教你打造一道超级防御的电脑防火墙

子夜的金

: n0 i" @. |5 J9 J) {! A' S4 X我们遇到的入侵方式大概包括了以下几种：

0 L# c/ R/ y( }( B% J7 U(1) 被他人盗取密码；
2 M3 g& ]( G8 ^2 {) y7 |
& @7 h7 |8 s) w$ q; a7 X4 A(2) 系统被木马攻击；

(3) 浏览网页时被恶意的java scrpit程序攻击；
4 m3 A. ^" B- s& M8 a: w' M* P
(4) QQ被攻击或泄漏信息；
' Y; K  w4 g# P. Z4 s8 g
(5) 病毒感染；

(6) 系统存在漏洞使他人攻击自己。
& F: z# \- I3 @+ T
& r" z3 P7 K: v9 o+ u(7) 黑客的恶意攻击。

下面我们就来看看通过什么样的手段来更有效的防范攻击。
! s2 ], c. P5 d' y7 P. T$ Q
1.察看本地共享资源

3 K7 p$ M6 M0 J8 N; l; u. ^! O/ J+ T运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

: @  d3 X+ ^2 I' B5 P% l2.删除共享(每次输入一个）

net share admin$ /delete
net share c$ /delete
7 p8 X9 i7 m6 D0 E& N) [$ }5 Unet share d$ /delete（如果有e，f，……可以继续删除）
: z4 R- J4 V5 x& `
3.删除ipc$空连接
5 M8 _6 s* w, {2 K
5 ~# m8 L5 r, I/ V! G6 `在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。

& l9 e/ `0 C9 m: l5 I: {9 |4.关闭自己的139端口，Ipc和RPC漏洞存在于此

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
. I8 s  s: X8 E
5．防止Rpc漏洞

- n( }6 g1 ]; o. D0 C8 ~/ p打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。
2 f( P6 X; V/ z& E
: n8 `. V( k% r" X: J) ?Windwos XP SP2和Windows2000 Pro Sp4，均不存在该漏洞。

6．445端口的关闭
/ S) S8 R4 J: I0 u
修改注册表，添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
8 G. R/ I. ^  {% Q4 ]* X
5 w, V# b; Z7 l$ `7．3389的关闭
& d+ Z, {' X) V% g" ^
WindowsXP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）

使用Windows2000 Pro的朋友注意，网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。

' |/ n+ N  a3 Y8．4899的防范

网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。
. ~- i, N# O5 S4 v
( @% F, f4 o- Q4 T4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务
, Q  x5 {$ w8 W" z7 o! \
2 x( c2 J2 D: ~8 o打开控制面板，进入管理工具——服务，关闭以下服务：

1.Alerter[通知选定的用户和计算机管理警报]
; y( r+ H9 m9 L2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无
6 |" i7 W7 L# \2 I) x法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
( o: I8 C) ]8 v6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]
* z8 S) E) G/ G8.Kerberos Key Distribution Center[授权协议登录网络]
; U- _4 I9 u$ n. g9 F9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
, a  e. r" j$ s4 l( Y10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
) y# [( y  e0 c* @5 A- S, I12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
- j& s$ g6 b1 w' t1 u13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
# E$ r/ ]; w  ~0 i8 j14.Print Spooler[打印机服务，没有打印机就禁止吧]
) t' V/ K) E  ~- o9 ^5 C15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
" ]' b( H. a$ i9 P. B17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
# W; b* @. X  j$ W. M4 r9 r18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
* e! I% I' f- E19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
" c9 |5 |9 @& ?. v5 u20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
* j9 c0 o6 J/ O1 I+ w  O持而使用户能够共享文件 、打印和登录到网络]
- c; e# x, n: s$ n0 b$ A21.Telnet[允许远程用户登录到此计算机并运行程序]
8 O- a! [/ R( f22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。

% ~# Y& G6 U1 R5 n9 J7 j10、账号密码的安全原则
2 \% P- h3 q" U* k4 I2 p7 [: o* F
首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。

如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。
. I. Z* e8 p. M! X
$ A* [2 W( p' Q' e打开管理工具—本地安全设置—密码策略：

1.密码必须符合复杂要求性.启用
: d+ v- Z( M- A! z( s, Z' _( w2.密码最小值.我设置的是8
  n3 K& y* U: h0 G3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用

% N$ J/ `( @; ?. E1 |" j3 y7 J　　
11、本地策略
: p& T2 \# A4 N0 I! z
这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。
% j8 o: H+ z; P" s/ k: e  y' {
( ^, h- e2 n9 f/ \( F(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

& X' ?$ C2 v% D/ |打开管理工具，找到本地安全设置—本地策略—审核策略：
6 t* ~/ i- p  d( g4 x9 m
1 R1 ?$ q% M: b0 K, }( C1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
0 b) Y  C; I3 U* t4.审核跟踪过程 无审核
8 E9 W* F8 F# M: z5.审核目录服务访问 失败
) J: Q4 r! r" H2 G- E9 U6 A6.审核特权使用 失败
7.审核系统事件 成功失败
% c* R/ s; j3 _5 h0 J8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败

&nb sp;然后再到管理工具找到事件查看器：
* `! P, `2 \' t5 w3 J9 H3 B
应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不覆盖事件。

安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不覆盖事件。
  B# {$ I1 p  v: R, |% u
+ C5 j; t# _+ I2 c' L4 k2 ~系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不覆盖事件。

12、本地安全策略
8 I! S  c4 }* F7 |7 {$ G4 ]: M9 _
2 _3 {. u# v; W, A4 w+ y( C( y8 C打开管理工具，找到本地安全设置—本地策略—安全选项：
# J7 d& U8 {1 w3 k0 g# e: e$ x0 L0 A
: j1 h- S' L' b; s　　　　
9 p8 j: k2 V% C; z2 F$ ^7 A1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登
陆的]。
; `6 K: a- ?0 R! W. h& _& g( ?2.网络访问.不允许SAM帐户的匿名枚举 启用。
  m7 t2 {6 `. n6 }3.网络访问.可匿名的共享 将后面的值删除。
4.网络访问.可匿名的命名管道 将后面的值删除。
5.网络访问.可远程访问的注册表路径 将后面的值删除。
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
5 A6 `$ }. C: v5 j7.网络访问.限制匿名访问命名管道和共享。
% [5 _5 i3 @: T; |+ L8.帐户.（前面已经详细讲过拉 ）。

子夜的金

13、用户权限分配策略
: u& i2 f9 P- q8 I$ I' d) ~& y
打开管理工具，找到本地安全设置—本地策略—用户权限分配：
& u4 |0 S; H- R4 R2 P- F
　　　　
# b% B9 A4 g9 V: E: @1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属
( c3 h+ O! C2 V3 _5 f于自己的ID。
, X, L$ a' s5 V$ W3 \  K) i2.从远程系统强制关机，Admin帐户也删除，一个都不留　。　　　
& B2 x( E7 c' P& d) X3 _' q3.拒绝从网络访问这台计算机 将ID删除。
4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务。
5.通过远端强制关机。删掉。

- @2 p, K8 U9 ~  j0 G/ d14、终端服务配置

: ]- k! c8 @" @) G/ ~! ?/ w打开管理工具，终端服务配置：
( q  J& n3 ?/ A) y5 E: G' ^4 u
1.打开后，点连接，右键，属性，远程控制，点不允许远程控制。
# T7 @) B6 [- u- t" B2.常规，加密级别，高，在使用标准Windows验证上点√!
- a3 m7 [8 m8 E9 F5 o( h' I3.网卡，将最多连接数上设置为0。
, A9 ], x  D1 z' w; b4.高级，将里面的权限也删除。
$ f+ [6 [1 J* r- T
7 m7 s, Y9 {, P. Z8 X再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话。

4 {6 R+ e" k3 e7 h: U, e" C  n15、用户和组策略

$ U( y0 U$ v$ L( u4 \" Y1 J; b8 A& |打开管理工具，计算机管理—本地用户和组—用户：

删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。

  X8 s" T- s4 T/ f: }计算机管理—本地用户和组—组，组.我们就不分组了。

5 ?5 t6 S  V! B  u! K! F16、自己动手DIY在本地策略的安全选项

　　　　
& D8 Q+ K# h9 }1 ~1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透。
+ d; W$ s* }; Y2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户
名.让他去猜你的用户名去吧。
3）对匿名连接的额外限制。
4）禁止按 alt+crtl +del(没必要）。
: o/ q, u6 I0 C0 h7 C5 N5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]。
6）只有本地登陆用户才能访问cd-rom。
3 a7 f7 P/ {5 u6 z7）只有本地登陆用户才能访问软驱。
/ D5 |" S1 }4 I! L0 l8）取消关机原因的提示。
A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签
页面；
B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确
定”按钮，来退出设置框；
4 R# B9 W: t. t2 z- A5 dC、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能
1 m) a! ?. s0 ?- g" r% W键，来实现快速关机和开机；
; p1 b0 q; _% j' J1 k) u; |0 DD、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页
面，并在其中将“启用休眠”选项选中就可以了。
8 {! I+ v# Y) |. A* W6 U4 G# s9）禁止关机事件跟踪

' Z& k+ v3 d. c! O+ R6 k开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口。

17、常见端口的介绍　　　　　　　　　　　　
% r/ ^: |1 t( x2 P; ~
TCP
2 z; P7 v( R1 W7 G8 v. S! N: U' f21　　 FTP
22　　 SSH
  y+ Z) a+ l# `* _23　　 TELNET
% c+ [% w( {) @3 R2 f" K8 w25　　 TCP SMTP
7 b! A( m1 d1 G  m; y53　　 TCP DNS
80　　 HTTP
135　　epmap
138　　[冲击波]
139　　smb
5 ^- f. ~! J# _7 _6 V! \7 r1 |$ m1 l445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
9 ?( ^8 L. Z  x1433 TCP SQL SERVER
( U" {) D1 [: O: h5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389　　 Terminal Services
4444[冲击波]
　
8 c0 }  v2 X( P3 a, J+ \UDP
67[冲击波]
+ l; E% v7 s# Z1 \, d9 q137 netbios-ns
; x$ @- p: Y% W1 F/ R6 ^1 A161 An SNMP Agent is running/ Default community names of the SNMP Agent

关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080，那么，我们只运 行本机使用4000这几个端口就行了。
1 t3 T* K7 G0 B2 K
4 X! N9 E. a; k% W18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤
. _, B1 P9 @3 k- a8 Z+ M( T
0 Q* S# Y3 J2 k6 Q开始－－运行－－cmd，输入命令netstat -a ，会看到例如（这是我的机器开放的端口）：
$ ^4 i( J( Y& J- a
Proto Local Address　　　　Foreign Address　　　　State
8 g% I9 U& d" U4 N- uTCP　　yf001:epmap　　　　 yf001:0　　　　　　 LISTE
( N5 ~( [) S# R5 l- E" LTCP　　yf001:1025（端口号）　　　　　　yf001:0　　　　　　

LISTE
, ?& }5 R1 ?1 P. f+ u$ G' Y: MTCP　　(用户名）yf001:1035　　　　　　yf001:0　　　　　　
3 P: v3 X! k6 j4 n
LISTE
' D* ]$ u( T/ {/ XTCP　　yf001:netbios-ssn　　 yf001:0　　　　　　 LISTE
UDP　　yf001:1129　　　　　　*:*
' G% G( M8 e/ F" r# \# w) mUDP　　yf001:1183　　　　　　*:*
UDP　　yf001:1396　　　　　　*:*
UDP　　yf001:1464　　　　　　*:*
UDP　　yf001:1466　　　　　　*:*
% T3 H8 B/ z) u2 W1 k1 N% PUDP　　yf001:4000　　　　　　*:*
UDP　　yf001:4002　　　　　　*:*
UDP　　yf001:6000　　　　　　*:*
UDP　　yf001:6001　　　　　　*:*
( u) i, b" P, }; ]! ?* cUDP　　yf001:6002　　　　　　*:*
' T. Q$ L  X! u! rUDP　　yf001:6003　　　　　　*:*
  b# _( |4 V( ^7 V/ ]- e$ RUDP　　yf001:6004　　　　　　*:*
UDP　　yf001:6005　　　　　　*:*
" n+ u5 y* M# _# I# MUDP　　yf001:6006　　　　　　*:*
UDP　　yf001:6007　　　　　　*:*
UDP　　yf001:1030　　　　　　*:*
! X: `' w) j* E* t4 sUDP　　yf001:1048　　　　　　*:*
# d7 O& O0 D" l; cUDP　　yf001:1144　　　　　　*:*
UDP　　yf001:1226　　　　　　*:*
! h( w9 ^: w* G( p1 j! c0 T6 |UDP　　yf001:1390　　　　　　*:*
UDP　　yf001:netbios-ns　　 *:*
! O  \. @* \; E2 ]* J4 Z" \UDP　　yf001:netbios-dgm　　 *:*
+ G% g# V1 y( V; c( bUDP　　yf001:isakmp　　　　 *:*
9 E' u/ M0 @8 q3 J* r* ~" s
现在讲讲基于Windows的tcp/ip的过滤。

) Z( \& s/ ]6 p# U8 {& W控制面板——网络和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!
" g5 c) S  b% C  w. R. j
然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。

( e4 ~) M' e. i% Z" ^# l. Z# b19、胡言乱语

(1)、TT浏览器

4 N4 L; {4 G, n$ n+ e  w6 o选择用另外一款浏览器浏览网站.我推荐用TT，使用TT是有道理的。

TT可以识别网页中的脚本，JAVA程序，可以很好的抵御一些恶意的脚本等等，而且TT即使被感染，你删除掉又重新安装一个就是。

MYIE浏览器
% m( N2 D0 z/ Q: o. r9 M- g4 m+ o
5 v, q+ _* Y% i是一款非常出色的浏览器，篇幅有险，不做具体介绍了。（建议使用）

- D" Y, A- [' N  W. x4 b2 F7 D(2)、移动“我的文档”
' ?3 j* \4 J9 ~+ S( v' S! w8 C
# z7 H9 m+ M8 `' p进入资源管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，选择目标盘后按“确定”即可。在Windows 2003 中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，建议经常使用的朋友做个快捷方式放到桌面上。
2 l; J2 v, w0 c0 _  p2 T
(3)、移动IE临时文件
% |4 K6 v! S& K' ?6 i0 K
8 S9 Z1 ~: N; Z0 o8 o9 I  j4 C; {进入“开始→控制面板→Internet 选项”，在“常规”选项“Internet 文件”栏中点“设置”按钮，在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，系统会自动重新登录。点本地连接>高级>安全日志，把日志的目录更改专门分配日志的目录，不建议是C:再重新分配日志存储值的大小，我是设置了10000KB。

20、避免被恶意代码 木马等病毒攻击
4 C8 m- |% x0 P, m+ `8 c8 D2 g; H
8 S( Z: [$ x" y: [7 {) W以上主要讲怎样防止黑客的恶意攻击，下面讲避免机器被恶意代码，木马之类的病毒攻击。
6 d0 [8 U: [) x* s% |5 D
! T% O( w, a! \/ \- Y0 `7 K8 o其实方法很简单，所以放在最后讲。

: s& X2 _9 e+ m5 R# Z我们只需要在系统中安装杀毒软件 如 卡巴基斯，瑞星，金山独霸等。

: ?2 o: V1 A! ^还有防止木马的木马克星和金山的反木马软件（可选）。

并且能够及时更新你的病毒定义库，定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行，这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。

8 U  h) O2 L. A5 X, [还有就是一定要给自己的系统及时的打上补丁，安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布，而且如果你使用的是中文版的操作系统，那么至少要等一个月的时间才能下到补丁，也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。

* |  r1 `5 n5 Q; E' _2 h本人强烈建议个人用户安装使用防火墙（目前最有效的方式）。
( ?. K5 X9 ~- v; g: _  W$ o8 f( ~) m4 t
) \6 c  R/ r6 z$ A3 P/ s例如：天网个人防火墙、诺顿防火墙、瑞星防火墙等等。

因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数网络攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最小。