　Conseal PC Firewall是一种单用户的网络级包过滤型防火墙,运行于Win 9X系统,占用系统资源很少,性能不错。它可以基于源地址/目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断；并且它可以提供内部信息来说明连接的状态和一些数据流的内容；把判断的信息同规则表进行比较；可以通过在规则表中定义各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包,阻止其进入主机。

　　一、安装防火墙软件

　　该软件可以在下面的地址下载:http://download.softhouse.com.cn/,目前的最新版本是2.06。安装Conseal PC Firewall 很简单,运行该自解压文件,便会进行Conseal PC Firewall 的安装;按照提示到最后出现:Basic、None、Custom,建议大家选择Custom,选单如下:HTTP、E-mail、News、IRC、ICQ、NetBIOS、Ping、ICMP，可以按自己的需求选或者全选上,然后点下一步。Conseal PC Firewall 就安装到了C:\programfiles\signal9\firewall目录下。

　　二、防火墙软件的应用

　　应用防火墙,需要一定的TCP/IP知识,不过即使不会,也可以使用该软件的默认设置。

　　1.Conseal PC Firewall的file选单下主要是关于Rules文件的使用、改变、另存和导入Rules文件以及是否在系统启动时自动运行等，这些文件在Conseal PC Firewall 安装文件夹下默认的名字是rules.fwr。

　　2.点击Rules选单会弹出“Ruleset”选项,这是配置防火墙的关键地方,一个好的防火墙如果不经过有效配置也是形同虚设。Rules提供了详细的配置方案——在“Control”栏系统默认的选项是（见图1）：

　　图1

　　1）Firewall up；

　　2）Loggoing on(传输信息将存放在Log文件中)；

　　3）One for all network devices；

　　4）Ruleset usage-allways。

　　如果不想让别人修改防火墙的配置,还可以在Password栏中为Rules设置口令。“All network device”栏是配置防火墙的重点（见图2）,系统默认自动进行规则(Checked)学习,可以根据自己的需求而不选中它。在下面的详细资料栏中给出报告的详细信息,这个时候可以选中规则,按Edit进行编辑,将设备名称和详细资料加入自己的防火墙。以ICMP为例,在详细资料栏里选中自己的动作——Allow或Block ICMP,按Edit进行编辑,你可以使用Add、Remove按钮使此设备有效或无效,然后根据你对ICMP的了解,在Description中加入详细资料。点高级选项(Advanced),可以看到防火墙对IP协议进行了全面的监测。在All Network Device栏使用Add、Edit命令时要求对网络知识和TCP/IP有一定的了解,建议高级用户使用,如果配置不当会适得其反。

　　图2

　　3.Display选单下的“Clear”项是将目前的一组软件信息清除;“Minimize Systray”项是将其缩小到系统任务栏中;“Start Systray”项是指运行该软件后就放入系统任务栏中。

　　4.Help选单是该软件的帮助信息。

　　当你在上网时，如果某电脑试图使用某一协议,防火墙会自动弹出一个对话框,并有效地阻止数据包进入你的电脑,首先是一段描述:“Rmoute system '10.106.*.*'(对方的准确IP)wants to ping(注意,这里是ICMP,经常会出现其他如同Connect、Nuke、Talk等动作)you on port #80(what's this service)allow it through?”

　　如果是在OICQ中向好友发送信息,防火墙会立刻弹出对话框描述:“your systemwants to talk to"10.106.*.*"on port#5000(oicq service)allow it through?”

　　在对话框包含9个选项,你可以根据自己的判断做出命令动作:

　　“allow”：接受;

　　“allow during this session”：在此对话期间接受;

　　“block”：阻止;

　　“block during this session”：在此对话期间阻止;

　　“ignore it”：忽略;

　　“no new rules”：不做新的规定,采用系统默认;

　　“show details”：显示此连接或服务的详细资料;

　　“explain risks”：解释此动作的风险;

　　“help”：获得帮助。

　　对于熟悉的连接和服务你可以轻松选择,如果有疑问可以选择show details显示此连接的详细资料。右键点任务栏上的Conseal Pc Firewall图标,查看连接的详细资料,或是在关闭防火墙后查看Log文件,会看到如下信息:

　　Adding rule #34 in checked learning mode

　　----Firewall is running-----

　　due to incoming data

　　13:25:47: 拨号网络适配器 [0001][Ref# 15] Connection Attempt: src=10.*.*.* dst=10.106..*.*, sport=1371, dport=80.

　　13:32:08: 拨号网络适配器 [0001][Ref# 3] Blocking incoming ICMP: src=10.*.*.*, dst=10.*.*.*, type 8.这是用169拨号上网防火墙所查的状态,src=10.*.*.*是169IP,src=10.*.*.*是映射163的IP,自己的网络上工作状态一目了然。

　　13:54:48: 拨号网络适配器 [0001][Ref# 0] Blocking outgoing UDP: src=10..*.*.*, dst=10..*.*.*, sport=4000, dport=4000.

　　13:54:49: 拨号网络适配器 [0001][Ref# 0] Blocking outgoing UDP: src=10.*.*.*, dst=10.*.*.*, sport=4000, dport=4000.Last message repeated 2 more times.这是在OICQ中同网友发送信息的报告,对方的IP dst=10.*.*.*在你的防火墙记载中一览无遗。很显然,conseal pc firewall不单可以有效监控本机连接,阻止恶意数据包,还可以作为网络分析工具使用。

　　另外,由于大多数上网用户是拨号上网,每次上网之后ISP分配的IP地址都有可能不同,这就导致了在外部信息来到时很难确认对它的来源是否放心(尤其是OICQ时),不过幸好能够用show details显示此连接的详细资料,虽然麻烦了些,但毕竟安全第一嘛!对于网络知识不太丰富的朋友们最好还是用其默认设置!

　　LockDown 2000——首选的黑客检测软件
　　LockDown 2000会忠实地记录和报告所有与你的电脑进行过的连接,并且可以告诉你连接者来自何处,在你的电脑里都干了什么,它甚至还可以拒绝或切断某些不速之客的连接。它可以检测出500多种已知的黑客程序,如BO、特洛伊等,并且还能够预警未知的黑客程序,忠实地保卫你的系统。

　　一、安装LockDown 2000

　　LockDown 2000可以在http://download.softhouse.com.cn/下载,并且可以到汉化网站去下载汉化程序。该软件可运行在Win 9X与NT系统下,目前最新版本是5.0.0.3,下载文件解压缩后一路按“Next”就可以完成安装。

　　二、设置

　　LockDown 2000的主界面,分别有“主要”、“网络实用程序”、“共享”、“当前共享连接”、“以前共享连接”5个设置页面（见图3）。

　　图3

　　当你按照默认方式安装并启动LockDown 2000,它就开始以基本的方式工作了,当然使用者还需根据需要对其进行设置。点击主界面的 “Options”图标或“查看”选单下的“选项”就可以进入设置窗口,一共有5项,下面做详细的介绍:

　　1.常规设置(见图4)

　　图4

　　网络信息刷新率:设定对当前网络连接情况检查的时间间隔，时间单位是毫秒(ms)。

　　记忆的连接数目:每次退出LockDown 2000时,会将曾经进行过的连接记录存储起来,该选项就用于设定最多记载的连接数,数值越大存储时间越长,占用的磁盘空间也越大。

　　启动时运行LockDown 2000:选中该复选框后在每次启动Windows时都会启动LockDown 2000,在任务栏中会出现小图标。

　　当有新的连接时弹出窗口:选中该复选框后,一旦有人与你的电脑建立了连接,LockDown 2000的界面窗口就会由后台弹出到桌面,会告诉你该连接人的许多信息。

　　记录IPC$:IPC$是Inter Proccess Communication的缩写,选中它,就几乎可以看到你电脑所进行的任何事情,一般用来检测电脑是否在线。

　　退出LockDown 2000时提示:选中后每次退出时都会给出警告。

　　在该页面的右上角是声音设置,可以让电脑在有人登录时发声提示,有默认声音和自定义声音两种选择。

　　默认 Whois 服务器:选择默认的Whois数据库服务器地址,建议使用默认设置。

　　追踪新连接的轨迹:选中它后,当有人连接到你的计算机后,LockDown 2000会追踪这个新连接的动作。

　　2.断开

　　当执行上述列出的程序时断开全部用户:选中后,当登录者运行上面“程序”描述框中的任一程序时,LockDown 2000就会切断他的连接,将其赶出你的电脑，比如：执行Deltree、Format等危险程序时就断开与他的连接。

　　断开闲置用户(分钟):超过该设定时限后将断开该连接。

　　最大连接数目:设定你的电脑允许的最大连接数目。

　　3.IP过滤器

　　在这里,可以通过设置IP地址过滤器的内容,只允许用符合条件的IP地址的电脑登录你的电脑。

　　4.检测

　　设置的项目分别为检测特洛伊木马连接企图、ICQ炸弹保护和炸弹保护(拒绝服务攻击),建议全部选上。

　　5.特洛伊(见图5)

　　图5

　　扫描未知特洛伊:选中它,LockDown 2000将在你设定的时间间隔里对注册表进行扫描,一旦发现在注册表中出现了新的每次Windows启动后都会运行的文件,那这很可能就是一个未知的特洛伊程序。这时LockDown 2000会弹出一个警告框询问是否允许在启动Windows时运行它。

　　后台扫描特洛伊:选中它,对特洛伊程序的扫描将在后台完成,它只占用极少的内存,不会影响你正在进行的工作。

　　扫描间隔(秒):设定两次扫描的间隔时间,间隔越短越安全,但会加大对资源的占用。

　　文件变更监视器:可以对Autoexec.bat、Config.sys、Win.ini、System.ini文件进行变更监视,其内容如有变动,便会弹出一个对话框,询问是否确认该次变动。

　　扫描敏感度:是一个由低到高的滑块,你可以根据对安全要求的高低进行设置。

　　LockDown 2000软件本身带有一个特洛伊程序样本库,经常升级可以侦测到更多的黑客程序。你也可以设定针对某个驱动器的某个目录进行扫描。