監聽程式安全狀態,程式非法連接一目了然 對於系統對網路的訪問情況,相信有一定電腦基礎的朋友一定會首先想到一個命令:netstat an。執行之後像這樣: 有經驗的相信還是可以從中得到不少資訊的。像上邊的列表,可以知道這部電腦開了WIN2000付帶的終端服務(3389端口 PORT),並也可以進行網路芳鄰的訪問(139端口 PORT)等。目前部份的防火牆也沿襲這樣的列表式做界面。然而這樣的列表式對初級用戶而言無異於有字天書,而且網路的訪問最終是和應用程式相關的,不同的應用程式對網路使用的情況都會有不同狀況;更有甚者,當您從以上的列表式中發現有非法的執行情況時,卻無法找到是哪個特定的指令或程式來應付,有時真的讓人非常苦惱。 天網防火牆個人版把網路訪問情況和應用程式動作情況結合起來,形成有全球獨一無二的特色“應用程式網路狀態”功能。這就解決了以上的問題;對用戶而言也有了個清晰、易懂、易用能監控自己電腦的網路應用情況的強大工具。 像以上的WIN2000那個列表式,在天網防火牆個人版應用程式訪問網路情況列表中就是這樣的簡單易懂,連阿嬤都看的懂喔~~ :)【包含了這個程式在那個根目錄、子目錄、版本編號、使用那種通訊協議是TCP或是UDP、那個端口 PORT】: 天網防火牆個人版把監聽端口 PORT和應用程式執行列表式結合起來,可以很方便的監控電腦的應用程式對網路的狀況。一旦發現有非法的執行訪問網路,可以及時的制止。例如像以上的列表,由於我們發現7626端口 PORT有不正常的跡象(當然啦,那可是大陸地區大名鼎鼎的木馬“冰河”的預設端口 PORT哦),順著這個找,發現是一個“應用程式”KERNEL32.EXE所打開的監聽端口 PORT(這就是“冰河”的服務器SERVER端檔案啦)。於是我們立即要制止它,像這樣: 把它的處理程序“殺”掉!!!哈哈,這回你這隻木馬就沒有辦法了吧。然後,清除登錄表裏有關“KERNEL32.EXE”的值﹔最後把所顯示路徑的檔案F:\win2ksrv\system32\kernel32.exe刪除光光……哈哈哈,“冰河”就去蘇州賣鴨蛋~~死翹翹~~ 可以看到,天網防火牆個人版“應用程式網路狀態”功能是一個很強大,也是對用戶很親和的功能。大家在應用中如果有什麼心得,請不要忘了和大家分享哦^_^! 記錄惡意探測攻擊,日誌記錄功能洞察秋毫 天網防火牆個人版將會把所有不合規則的數據封包攔截並且記錄下來,每條記錄從左到右分別是發送/接受時間、發送IP地址、數據封包類型、本機通訊端口 PORT、對方通訊端口 PORT、標誌位、最後處理情形。 天網防火牆個人版可以攔截絕大多數網路攻擊數據封包和一些病毒感染攻擊數據封包,例如木馬攻擊、Floop攻擊等,這些數據被攔截後,會被記錄在日誌上,您可以透過日誌很快找出攻擊者的攻擊時間和IP地址,如下圖: 這是天網防火牆個人版攔截了前段時間造成全球數十億美元損失的“Code-Red 紅色代碼”蠕蟲病毒發出的數據封包的日誌截圖,從上圖可以看到有個 61.222.49.217 61.222.74.102 這個可憐的IP感染了“Code-Red 紅色代碼”病毒,其正在向天網防火牆個人版用戶的電腦80端口 PORT發送蠕蟲病毒感染數據封包(好像直銷喔!!找下線一起參加“Code-Red 紅色代碼中毒者俱樂部-有裝防毒程式者也參加了喔”),但統統被天網防火牆個人版攔截掉了(天網防火牆個人版各版本最陽春基本功能哦^_^!)。 天網防火牆個人版還可以攔截攻擊者對您的電腦發出掃描和探測數據封包,如下圖: 從這個截圖可以看出,61.144.60.206這個IP地址(死嬰ㄚ)的電腦正在Ping天網防火牆個人版用戶的電腦,Ping命令雖然不能對系統造成太大攻擊(但也不能完全這麼說,在早期的Win-95、98版本(說不定您勤儉愛家就還是在用)由於設計時尚未考慮網路上變態、怪人一堆(後來就稱〝系統漏洞〞),透過特殊的Ping指令是可以造成藍屏當機(系統忙碌當機),但可以透過一些參數探測出一些資訊,這些資訊對攻擊可能有一定幫助。 天網防火牆個人版強大攻擊攔截功能和詳盡的日誌功能可以攔截絕大多數攻擊和對您電腦的探測行為。但有一點需要強調,不是所有的被攔截的數據封包都意味著有人在攻擊您,有些正常的數據封包但可能由於您設置的安全級別過高而不符合安全規則,也會被天網防火牆個人版攔截下來並且發出警報。 另外天網防火牆個人版還可以透過日誌來查看進出您電腦的TCP及UDP數據封包,如果您在自定義IP規則設置裏面選中了“TCP數據封包監視”或者“UDP數據封包監視”,天網防火牆個人版的日誌也會自動記錄您電腦所有進出TCP或UDP數據封包,包括發送和接受數據封包的IP地址、時間、端口 PORT等(您可偷偷看著自己訪問的網站或QQ / ICQ的數據跑到那去,網站或QQ / ICQ聊天中對方的IP和端口 PORT是那些,那會是超過癮的哦!^_^,但可不要拿來做壞事喔!因為對方可能也是天網俱樂部會員ㄚ)。 直觀安全級別設置,菜鳥操作簡單無需設定 天網防火牆個人版安全級別分為高、中、低、自定義三級,預設的安全等級為中,其中各安全級別設置如下: 低:所有應用程式初次訪問網路時都將詢問,已經被認可的程式則按照設置的相應規則運作。電腦將完全信任區域(局域)網,允許區域(局域)網內部的電腦訪問您電腦提供的各種網路共享服務(檔案、印表機共享服務)但禁止網際網路(互聯網)Internet上的電腦訪問這些服務。 中:所有應用程式初次訪問網路時都將詢問,已經被認可的程式則按照設置的相應規則運作。禁止區域(局域)網內部和網際網路(互聯網)Internet的電腦訪問您電腦提供的各種網路共享服務(檔案、印表機共享服務),區域(局域)網和網際網路(互聯網)Internet上的電腦將無法看到您的電腦。開放動態規則管理,允許授權執行程式開放端口 PORT。 高:所有應用程式初次訪問網路時都將詢問,已經被認可的程式則按照設置的相應規則運作。禁止區域(局域)網內部和網際網路(互聯網)Internet的電腦訪問訪問您電腦提供的各種網路共享服務(檔案、印表機共享服務),區域(局域)網和網際網路(互聯網)Internet上的電腦將無法看到您的電腦。除了是由已經被認可的程式打開的端口 PORT,系統會屏蔽掉向外部開放的所有端口 PORT。 對於一般的初級用戶,可以把安全級別訂定在中或者高,用天網防火牆個人版這兩個設定的安全級別,即可以放心攔截絕大多數網路攻擊。在有特殊應用狀的時候,例如別人需要透過區域(局域)網訪問您的共享資料夾,這時再把安全級別定回到低,這些都僅僅只需要把滑鼠輕輕一點,網路安全級別設置界面如下圖: 對於一些對網路安全有一定了解的用戶還可以選擇自定義級別,這樣您就可以自己定義天網防火牆個人版的規則【當然如果您熟悉TCP/IP通訊協議,您就可輕鬆將天網防火牆個人版裝置在SERVER服務器上了,無需再耗費大筆資金添購所謂SERVER專用防火牆軟體了】,天網防火牆個人版的規則設置也十分簡單,對於大多數設置只需要在前面的低、中、高安全級別複選框上點選就OK啦。 避免後門軟體作祟,應用程式規則疏而不漏 天網防火牆個人版在2.4版本後各版本加入部份同業廠商生產的個人版防火牆沒有的應用程式規則功能,它對應用程式數據封包進行底層分析攔截功能,可以控制應用程式發送和接收數據封包的類型、通訊端口 PORT,並且決定攔截還是透過,這是目前很多軟體防火牆不具有的功能。 在天網防火牆個人版打開的情況下,啟動的任何應用程式只要有通訊數據封包發送和接收存在,都會先被天網防火牆個人版先截獲分析,並彈出窗口。 應用程式規則有什麼用處呢?它的功能可強大呢,首先它可以把任何包括木馬在內的後門軟體給抓出來,我們看下面的截圖: 這個截圖是在Flashget剛啟動時天網防火牆個人版的警告資訊,這說明Flashget在啟動後進行了網路聯結,這個網路聯結是連接Flashget的廣告服務器的(太爛啦,試用一下也要偷開廣告轟炸,萬一服務器中毒或被入侵,那............媽ㄚ*_* ~)。從這裏可以看出,任何程式只要進行網路通訊,天網防火牆個人版就可以發現,這樣任何程式可能設置的後門程式在天網防火牆個人版下面都毫無作用。 我們知道有一些程式故意設置了一些後門,故意借此將用戶各種個人隱私資訊不知不覺的發送出去,如最新要推出某牌操作系統就會把您電腦的一些資訊發送到他們的資料庫裏面用以防止盜版情況(本意是對的,請您支持原版軟體^_^ )。透過天網防火牆個人版的應用程式規則您就可以阻塞這種通訊,從而保護您的個人隱私資訊和避免廣告等的侵擾。 接下來再看下一幅截圖: 這曾是著名的木馬Netspy,這表明電腦系統已經被中下了Netspy木馬(歡迎!!加入木馬一族俱樂部),並且已經有攻擊者(死嬰ㄚ)透過客戶端Client在連接您的Netspy,這個攻擊者(死嬰ㄚ)的地址是211.159.96.136,這時您可以禁止聯結請求,這樣即使您的電腦系統被種下了木馬,攻擊者還是無法對您的系統進行操縱。 您可以設置該應用程式禁止使用TCP或者UDP協議傳輸,以及設置端口 PORT過濾,讓應用程式只能透過固定幾個通訊端口 PORT或者一個通訊端口 PORT範圍接收和傳輸數據,當您做這些設置時,您可以選擇詢問和禁止操作。 免疫新型網路病毒,系統漏洞掃描修復功能 從最近大規模爆發的兩種新型病毒---“Code-Red 紅色代碼”和“NIMDA概念 、Klez”蠕蟲病毒來看,它們都是利用系統漏洞來迅速的複製感染自己,“Code-Red 紅色代碼”是利用 I I S 的漏洞,“NIMDA概念、Klez”利用的是 I E 漏洞。 事實証明,天網防火牆個人版對“Code-Red 紅色代碼”和“NIMDA概念、Klez”病毒均有免疫和防範作用,“Code-Red 紅色代碼”是利用感染的電腦向同一網段內的電腦的80端口 PORT發送病毒感染數據封包,這種數據封包在裝有天網防火牆個人版的電腦上會被防火牆認為帶有攻擊性質的數據封包被攔截,這等於阻止了“Code-Red 紅色代碼”感染的網路途徑。 天網防火牆個人版在V2.44後的版本中加入了天網安全檢測修復系統,這個程式可以檢測到包括 I E、Outlook、Outlook Express 漏洞在內等絕大多數視窗操作系統的漏洞,並且對其進行進一步的修復動作。“NIMDA概念、Klez”病毒所利用的就是 I E 漏洞,使用戶在點擊了帶有“NIMDA概念”病毒的郵件後,自動執行病毒,透過天網安全檢測修復系統可以修復這個漏洞,使用戶對“NIMDA概念、Klez”病毒的攻擊免疫^_^。 這兩種對全球經濟造成重大損失新病毒的出現表明,病毒正在朝著網路化傳播方向發展,因為透過網路可以十分迅速的傳播,而這時它們借助的往往是系統網路安全漏洞,所以新型病毒不僅僅需要借助防病毒軟體,還需要借助於專業型防火牆軟體以堵塞住這些新型病毒利用的漏洞和傳播途徑。 |
留言
張貼留言