安全规则的设置(野蔷薇Windows)

ccc (离线)	楼主-> 我在做什么... 发表于 07-09-19 06:18 安全规则的设置原文来自：野蔷薇 http://www.yeqiangwei.com/club/f29b0l0fp1t239501p1.html 信息来源：邪恶八进制安全小组文章作者：本文来自互联网安全规则的设置低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁止互联网上的机器访问这些服务。中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。扩：天网为用户制定了一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级，为您提供最安全的服务！用户可以根据自己的需要调整自己的安全级别，方便实用。注意：天网的简易安全级别是为了方便不熟悉天网使用的用户能够很好的使用天网而设的。正因为如此，如果用户选择了采用简易的安全级别设置，那么天网就会屏蔽掉高级的IP规则设定里规则的作用。如果你点了高级后又去点IP规则，天网会自动帮IP规则改为默认 135,445端口介绍 135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击！！！　　对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但任需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。！！！为了保护你的信息安全，强烈建议你安装微软的最新windows补丁包。！！！ 2、如何理解并关闭139端口（NetBIOS提供服务的tcp端口）　　Netbios（NETworkBasicInput/OutputSystem）网络基本输入输出系统。是1983年IBM开发的一套网络标准，微软在这基础上继续开发。微软的客户机／服务器网络系统都是基于NetBIOS的。在利用WindowsNT4.0构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此，我们很有必要堵上这个可怕的漏洞。。 445端口也是一种TCP端口，该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务。同样地，攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。445端口对普通用户是没用的，推荐关闭 IGMP数据包：IGMP对于Windows普通用户没什么用途，但由于Win9X操作系统的内核缺陷，其自身存在一个IGMP漏洞，有人会利用这个漏洞向指定主机发送大量的IGMP数据包，使Windows 操作系统的网络层受到破坏，导致死机，这在防火墙日志中会有记载．若是你局域网内的IP地址，每当你网内的机器要连接局域网时都会向外发送数据包，以搜索网内的其他机器，在机器装有TCP/IP的情况下，会返回一个回应的数据包，天网把这些不规则的数据包拦截下来了。简单来说就是，你打开电脑，然后你的电脑会自动寻找局域网内的其他电脑，并发送数据包，其他网内的电脑回应时也会发回一个数据包；同样的道理，别的电脑开机时，也会那样，你的电脑是在这个局域网内的，当然会收到这些数据包。 137，138，139的关闭方法控制面扳—网络连接——右键本地连接属性——把网络文件和打影机共享前面的勾去掉就OK了但是本地墩口还是会监听对方的共享的，属于正常范围对于有些设置了自动启动,但是系统进程里面还是没有进程的解决办法。就是没有图标用 Administrators 这个帐户登陆系统,然后就可以用了,这个帐户可以改名的.具体方法是控制面板---管理工具----计算机管理-----本地用户和组----用户----右键Administrators,重新命名,随便改,记住，重新登陆时,这个改过的才是登陆号哈,(只有你系统进程里没有的时候推荐这个方法) 其2,QQ自动运行,也是导致天网无法自动运行的原因,关闭方法:开始菜单---程序----启动,把里面的QQ删除就好了,或者改注册表,这里就不详细说了,(有时间再填加上来) 或者中毒，一般情况下有些木马会自动关闭防火墙，包扣WIN墙对日志的解释，就拿我的来解释吧，我是局域网上的 [17:12:41] 172.16.74.9 尝试用Ping 来探测本机，该操作被拒绝。 [17:12:49] 接收到 172.16.74.151 的 IGMP 数据包，该包被拦截。 [17:13:01] 172.16.75.48试图连接本机的CIFS[445]端口， TCP标志：S，该操作被拒绝。 [17:19:42] 220.173.110.194试图连接本机的CIFS[445]端口， TCP标志：S，该操作被拒绝。 [17:18:41] 222.84.159.250试图连接本机的135端口， TCP标志：S，该操作被拒绝。 [21:34:29] *...***试图连接本机的NetBios-SSN[139]端口， TCP标志：S，该操作被拒绝。就这么多吧，其他的解释是一样的，这段日志中，是以开默认规则的，上面的操作是被拒绝的，所以它没连接到你端口，你是安全的，IGMP是局域网中，主机散布的广播，一般98系统是不需要这个的，多了98会死机，所以天网帮你拦截了关于access violation at address 00413082 in moduleb pfw.exe write at address 0000033c的问题如果安装重起后出现这个问题，请卸载。重起，安装，重起，最好卸载后把文件夹删除，实在不行就在安全模式下用内置帐户安装有人不断试图连接我的电脑,我该怎么办啊只要你连接到网络上，就会有人连接你，就跟上面日志一样，不会有问题，除非你防火墙显示的是通过，那么要么你允许了，要么你的防火墙设置有错误，请设置成中或高，新手不推荐使用自定义　　防火墙日志简明而又全面。防火墙日志一向是天书：TCP、UDP，再加上TCP SYN……明白的看得简直头晕，不明白的看起来心慌。其实日志是防火墙很重要的功能，但很多人却不重视，也未仔细研究过日志内容。日志记录看似枯燥的数据，其实提供了大量宝贵的第一手资料，帮助我们更好地管理和维护网络。因此我来说明常见的天网防火墙日志，都表示些什么。点击天网主界面右上方的“日志”按钮，会看到如下信息：一般日志分为三行：第一行：反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；第二行：：为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等，其中标志位ACK、SYN和FIN比较常用，简单含义如下： ACK：确认标志　　提示远端系统已经成功接收所有数据　　SYN：同步标志　　该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号　　FIN：结束标志　　带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。 RST：复位标志，具体作用未知　　第三行：对数据包的处理方法：对于不符合规则的数据包会拦截或拒绝，显示为：“该操作被拒绝”，意思是，此操作被天网防火墙拦截了！也就是对方根本不知道你的存在！对符合规则的但被设为监视的数据包会显示为“继续下一规则”。 [10:41:30] 接收到218.2.140.13的IGMP数据包，该包被拦截。这条日志出现的频率很高。IGMP的全称是internet组管理协议，它是IP协议的扩展，主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击，不过黑客可以通过编写攻击程序，利用windows本身的BUG，采用特殊格式数据包向目标电脑发动攻击，使被攻击电脑的操作系统蓝屏、死机。蓝屏炸弹一般用的就是IGMP协议。一般形成IGMP攻击时，会在日志中显示为大量来自于同一IP地址的IGMP数据包。不过，有时收到这样的提示信息也并不一定是黑客或病毒在攻击，在局域网中也会常收到来自网关的类似数据包；再有一些有视频广播服务的机器也会对用户发送这样的数据包，因此不用过于惊慌。－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ [7:11:04] 接收到 61.132.112.236 的 UDP 数据包，本机端口: 47624 ，对方端口: 40627 该包被拦截。没有什么好担心的，这是有人在用扫ＩＰ的软件在扫ＩＰ地址而正好扫到你的ＩＰ地址段,此类软件对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方美女头像性感美女图片打包下载

原文来自：野蔷薇 http://www.yeqiangwei.com/club/f29b0l0fp1t239501p1.html

信息来源：邪恶八进制安全小组
文章作者：本文来自互联网

安全规则的设置
低：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁止互联网上的机器访问这些服务。

中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。

高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。

扩：天网为用户制定了一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级，为您提供最安全的服务！

用户可以根据自己的需要调整自己的安全级别，方便实用。

注意：天网的简易安全级别是为了方便不熟悉天网使用的用户能够很好的使用天网而设的。正因为如此，如果用户选择了采用简易的安全级别设置，那么天网就会屏蔽掉高级的IP规则设定里规则的作用。

如果你点了高级后又去点IP规则，天网会自动帮IP规则改为默认
135,445端口介绍
135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击！！！

　　对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但任需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。

！！！为了保护你的信息安全，强烈建议你安装微软的最新windows补丁包。！！！

2、如何理解并关闭139端口（NetBIOS提供服务的tcp端口）

　　Netbios（NETworkBasicInput/OutputSystem）网络基本输入输出系统。是1983年IBM开发的一套网络标准，微软在这基础上继续开发。微软的客户机／服务器网络系统都是基于NetBIOS的。在利用WindowsNT4.0构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此，我们很有必要堵上这个可怕的漏洞。

。

445端口
也是一种TCP端口，该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务。同样地，攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。445端口对普通用户是没用的，推荐关闭

IGMP数据包：IGMP对于Windows普通用户没什么用途，但由于Win9X操作系统的内核缺陷，其自身存在一个IGMP漏洞，有人会利用这个漏洞向指定主机发送大量的IGMP数据包，使Windows 操作系统的网络层受到破坏，导致死机，这在防火墙日志中会有记载．

若是你局域网内的IP地址，每当你网内的机器要连接局域网时都会向外发送数据包，以搜索网内的其他机器，在机器装有TCP/IP的情况下，会返回一个回应的数据包，天网把这些不规则的数据包拦截下来了。简单来说就是，你打开电脑，然后你的电脑会自动寻找局域网内的其他电脑，并发送数据包，其他网内的电脑回应时也会发回一个数据包；同样的道理，别的电脑开机时，也会那样，你的电脑是在这个局域网内的，当然会收到这些数据包。
137，138，139的关闭方法
控制面扳—网络连接——右键本地连接属性——把网络文件和打影机共享前面的勾去掉就OK了
但是本地墩口还是会监听对方的共享的，属于正常范围

对于有些设置了自动启动,但是系统进程里面还是没有进程的解决办法。就是没有图标
用  Administrators 这个帐户登陆系统,然后就可以用了,这个帐户可以改名的.具体方法是  控制面板---管理工具----计算机管理-----本地用户和组----用户----右键Administrators,重新命名,随便改,记住，重新登陆时,这个改过的才是登陆号哈,(只有你系统进程里没有的时候推荐这个方法)

其2,QQ自动运行,也是导致天网无法自动运行的原因,关闭方法:开始菜单---程序----启动,把里面的QQ删除就好了,或者改注册表,这里就不详细说了,(有时间再填加上来)

或者中毒，一般情况下有些木马会自动关闭防火墙，包扣WIN墙

对日志的解释，就拿我的来解释吧，我是局域网上的
[17:12:41] 172.16.74.9 尝试用Ping 来探测本机，
      该操作被拒绝。
[17:12:49] 接收到 172.16.74.151 的 IGMP 数据包，
        该包被拦截。
[17:13:01] 172.16.75.48试图连接本机的CIFS[445]端口，
      TCP标志：S，
      该操作被拒绝。
[17:19:42] 220.173.110.194试图连接本机的CIFS[445]端口，
      TCP标志：S，
      该操作被拒绝。
[17:18:41] 222.84.159.250试图连接本机的135端口，
      TCP标志：S，
      该操作被拒绝。
[21:34:29] ***.***.*.***试图连接本机的NetBios-SSN[139]端口，
      TCP标志：S，
      该操作被拒绝。
就这么多吧，其他的解释是一样的，
这段日志中，是以开默认规则的，上面的操作是被拒绝的，所以它没连接到你端口，你是安全的，IGMP是局域网中，主机散布的广播，一般98系统是不需要这个的，多了98会死机，所以天网帮你拦截了

关于access violation at address 00413082 in moduleb pfw.exe write at address 0000033c的问题

如果安装重起后出现这个问题，请卸载。重起，安装，重起，最好卸载后把文件夹删除，实在不行就在安全模式下用内置帐户安装

有人不断试图连接我的电脑,我该怎么办啊

只要你连接到网络上，就会有人连接你，就跟上面日志一样，不会有问题，除非你防火墙显示的是通过，那么要么你允许了，要么你的防火墙设置有错误，请设置成中或高，新手不推荐使用自定义

　　
防火墙日志简明而又全面。防火墙日志一向是天书：TCP、UDP，再加上TCP SYN……明白的看得简直头晕，不明白的看起来心慌。其实日志是防火墙很重要的功能，但很多人却不重视，也未仔细研究过日志内容。日志记录看似枯燥的数据，其实提供了大量宝贵的第一手资料，帮助我们更好地管理和维护网络。

    因此我来说明常见的天网防火墙日志，都表示些什么。点击天网主界面右上方的“日志”按钮，会看到如下信息：

    一般日志分为三行：

    第一行：

   反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；

    第二行：：

   为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等，其中标志位ACK、SYN和FIN比较常用，简单含义如下：

   ACK：确认标志

　　提示远端系统已经成功接收所有数据

　　SYN：同步标志

　　该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号

　　FIN：结束标志

　　带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。

   RST：复位标志，具体作用未知

　　第三行：

   对数据包的处理方法：

   对于不符合规则的数据包会拦截或拒绝，显示为：“该操作被拒绝”，意思是，此操作被天网防火墙拦截了！也就是对方根本不知道你的存在！

   对符合规则的但被设为监视的数据包会显示为“继续下一规则”。

[10:41:30] 接收到218.2.140.13的IGMP数据包，
     该包被拦截。

   这条日志出现的频率很高。IGMP的全称是internet组管理协议，它是IP协议的扩展，主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击，不过黑客可以通过编写攻击程序，利用windows本身的BUG，采用特殊格式数据包向目标电脑发动攻击，使被攻击电脑的操作系统蓝屏、死机。蓝屏炸弹一般用的就是IGMP协议。

   一般形成IGMP攻击时，会在日志中显示为大量来自于同一IP地址的IGMP数据包。

   不过，有时收到这样的提示信息也并不一定是黑客或病毒在攻击，在局域网中也会常收到来自网关的类似数据包；再有一些有视频广播服务的机器也会对用户发送这样的数据包，因此不用过于惊慌。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[7:11:04] 接收到 61.132.112.236 的 UDP 数据包，
   本机端口: 47624 ，
   对方端口: 40627
   该包被拦截。

   没有什么好担心的，这是有人在用扫ＩＰ的软件在扫ＩＰ地址而正好扫到你的ＩＰ地址段,此类软件对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方