关闭危险之门，防止攻防技术入侵



   在互联网上与人（或网站）通讯的时候，必须使用统一的协议——TCP/IP，基本上Internet的所有服务都是基于TCP/IP的，如HTTP、FTP等。TCP/IP将数据进出计算机的通道定义为“端口”，电脑上的端口号是0~65535（256×256个），不同的网络方式会使用不同的端口，例如：收邮件时是利用的110号端口；而发邮件则是用的25号端口；上网则是通过139端口。当然攻防技术也是从端口攻入你的系统的。

　　可以这样认为，任何一次网络连接（方式），都可以使本机与该次连接对应的端口暴露在网络上，成为攻防技术或技术软件程序攻击或入侵的大门。要想防止，就得把它关闭或隐藏起来。我们以现在比较流行的天网防火墙为例来具体谈谈。先看看如何关闭（隐藏）TCP端口（TCP端口号为80）。单击程序主界面的［自定义IP规则］按钮，在规则菜单下双击要更改的规则（如TCP数据包监视），或利用不用的规则，或使用空规则。在以上三种方式中任选一，双击打开“IP规则修改”窗口，修改的项目如下（如图1）：

名称：禁止80攻击

说明：输入便于标识的文字

数据包方向：接收

对方IP地址：任何地址

TCP项

本地端口：从80到0

对方端口：从0到65535（65535代表计算机所有地址）

TCP标志位：SYN

满足上面条件时：拦截

同时还：记录、警告、发声

单击［确定］按钮使设置完成，在规则菜单里选中设置好的规则，这样才能使设置在天网启动时自动生效。退出，再运行天网，新规则将起作用。完成以后任何人从任何地址都不能从你的80端口进行攻击。当你十分相信的网站要用你的80端口时，拦截日志将有“此网站的IP地址为202.103.**.**”的报告，这时候你只要修改规则，在对方IP地址项上选择“指定地址”，并把相应地址填上，在“当满足上面条件时”选择“通行”，并且一定要把此规则提到80端口拦截规则前，点磁盘图像保存。要是在TCP规则最后加一条TCP规则：本地端口设为从 0到 65535；对方端口也设为从 0 到 65535；“当满足上面条件时”选择“拦截”，这样你机器的TCP端口对所有人关闭、隐形，别人不能对你进行攻击，哪怕你已经中了技术软件程序，当然网站对你机器进行正常的网络检测也会被拦截。

图1 修改IP规则

UDP规则同样设置，但一定要加上两条“通行”规则，并紧靠UDP数据包监测之后。 第一条是允许向你提供ISP服务网站的DNS域名解释UDP数据包端口，一般网站端口（53号端口）； 第二条是允是ISP服务网站向你下传内容的UDP数据包端口，一般网站端口（53号端口）（如图2）。你可以先不加这两条“通行”规则，联网后，任点一个网站，拦截日志会自动把ISP的这两个IP地址，端口给记录下来，（UDP数据包 对方端口**，对方地址***.***.**.**）。这时候再利用空规则，将其直接变为“通行”规则，依上操作，加上指定地址。在UDP规则最后设定本机端口为“65535”，对方端口为“0到65535”的拦截规则。要用OICQ等即时通讯软件也可以这样设置。这样我们的机器在网络上就安全多了，拦截日志内容少多了，以前拦截日志多时，在20分钟内有60多个记录。


图2 设置UDP规则

你可以试一试以上设置，然后通过日志文件看到这样设置的好处。 　　

附录：

端口号 网络方式
20 ftp data
21 ftp open server
23 telnet
25 smtp
31 master paradise.80
53 dns、bonk (dos exploit)
79 finger
80 http
110 pop3
113 auther idnet
119 nntp
121 bo jammerkillah
137 netbios-ns
138 netbios-dgn
139 netbios-ssn
143 imap
161 snmp
162 snmp-trap


> >更多精彩技术文章>http://www.66of.com