教你打造一道超级防御的电脑防火墙

子夜的金

我们遇到的入侵方式大概包括了以下几种：
9 O3 `* A5 u* l' `1 Y$ ^
# x) k* o" u1 ~8 T2 _(1) 被他人盗取密码；
3 F4 o0 ]0 P' T
4 H! w2 }5 z3 l5 U- ?(2) 系统被木马攻击；
' O0 v7 c0 E) q  H; `3 P8 i
/ ~) ]/ l- j* f+ r8 w0 {(3) 浏览网页时被恶意的java scrpit程序攻击；

(4) QQ被攻击或泄漏信息；
5 W3 }7 F# {7 o* b" D/ P1 l6 o
(5) 病毒感染；
% d" [# f( n: J- N$ A5 W
4 W( e) [! O0 R- q( p" Y6 f$ C0 c(6) 系统存在漏洞使他人攻击自己。

2 P! |+ C$ i/ v/ L3 o! E(7) 黑客的恶意攻击。
/ T2 p4 X7 N4 O5 h: X
下面我们就来看看通过什么样的手段来更有效的防范攻击。
$ `) |0 M# O$ h9 a! k6 n
- }* y  t6 `. h1.察看本地共享资源
+ E$ f( e4 {2 I1 c
/ s: ]& o4 Q/ k& N! U运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。
% H% s* Z' j$ K; ^
2.删除共享(每次输入一个）

" A" O+ M" m4 I7 Z6 K7 n2 ynet share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e，f，……可以继续删除）

3.删除ipc$空连接
& c3 p5 J; ]6 G$ g5 [+ V( r6 X
7 N; ], w" ^2 l$ q在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
: Z+ P, _' F2 M' [' d) K
4.关闭自己的139端口，Ipc和RPC漏洞存在于此
4 }6 ^3 N$ {" v) z, C
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

5．防止Rpc漏洞
2 o% S" w# ^3 ?# w1 o
; U* e1 t6 Y9 J4 Y  t; K% P打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。

3 p/ t9 Z7 U, r( F7 w' fWindwos XP SP2和Windows2000 Pro Sp4，均不存在该漏洞。

) ^# Z4 S; L3 \( ^' N% x) ~6．445端口的关闭

修改注册表，添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
, A0 N, U6 w3 A4 d* Y# \
7．3389的关闭
' H: a' Z# s, J% Q% ~
# H4 ]5 z5 T- ^% I/ j2 ]$ XWindowsXP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。
1 \% J! ?" `% y2 R# W' ^  {
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）

; o. |/ t9 c2 V: c使用Windows2000 Pro的朋友注意，网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。
8 f5 l8 U. s  ~, o0 a7 l& F% Y
$ {2 M5 K$ h+ x! s; h9 D4 a& f8．4899的防范

- h' a" }0 r2 t$ _9 x" f6 _7 }" F网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。
3 O0 ]+ T" }; V; R5 b# v: J
4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。
; ]4 a. j/ d) C+ e% Z+ U3 ~" e6 C
所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

/ c; N" f- Q% h' o9、禁用服务
9 o# B1 J6 l  L) z
打开控制面板，进入管理工具——服务，关闭以下服务：

, `8 d1 U& z/ N1.Alerter[通知选定的用户和计算机管理警报]
. |. i: b: Q" e+ v# p. p/ Z- l" ]2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无
法访问共享
8 ^0 J7 ]# H0 k* D/ z4.Distributed Link Tracking Server[适用局域网分布式链接]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]
, F" p9 Y. @  A& u4 o; O$ I" i8.Kerberos Key Distribution Center[授权协议登录网络]
" H2 p7 e  ~3 }9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
0 K* [' [/ o: m' F' T& @+ i11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
) f% {, Z/ l: N/ y) x7 }+ R12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
# M5 S6 {4 n4 {0 E; Z13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务，没有打印机就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
% D# j' q* s/ A17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
/ i' x( O3 T# N; X* W0 ~' Z: z" P19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
% P: w' ?4 w" m$ g% E/ l% ]+ C20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
2 w- @% E& s+ z7 C' h' @' L" S持而使用户能够共享文件 、打印和登录到网络]
: M" S) d) K2 T+ p* [/ C21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
; T+ c9 c- `& q  ^" G) _) j3 I6 G# T23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

+ ]/ `. ]- X5 M) @7 D3 H如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。

10、账号密码的安全原则

" E% l2 v: K8 j/ b% B7 l8 L首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。
+ e1 M# g4 r) P3 \  W8 r9 t
' v( ~8 {. F, z如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。

打开管理工具—本地安全设置—密码策略：

1.密码必须符合复杂要求性.启用
0 J! [. g  Q/ Y% e3 c* o2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
& C( ?/ z+ Q6 h1 B) e! F4.密码最短使用期限0天
7 M" A2 e( N$ @1 X' |5.强制密码历史 记住0个密码
/ P1 N3 a$ w; n$ s" {4 |2 V6.用可还原的加密来存储密码 禁用

% m- I" o) W7 }( E. v) X　　
11、本地策略

这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

: b8 d  j+ P* n" f, Q7 _. S打开管理工具，找到本地安全设置—本地策略—审核策略：

3 A$ n: n( c& M$ R1.审核策略更改 成功失败
2.审核登陆事件 成功失败
$ K+ d! m( K- k4 g0 R: k8 q3.审核对象访问 失败
) d/ \# u4 F' M4.审核跟踪过程 无审核
% o4 {3 M. A) N" |5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
! @9 W2 ?0 V% L. `5 ]8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败

! ]. G3 ^9 @% D! n0 v9 [. M$ r3 s&nb sp;然后再到管理工具找到事件查看器：

应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不覆盖事件。

4 I, K" f+ `9 l3 j4 z# [安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不覆盖事件。

5 V1 i) [  Y) O2 Y系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不覆盖事件。

3 Y  S: N" E9 [& _# I% m12、本地安全策略

打开管理工具，找到本地安全设置—本地策略—安全选项：

　　　　
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登
陆的]。
$ X2 y( {5 A  b2.网络访问.不允许SAM帐户的匿名枚举 启用。
3.网络访问.可匿名的共享 将后面的值删除。
4.网络访问.可匿名的命名管道 将后面的值删除。
5.网络访问.可远程访问的注册表路径 将后面的值删除。
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
7.网络访问.限制匿名访问命名管道和共享。
9 H6 c9 R, R2 S$ w/ B8.帐户.（前面已经详细讲过拉 ）。

子夜的金

13、用户权限分配策略
: F/ c: C& {$ O% U4 O" q7 t2 Y4 q/ L# u+ a
3 \) q# h! g7 S3 b打开管理工具，找到本地安全设置—本地策略—用户权限分配：

　　　　
1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属
于自己的ID。
2.从远程系统强制关机，Admin帐户也删除，一个都不留　。　　　
3.拒绝从网络访问这台计算机 将ID删除。
* i; H4 L8 Z: }7 b( Z4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务。
3 d7 [1 Y* [1 O5.通过远端强制关机。删掉。
) Z- C  y  u' I, _$ c  b
6 A0 `; Q) d3 w* v: v2 X, m14、终端服务配置

6 E/ O* i; Z% _) p! A打开管理工具，终端服务配置：
% Q+ [8 j: A8 Q- M; q* Z# W
" f% S& U! ^7 l# \7 E/ O0 y& `1.打开后，点连接，右键，属性，远程控制，点不允许远程控制。
" f% Y$ g2 m& f2.常规，加密级别，高，在使用标准Windows验证上点√!
3.网卡，将最多连接数上设置为0。
4.高级，将里面的权限也删除。

再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话。
2 l, T) u# z' J  M# P' L( e
$ ^. {( p6 H# G! m* f. l0 k- E15、用户和组策略

打开管理工具，计算机管理—本地用户和组—用户：

5 O+ z& h# n. A1 ^删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
# o: V* U: O. `
" K* O7 r2 S/ u) c5 N计算机管理—本地用户和组—组，组.我们就不分组了。
# x+ _( ~& E! D3 Q3 C
16、自己动手DIY在本地策略的安全选项

9 ^1 G$ t( o7 e" e- D　　　　
9 W  h3 E/ y( D# M% H1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透。
2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户
名.让他去猜你的用户名去吧。
8 |+ c" ~! r- H: K3 s  j3）对匿名连接的额外限制。
9 p5 t* U( Q3 f  d  Y$ u4）禁止按 alt+crtl +del(没必要）。
6 a8 y2 ~7 N, i$ j5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]。
( E8 d* [+ z9 O  {1 E9 _; g6）只有本地登陆用户才能访问cd-rom。
" V9 w, `5 }. ?7 M( p# ^; R7）只有本地登陆用户才能访问软驱。
8）取消关机原因的提示。
A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签
页面；
! @& p+ q2 n+ a0 d% r! oB、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确
0 H; G( V) P1 h: x  `) \4 h% u定”按钮，来退出设置框；
6 C$ @+ b9 W) g* C9 _C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能
键，来实现快速关机和开机；
D、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页
面，并在其中将“启用休眠”选项选中就可以了。
& m0 ~2 i. {1 o+ [5 A: t9）禁止关机事件跟踪
4 x# A2 o, Z& T# z" a2 y
7 w- S3 ^- H# H) \/ V& O' b5 f3 k开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口。
3 o" Q9 K' }6 l- v$ x& Y8 }# _9 \1 n
17、常见端口的介绍　　　　　　　　　　　　
& }0 D* L1 _7 A6 J3 p, Y0 ?. \
TCP
; S* e) ?' u, y/ J2 g: f2 |21　　 FTP
22　　 SSH
! ?4 ?/ v; Z( d% i6 ]; u23　　 TELNET
25　　 TCP SMTP
* y2 J' Q1 W. ]# ^  g53　　 TCP DNS
2 o& b) x% _) Z& A7 I3 s7 w1 K. Y0 R80　　 HTTP
135　　epmap
3 f; v, \2 ?7 [9 g138　　[冲击波]
: M/ G$ T. W/ _139　　smb
445
' @# a7 H3 i; V5 Q1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
1 p, F% J0 ]( {( p. t5632 UDP PCANYWHERE
3389　　 Terminal Services
4444[冲击波]
- b& a( N2 E/ ]) {　
/ t) `: b) s3 `+ L% w2 rUDP
67[冲击波]
137 netbios-ns
2 A3 Q- b) [0 \' O0 V8 p161 An SNMP Agent is running/ Default community names of the SNMP Agent

关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080，那么，我们只运 行本机使用4000这几个端口就行了。

+ N: X$ ]% T6 w  f2 t8 h18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤

开始－－运行－－cmd，输入命令netstat -a ，会看到例如（这是我的机器开放的端口）：
4 y  r' F9 u- y6 f4 w
' F$ }* q* F. W( zProto Local Address　　　　Foreign Address　　　　State
TCP　　yf001:epmap　　　　 yf001:0　　　　　　 LISTE
' b: @  z/ m7 t# Y8 x- p- eTCP　　yf001:1025（端口号）　　　　　　yf001:0　　　　　　

LISTE
TCP　　(用户名）yf001:1035　　　　　　yf001:0　　　　　　

LISTE
1 C; N$ Z: B9 S) i3 I, B! zTCP　　yf001:netbios-ssn　　 yf001:0　　　　　　 LISTE
UDP　　yf001:1129　　　　　　*:*
/ `1 M9 Q4 F# c8 w6 |UDP　　yf001:1183　　　　　　*:*
. x! `# R. }2 Q4 C. z/ cUDP　　yf001:1396　　　　　　*:*
( W2 x+ G) e. X  r3 e/ }2 t& z. T% mUDP　　yf001:1464　　　　　　*:*
5 v2 X) {# j8 g7 x3 nUDP　　yf001:1466　　　　　　*:*
3 J, r4 w7 h8 X& sUDP　　yf001:4000　　　　　　*:*
# E9 T- _7 x, N1 q- ?( b+ \UDP　　yf001:4002　　　　　　*:*
- D2 J6 L2 e/ J2 V8 q6 _, yUDP　　yf001:6000　　　　　　*:*
UDP　　yf001:6001　　　　　　*:*
$ S% i5 `% J" l& H& b: tUDP　　yf001:6002　　　　　　*:*
UDP　　yf001:6003　　　　　　*:*
UDP　　yf001:6004　　　　　　*:*
UDP　　yf001:6005　　　　　　*:*
UDP　　yf001:6006　　　　　　*:*
UDP　　yf001:6007　　　　　　*:*
UDP　　yf001:1030　　　　　　*:*
UDP　　yf001:1048　　　　　　*:*
6 P0 i, [# h) s2 a! sUDP　　yf001:1144　　　　　　*:*
UDP　　yf001:1226　　　　　　*:*
  [" f9 L; _3 `UDP　　yf001:1390　　　　　　*:*
UDP　　yf001:netbios-ns　　 *:*
UDP　　yf001:netbios-dgm　　 *:*
UDP　　yf001:isakmp　　　　 *:*
" R$ c$ b5 g, _
现在讲讲基于Windows的tcp/ip的过滤。
9 U1 D& Z  o/ h& s( C+ @
9 P" L; k8 m1 Z5 |! i6 N( K控制面板——网络和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!

然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。
4 K& [) R% L; H9 V. F/ H# z1 n, y
' {4 `5 \; _+ E" X: I: I( ?19、胡言乱语

) c% M/ @2 U6 X(1)、TT浏览器
+ a! ~5 G6 k. G! P" s2 o
4 k' @2 l2 Z" B/ f* _选择用另外一款浏览器浏览网站.我推荐用TT，使用TT是有道理的。

TT可以识别网页中的脚本，JAVA程序，可以很好的抵御一些恶意的脚本等等，而且TT即使被感染，你删除掉又重新安装一个就是。

$ M. s6 D4 h7 Z, }0 D% R6 Y$ jMYIE浏览器

3 p- Z7 D! t& z8 R- k是一款非常出色的浏览器，篇幅有险，不做具体介绍了。（建议使用）

(2)、移动“我的文档”

1 F8 m% ]' M1 G* s进入资源管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，选择目标盘后按“确定”即可。在Windows 2003 中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，建议经常使用的朋友做个快捷方式放到桌面上。
7 O( Y" h9 g- y- K/ I
% [. N5 B% v* L3 u7 g(3)、移动IE临时文件

( r  n% E8 _9 t5 A* C/ T, W& z进入“开始→控制面板→Internet 选项”，在“常规”选项“Internet 文件”栏中点“设置”按钮，在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，系统会自动重新登录。点本地连接>高级>安全日志，把日志的目录更改专门分配日志的目录，不建议是C:再重新分配日志存储值的大小，我是设置了10000KB。
* s1 F" S4 u! E
20、避免被恶意代码 木马等病毒攻击
3 o8 b1 p" a+ [3 q1 S6 T( e
以上主要讲怎样防止黑客的恶意攻击，下面讲避免机器被恶意代码，木马之类的病毒攻击。

其实方法很简单，所以放在最后讲。
' r, D( P4 p3 x" ^; b
我们只需要在系统中安装杀毒软件 如 卡巴基斯，瑞星，金山独霸等。
8 V* {$ W5 i1 W  l) n" B2 L3 T$ r
还有防止木马的木马克星和金山的反木马软件（可选）。

6 {  s) Z! n9 u# f2 H并且能够及时更新你的病毒定义库，定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行，这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。

还有就是一定要给自己的系统及时的打上补丁，安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布，而且如果你使用的是中文版的操作系统，那么至少要等一个月的时间才能下到补丁，也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。
8 d3 Z; }3 Q) B- y8 G; u$ |
本人强烈建议个人用户安装使用防火墙（目前最有效的方式）。

0 k/ z7 S6 u5 c8 d2 t- `3 ~7 h例如：天网个人防火墙、诺顿防火墙、瑞星防火墙等等。

- u6 q' s5 |3 Q1 N9 p& f' Z因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数网络攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最小。