欢迎使用遥骢安全网的故障查询系统

5.2.3 防黑
一、天网防火墙简介
天网防火墙（SkyNet-FireWall）个人版（简称为天网防火墙）是一款由天网安全实验室制作的给个人电脑使用的网络安全程序。它根据系统管理者设定的安全规则（Security Rules）把守网络，提供强大的访问控制、身份认证、应用选通、网络地址转换（Network Address Translation）、信息过滤、虚拟专网（VPN）、流量控制、虚拟网桥等功能。它可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与天网安全实验室的网站（WWW.SKY.NET.CN）相配合，根据可疑的攻击信息，来找到攻击者。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，它适合于任何拨号上网的用户，也适合通过网络共享软件上网的用户。目前最新的版本是2.4.8beta版本。
目前天网防火墙已经得到了“中国公安部信息安全产品认证”和“中国国家信息安全测评认证中心信息安全产品认证”。
这也是目前唯一一套由中国本土安全公司——广州市众达迅通技术有限公司开发的个人版防火墙软件，天网在自99年推出天网个人版防火墙V1.0后，连续推出了V1.01、V2.0、V2.01、V2.03等更新版本，现在最新版本为V.2.4.8 Beta1版本，到目前为止，天网安全阵线已经接受了数百万次下载天网个人防火墙的请求，如果计算其他网站的下载，天网个人版防火墙已经进入到愈千万中国互联网用户的个人电脑的桌面上了，为中国无数的网民提供了安全保障。
二、安装天网个人版防火墙
目前天网个人版防火墙是国内外针对个人用户最好的软件防火墙之一，在目前，互联网攻击数量直线上升的情况下，你随时都可能遭到各种恶意攻击，这些恶意攻击可能导致的后果是，你的上网账号被窃取，银行账号被盗用，电子邮件密码被修改，财务数据被利用、机密文件丢失，隐私被曝光，甚至黑客通过远程控制删除了你硬盘上所有的数据，整个系统全线崩溃。为了抵御黑客的攻击，你必须在你的个人电脑上安装一套天网个人版防火墙系统，拦截一些来历不明的有害敌意访问。
1. 天网个人版防火墙系统环境要求
软件环境：
Microsoft Windows 98
Microsoft Windows NT4.0 SP4、SP5或SP6
Microsoft Windows 2000
硬件环境：
PC兼容机Intel x86
至少32MB RAM，建议64M
至少4MB磁盘空间，建议16M
2.天网个人版防火墙下载安装
最新版本的天网个人版防火墙可在天网安全阵线下载(http://www.sky.net.cn)，在其他专业下载网站也可以找到天网个人版防火墙，下载保存完毕后，如果你装有老版本的天网防火墙，请先卸载，然后直接运行安装文件即可，如图5-9所示。
图5-9
第一步，选择安装的路径，“天网”默认的安装路径也是C：\Program File文件夹，但是我们也可以通过单击右边的“浏览”按钮来自行设定安装的路径，如图5-10所示。
图5-10
在设定好安装的路径后程序会提示你建立程序组快捷方式的位置，如图，我们只要选择“下一步”就可以了，如图5-11和5-12所示。
图5-11
接下来是一个复制文件的过程，在复制完成后系统会提示必须重新启动计算机，安装好的程序才会生效，如图5-13和5-14所示。
图5-13
图5-14
安装完成后，按提示重启计算机即可。
3. 天网个人版防火墙运行
重启计算机后，你的软件将新增“天网防火墙个人版”程序组，请执行这一程序组下的“天网防火墙个人版”。
在第一次运行天网防火墙个人版，会弹出一个注册码的窗口，请你到按弹出窗口的指示到天网安全阵线上注册用户获得注册码。
一般天网防火墙运行后会自动缩为托盘上的一个小图标。
4. 天网个人版防火墙卸载
天网个人版防火墙提供了自动卸载程序，如图5-15所示：
图5-15
直接运行卸载天网防火墙个人版即可顺利卸载掉天网个人版防火墙。
5.安装注意事项
(1)本软件适用于 Widows 98 / ME / 2000 / NT SP6操作系统平台。
(2)如果你安装了旧版本的天网防火墙，请先卸载掉。
(3)安装软件无法写入或更新使用中的文件，安装前请先关闭所有打开的软件（包括本公司出品的其他软件）。
(4)安装软件时，将复制相关文件至你的计算机中，你可能会被要求重新启动再次安装，若安装程序在安装中出现错误，可能是你的系统文件中已存在相同文件名的文件且此文件正被其他程序使用中，你可以选择“忽略”错误以跳过这些文件的安装，程序仍可进行安装。
(5)安装时若出现是否取代旧文件，请视情形尽量选择保留较新文件。
三、设置天网个人版防火墙
运行天网个人版防火墙后，你可以看一款非常漂亮简洁的界面：
这时，你可以根据自己安全需要设置天网个人版防火墙，天网个人版防火墙提供了应用程序规则设置、自定义IP规则设置、系统设置、安全级别设置等功能。
1.应用程序规则设置
新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。
在天网个人版防火墙打开的情况下，启动的任何应用程序只要有通讯数据包发送和接收存在，都会先被天网个人版防火墙先截获分析，并弹出窗口，如图5-17所示。
图5-17
如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。如果你选中以后都允许选项，该程序将自动加入到应用程序列表中，天网个人版防火墙将默认不会再拦截该程序发送和接受的数据包，但你可以通过应用程序设置来设置更为复杂的数据包过滤方式。 应用程序规则的设置界面如图5-18所示。
图5-18
单击该面板每一个程序的选项按钮即可设置应用程序的数据通过规则，如图5-19所示：
图5-19
你可以设置该应用程序禁止使用TCP或者UDP协议传输，以及设置端口过滤，让应用程序只能通过固定几个通讯端口或者一个通讯端口范围接收和传输数据，当你做这些设置时，你可以选择询问和禁止操作。
对应用程序发送数据包的监察可以使你了解到你的系统有那些程序正在进行通讯，如现在有一些共享软件会在运行的时候从设定好的服务器取一些广告，还有一些恶意的程序会把你个人隐私信息发送出去，如微软最新要推出Windows XP操作系统就会把你计算机的一些信息发送到微软的
数据库里面以防止盗版情况，通过天网防火墙你可以禁止这些程序数据通讯操作。
另外，木马也是一样的，天网防火墙可以觉察到攻击者对木马的控制通讯，这也是新版天网个人版防火墙添加最令人惊喜的强大功能之一。
2.IP规则设置
程序规则设置是针对每一个应用程序的，而IP规则设置是针对整个系统的，IP规则是针对整个系统的数据包监测，IP规则设置的界面如图5-20所示：
图5-20
关于各项设置的具体意义，我们这里只拣几项重要的来解释，实际上“天网防火墙个人版”本身已经默认设置好了相当的安全级别，一般用户，并不需要自行更改。
防御ICMP攻击：选择时，即别人无法用 PING 的方法来确定你的存在。但不影响你去 PING 别人。由于ICMP协议现在也被用来作为蓝屏攻击的一种方法，而且该协议对于普通用户来说，是很少使用到的。
防御IGMP攻击：IGMP是用于传播的一种协议，对于MS Windows 的用户是没有什么用途的，但现在也被用来作为蓝屏攻击的一种方法，建议选择此设置，不会对用户造成影响。
TCP数据包监视：选择时，可以监视你机器上所有的TCP端口服务。这是一种对付特洛依木马客户端程序的有效方法，因为这些程序也是一种服务程序，如果关闭了TCP端口的服务功能，外部几乎不可能与这些程序进行通讯。而且，对于普通用户来说，在互联网上只是用于WWW浏览，关闭此功能不会影响用户的操作。但要注意，如果你的机器要执行一些服务程序，如FTP SERVER、HTTP SERVER 时，一定不要关闭功能，而且，如果你用IC问来接受文件，也一定要将该功能正常，否则，你将无法收到别人的文件。另外，选择监视TCP数据包，也可以防止许多端口扫描程序的扫描。
UDP数据包监视：选择时，可以监视你机器上所有的UDP服务功能。不过通过UDP方式来进行蓝屏攻击比较少见，但有可能会被用来进行激活特洛依木马的客户端程序。
如果你使用了采用UDP数据包发送的IC问和OIC问，就不可以选择阻止该项目，否则，你将无法收到别人的IC问信息。
对于规则的条目，我们也可以进行排序，删除，修改的操作，修改操作的按钮是上图中左起第2个按钮，操作的界面如图5-21所示。
图5-21
安全规则的设置是系统最重要，也是最复杂的地方。如果你不熟悉网络，最好不要调整它，你可以直接使用天网帮你设计的规则。如果你熟悉网络，就可以非常灵活的设计合适自己使用的规则。
简单的说，规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。
这个页面由3个部分组成：
●工具条
你可以点击上面的按钮来导入，增加，修改，删除规则。由于规则判断是由上而下的，你还可以通过点击“调规则上下移动”按钮调整规则的顺序（注意：只有相同协议的规则才可以调整相互顺序），当调整好顺序后，可按“保存”按钮保存你的修改。当规则增加或修改后，为了让这些规则生效，还要点击“应用新规则”按钮。
当前这个版本没有增加功能，请密切注意天网将要发布的正式版。
●规则列表
这里列出了所有的规则的名称、该规则所对应的数据包的方向、该规则所控制的协议、本机端口、对方地址和对方端口，以及当数据包满足本规则时所采取的策略。
在列表的左边为该规则是否有效的标志，如果标记为钩表示改规则有效，否则表示无效。当你改变这些标志后，请注意按保存键。
●规则说明
这里列出了规则的详细说明。
你可以从天网的网站上下载我们帮你定制的安全规则，（天网日后会根据用户们的反映来设置一些规则。）然后单击“导入”按钮将规则加入到你的防火墙中。
点击增加按钮或选择一条规则后按修改按钮，就会激活编辑窗口。首先输入规则的“名称”和“说明”，以便于查找和阅读。然后，选择该规则是对进入的数据包还是输出的数据包有效。“对方的IP地址”，用于确定选择数据包从哪里来或是去哪里，这里有几点说明：“任何地址”， 是指数据包从任何地方来，都适合本规则，“局域网网络地址”是指数据包来自和发向局域网，“指定地址”是你可以自己输入一个地址，“指定的网络地址”是你可以自己输入一个网络和掩码。除了录入选择上面内容，还要录入该规则所对应的协议，其中，“IP”协议不用填写内容。
“TCP”协议要填入本机的端口范围和对方的端口范围，如果只是指定一个端口，那么可以在起始端口处录入该端口，结束处，录入0。如果不想指定任何端口，只要在起始端口都录入 0。TCP标志比较复杂，你可以查阅其他资料，如果你不选择任何标志，那么将不会对标志作检查。
如果你录入了IP协议的规则，一定要保证IP协议规则的最后一条的内容是对方地址：任何地址；动作：继续下一规则。
“ICMP”规则要填入类型和代码。如果输入255，表示任何类型和代码都符合本规则。
“IGMP”不用填写内容。
当一个数据包满足上面的条件时，你就可以对该包采取行动了：
“通行”指让该数据包畅通无阻的进入或出去。
“拦截”指让该数据包无法进入或出去。
“继续下一规则”指不对该数据包作任何处理，由该规则的下一条规则来确定对该包的处理。
在执行这些规则的同时，还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容，并用右下脚“天网防火墙个人版”图标是否闪烁来“警告”，或发出声音提示。
建立规则时，请注意下面的建议：
1.防火墙的规则检查顺序与列表顺序是一致的。
2.当你有局域网时，又只想对局域网开放某些端口或协议（但对互联网关闭）时，可对局域网的规则采用允许“局域网网络地址”的某端口、协议的数据包“通行”的规则，然后用“任何地址”的某端口、协议的规则“拦截”，就可实现你的目的。
3.注意，如果你录入了IP协议的规则，一定要保证 IP协议规则的最后一条的内容是：对方地址为任何地址，动作：“继续下一规则”，否则其他协议的规则会执行不到。
4.不要滥用“记录”功能，一个定义不好的规则加上记录功能，会产生大量没有任何意义的日志，并浪费大量的内存。
3.系统设置
天网个人版防火墙系统设置界面如图5-22所示。
候自动启动，否则天网防火墙需要手工启动。
防火墙自定义规则重置，占击该按钮，防火墙将弹出窗口，如图5-23所示。
图5-23
如果确定，天网防火墙将会把防火墙的安全规则全部恢复为初始设置，你对安全规则的修改和加入的规则将会全部被清除掉。
局域网地址：重新设置你在局域网内的地址。
报警声音：设置报警声音，你可以自已选择一个声音文件做为天网防火墙预警的声音。初始状态是没有设置报警声音的，单击重置将采用天网防火墙默认的报警声音。
4. 安全级别设置
天网个人版防火墙安全级别分为高、中、低三级，默认的安全等级为中，其中各自的安全设置如下：
低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务），但禁止互联网上的机器访问这些服务。
中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。
高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。
5.断开/接通网络
如果按下断开/接通网络按钮，那么你的机器就将完全与网络断开了，就好象拔下了网线一样。没有任何人可以访问你的机器，但你也不可以访问网络。这是在遇到频繁攻击的时候最有效的应对方法。
6.日志查看
天网个人版防火墙将会把所有不合规则的数据包拦截并且记录下来，如果你选择了监视TCP和UDP数据包，那你发送和接受的每个数据包也将被记录下来。每条记录从左到右分别是发送/接受时间、发送IP地址、数据包类型、本机通讯端口，对方通讯端口，标志位。
有一点需要强调，即不是所有的被拦截的数据包都意味着有人在攻击你，有些正常的数据包但可能由于你设置的安全级别过高而不符合安全规则，也会被天网防火墙拦截下来并且报警，如你设置了禁止别人Ping你的主机，如果有人向你的主机发送Ping命令，天网防火墙也会把这些发来的数据拦截下来记录在日志上并且报警。
安全日志可以导出和被删除，其上面左右两个按钮分别为存为文件和清空日志的按钮。
7. 关于程序
关于你目前使用的“天网防火墙个人版”的产品信息，如版本号等等，如图5-24所示。
四、天网网站的其他服务
在获得“天网防火墙个人版”注册号的同时也就自动成为了“天网”网站的注册用户，“天网”网站除了提供了对“天网防火墙个人版”的升级，针对客户需要的新规则的制订、下载等服务，同时还提供了在线的系统检测服务，如图5-25所示。具体包括的项目和功能如下：
图5-25
信息泄露检测：检测你的电脑系统是否存在信息泄漏的危险性。如果你的电脑系统存在安全漏洞，检测系统会显示出你的计算机名，甚至会检测出你的共享文件目录和打印机的名称，并把共享目录里的具体内容列出来。
系统安全性检测：如果电脑系统存在漏洞，你很可能会成为网络上的攻击对象。该项检测的目的就是验证你的系统是否存在这样的漏洞。同时“天网”网站还提供了一个个人电脑网络安全软件，可以帮助你填补这些漏洞。如图5-26和5-27所示。
图5-26
图5-27
网络端口扫描：扫描你的系统是否存在开放的易于被攻击的网络端口。
Ddos Slave扫描：在黑客攻击的事件中，许多接入互联网的计算机被黑客利用来作为攻击其他网站或计算机的傀儡。因为这些计算机被黑客植入DDOS攻击的代理程序，所以黑客控制这些代理程序来对外攻击，从而掩护自己的身份。DDOS Slave扫描是检查你的系统里是否存在这种代理程序。
以上的检测和扫描服务，都是通过“天网防火墙个人版”网站服务器的特定程序模拟入侵者扫描和刺探的过程，都将在完成后给你一个完整的报告，并给出适当的建议。