巧用防火墻，讓本本安全上網

來源:用戶上傳      作者:

　　 對于本本用戶來說，使用本本可以隨時上網沖浪。但是，如何保證本本上網安全，避免遭遇不必要的風險，是其不得不考慮的問題。除了使用各種安全工具保護本本安全外，其實還使用系統內置的防火墻，無須進行復雜的配置，就可以讓本本安全地連接外部網絡。這里就使用具體的實例，來說明實現的方法。
　　 將惡意網站拒之門外
　　 在上網瀏覽時，經常有一些惡意或者自己不喜歡的頁面不請自來。為了避免騷擾，可以利用防火墻規則將其拒之門外。例如，不管是電信寬帶，還是聯通寬帶，運行商都會自作聰明地配置錯誤網頁提示功能。當您訪問并不存在網址時，會自動被定向到ISP默認的錯誤頁面中。例如對于某型寬帶來說，當訪問錯誤網址時，會進入某個特定錯誤處理網頁，其中還會夾雜著廣告，讓人不勝其煩。
　　 在CMD窗口中利用Ping命令對“xxxxxxxxxxx.xx.com.cn”網址進行探測（X代表具體網址），得到其真實的IP地址，例如“218.xx.xxx.xx”。在Windows防火墻管理窗口左側點擊“高級設置”項，在高級安全Windows防火墻窗口左側點擊“入站規則”項，在窗口右側的“操作”欄中點擊“新建規則”項，在規則創建向導界面中選擇“自定義”項，在下一步窗口左側點擊“作用域”項，在窗口右側的“此規則應用于哪些本地IP地址”欄中選擇“任何IP地址”項。在“此規則應用于哪些遠程IP地址”欄中選擇“下列IP地址”項，點擊“添加”按鈕，在彈出窗口（圖1）中選擇“此IP地址或子網”項，輸入上述IP地址。在下一步窗口中選擇“阻止連接”項，點擊左側的“配置文件”項，在右側選擇所有項目，包括域、專用、公用等。在下一步窗口中為本規則設置名稱，輸入描述信息。點擊“完成”按鈕，完成本規則創建操作。這樣，當系統試圖訪問禁用的IP后，就會遭到防火墻的攔截，進而避開錯誤網頁的騷擾。當然，按照這種方法，可以限制針對任何IP或者IP地址群的訪問，靈活的避開各種惡意網頁的侵襲。
　　 攔截非法網絡連接
　　 Windows防火墻不僅可以攔截對特定網站的訪問，還可以封鎖任意程序的上網通道，讓其無法連接外部網絡。例如當您發現木馬潛入本機，而殺毒軟件并沒有對其清除，那么該木馬程序很可能經過了免殺處理。為了防止其非法連接外部主機，泄露本機數據，最直接的方法就是切斷其連接的網絡通道。比如您發現名稱為“xxx.exe”的程序藏身到系統目錄中，非法打開了后門，試圖和遠方的黑客建立聯系，就可以按照上述方法，建立一條安全規則。
　　 注意應該選擇“出站規則”項。在規則創建窗口中選擇“自定義”項，在窗口左側選擇“程序”項，在右側窗口中選擇“此程序路徑”項，點擊“瀏覽”按鈕，選擇該木馬程序，例如“c：＼windows＼system32＼xxx.exe”。在下一步窗口左側點擊“操作”項，在右側窗口選擇“阻止連接”項。按照上述方法，選擇所有作用域對象。接著輸入該規則名稱和描述信息，完成該規則的創建操作。這樣，該木馬程序就無法連接外部網絡了。當然，您可以靈活地使用上述方法，對任何程序進行限制，防止其和外界建立網絡通道。
　　 完全掌控本本聯網權限
　　 在高級安全Windows防火墻窗口右側打開“本地計算機上的高級安全Windows防火墻”項，在其下點擊“屬性”項，在彈出窗口（圖2）中的“域配置文件”面板中的“防火墻狀態”列表中選擇“啟用（推薦）”項，在“入站連接”列表中選擇“阻止所有連接”項，在“出站連接”列表中選擇“阻止”項，之后點擊確定按鈕，就可以切斷進出本機的所有連接，將本機徹底和外界隔離開來。順帶說一句，在這種情況下，即使病毒或者木馬潛入系統，也無法和Internet建立任何連接，接下來您就可以使用安全工具圍捕病毒了。當然，為了僅僅讓指定的程序連接網絡，我們必須在此基礎上對System和DNS兩大系統對象開放網絡連接才行。
　　 按照上述方法，在“出站規則”模塊中新建一個新規則，在規則創建向導窗口中選擇“程序”項，在下一步窗口中選擇“此程序路徑”項，在其下直接輸入“System”，在下一步窗口中選擇“允許連接”項，之后輸入該規則名稱和描述信息，完成規則創建操作。
　　 提起DNS，大家都不會陌生，利用DNS域名解析功能，可以輕松完成域名和IP的轉換，加快網絡訪問速度。因為DNS是網絡訪問的基石，所以應該放行DNS服務?？梢园凑丈鲜龇椒ǎ凇俺稣疽巹t”模塊中新建一個新規則，在規則創建向導窗口中選擇“自定義”項，在下一步窗口中選擇“此程序路徑”項，在其下點擊“瀏覽”按鈕，選擇“C：＼Windows＼System32＼Svchost.exe”程序。在下一步窗口中的“協議類型”列表中選擇“UDP”項，在“本地端口”列表中選擇“特定端口”項，在其下輸入“1024～65536”。表示允許其使用本地端口的范圍為1024～65536。在“遠程端口”列表中選擇“特定端口”項，在其下輸入端口號53。依次點擊下一步按鈕，配置均采用默認設置。注意，在“配置文件”窗口中可以根據實際需要，選擇公用或者專用類型。輸入規則名稱和描述信息，來創建該規則。
　　 完成以上操作后，本本就不再處于網絡孤島狀態，具有了最基本的網絡連接能力。接下來就可以為特定的程序開放網絡連接特權了。這里以開放IE瀏覽器網絡訪問特權為例，介紹具體的實現方法。按照上述方法，在“出站規則”模塊中創建一條新規則，在向導界面中選擇“自定義”項，在下一步窗口（圖3）中選擇“此路徑程序”項，點擊“瀏覽”按鈕，選擇IE主程序路徑，例如“C：＼Program？Files＼InternetExplorer＼iexplorer.exe”。
　　 在下一步窗口中的“協議類型”列表中選擇“TCP”項，在“本地端口”列表中選擇“特定端口”項，在其下輸入“1024～65536”。在“遠程端口”列表中選擇“特定端口”項，在其下輸入端口號53。這表示允許IE使用本機的TCP端口（范圍為1024～65536）訪問任意目標主機的80端口，實現正常的網頁瀏覽操作。依次點擊“下一步”按鈕，使用默認的配置參數即可。在“配置文件”窗口中可以根據實際需要，選擇公用或者專用類型，之后輸入本規則的名稱和描述信息，完成規則創建操作。使用了該規則后，IE就可以自動訪問網絡了。當然，您可以根據實際需要，有選擇地開放所需程序的網絡訪問權限，創建相應規則的方法與上述完全相同。
轉載注明來源:http://www.hailuomaifang.com/8/view-14856019.htm