电脑Win2003系统自带防火墙设置知识
各种蠕虫病毒通用特征就是利用操作系统的漏洞进行端口攻击,为了防范此类病毒,最简单的方法就是屏蔽不必要的端口,通常防火墙软件都装有这些功能,装有Windows 2003或者XP的用户来说,根本不用安装任何其它安全软件,因为我们能利用系统自带的“Internet 连接防火墙”来防范黑客的攻击。
一、基本操作设置
1、在“网上邻居”图标右键点击,选择“属性”。
2、然后在右键点击“本地连接”,选择“属性”,出现图1界面。如图选择“高级”选项,选中“Internet 连接防火墙”,确定后防火墙就开始工作了。
图 1
二、测试基本设置
1、在另一台电脑上ping本机,出现Request timed out表示ping不同本机
2、在另一台电脑上用漏洞扫描工具扫描本机发现没有打开的端口。
通过这两种测试就说明防火墙已经起到了作用。
三、关于高级设置
点击图1中的“设置(G)...”选项,出现的图2界面就可以进行高级设置了。
图2
1、选择要开通的服务
如图3所示,要是本机想开通相应的服务可选中该服务,本例选中了FTP服务,这样从其它机器就可FTP到本机,扫描本机能发现21端口是开放的。按下“添加”按钮增加相应的服务端口。
图3
2、日志设置
如图4所示,选择要记录的项目,防火墙会记录相应的数据,日志默认在c:\windows\pfirewall.log,用记事本就能打开查看。
图4
3、ICMP协议设置
如图5所示,经常使用的“ping”就是用的ICMP协议,默认设置完后ping不通本机那么说明屏蔽了ICMP协议,如果想ping通本机只需将“允许传入响应请求”一项选中就可以了。
图5
四、故障问题
设置非常简单,不过有些人在设置过程中经常会出现到的3个问题,希望对大家有所帮助,如下:
1、设置了“Internet 连接防火墙”后用netstat –na命令察看,可是端口还是开的?
有些朋友会认为通过设置以后就没有端口开放了,当设置完成后用netstat –na命令察看开放的端口与没设置之前一样,难道没起作用?
其实端口是由某个服务的进程打开的,要想彻底关闭某个端口那么就要结束相应的服务,例如要关闭80端口就要停止WWW服务。而我们用“Internet 连接防火墙”是在外围建一个防火墙,打个比方来说,一所房子有很多的门,要保证安全有两个办法,一是把门用砖头堵住;二是留着门,在房子周围建一道墙。用结束进程来关闭端口用的是第一种办法,用“Internet 连接防火墙”用的是第二种方法,虽然用netstat –na查看端口是开放的,但外围已建了一睹密不透风的墙。
怎样能知道防火墙有没有起作用了?最简单的方法就是在另外一台电脑上用xscan、superscan之类的扫描工具扫描本机,如果没有打开的端口表示在房子周围建一道墙是没有漏洞的。
2、如果没有扫描软件那么在远程测试本机端口有没有打开,如何测试?
有些电脑没有配置扫描软件,我们可
以用telnet命令来测试相应的端口有没有打开,例如测试21端口有没有打开,可以在另为一台电脑上telnet xxx.xxx.xxx.xxx 21,如果端口打开会出现提示信息,如果没有打开则出现连接失败的提示。3、按默认设置完成后,可以看出没有添加一个端口,那端口都封住了怎么与别的计算机通信呢?
在Internet上相互通信是靠TCP/IP协议完成的,而上网访问网页时,是在本机上随机打开一个大于1024的端口去连服务器的80服务端口,用Telnet协议登陆其它设备也是在本机上随机打开一个大于1024的端口去连服务器的23服务端口。“Internet 连接防火墙”封住的是服务端口,例如HTTP的80端口,FTP的21端口、TELNET的23端口等,只要系统提供了这些服务,一开机这些端口就是开放的,等待别的计算机连接到提供服务的计算机上,可以说这些端口是长期有效的。而随机打开的端口是临时的,比如当你上网访问一个网站,你的计算机随机开个端口1026连接到网站服务器的80端口,当访问完毕关闭网页后,本机的1026端口随之关闭,而服务器的80端口始终是开着的。有上可见“Internet 连接防火墙”是封住的服务端口,而不是临时打开的端口,所以一个端口不添加也可正常上网。WIN98默认不提供任何服务就没有打开的端口,不照样能正常上网吗?
同上大家上网不用提供任何服务,所以不需要开放任何端口,但是要利用一些网络联络工具,比如要开通FTP服务的话,就要把“21”这个端口打开,同理,如果发现某个常用的网络工具不起作用时,请查清它在本机所开的端口,然后在“Internet 连接防火墙”中添加端口就行了。
爱电脑 就爱www.zzzyk.com 电脑知识网