由於現在家用電腦所使用的操作系統多數爲Win XP 和Win2000 pro(建議還在使用98的朋友換換系統,連微軟都放棄了的系統你還用它幹嘛?)所以後面我將主要講一下基於這兩個操作系統的安全防範。
個人電腦常見的被***方式
談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的***方式大概包括了以下幾種:
(1) 被他人**密碼;
(2) 系統被******;
(3) 瀏覽網頁時被惡意的java scrpit程序***;
(4) QQ被***或泄漏信息;
(5) 病毒感染;
(6) 系統存在漏洞使他人***自己。
(7) ***的惡意***。
下面我們就來看看通過什麼樣的手段來更有效的防範***。
察看本地共享資源
刪除共享
刪除ipc$空連接
賬號密碼的安全原則
關閉自己的139端口
445端口的關閉
3389的關閉
4899的防範
常見端口的介紹
如何查看本機打開的端口和過濾
禁用服務
本地策略
本地安全策略
用戶權限分配策略
終端服務配置
用戶和組策略
防止rpc漏洞
自己動手DIY在本地策略的安全選項
工具介紹
避免被惡意代碼 ***等病毒***
1.察看本地共享資源
運行CMD輸入net share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被***所控制了,或者中了病毒。
2.刪除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續刪除)
3.刪除ipc$空連接
在運行內輸入regedit,在註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裏數值名稱RestrictAnonymous的數值數據由0改爲1。
4.關閉自己的139端口,ipc和RPC漏洞存在於此。
關閉139端口的方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WinS設置”裏面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。
5.防止rpc漏洞
打開管理工具--服務--找到RPC(Remote Procedure Call (RPC) Locator)服務--將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設置爲不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445端口的關閉
修改註冊表,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 爲REG_DWORD類型鍵值爲 0這樣就ok了
7.3389的關閉
XP:我的電腦上點右鍵選屬性-->遠程,將裏面的遠程協助和遠程桌面兩個選項框裏的勾去掉。
Win2000server 開始-->程序-->管理工具-->服務裏找到Terminal Services服務項,選中屬性選項將啓動類型改成手動,並停止該服務。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網絡上有很多文章說在Win2000pro 開始-->設置-->控制面板-->管理工具-->服務裏找到Terminal Services服務項,選中屬性選項將啓動類型改成手動,並停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防範
網絡上有許多關於3389和4899的***方法。4899其實是一個遠程控制軟件所開啓的服務端端口,由於這些控制軟件功能強大,所以經常被***用來控制自己的肉雞,而且這類軟件一般不會被殺毒軟件查殺,比後門還要安全。
4899不象3389那樣,是系統自帶的服務。需要自己安裝,而且需要將服務端上傳到***的電腦並運行服務,才能達到控制的目的。
所以只要你的電腦做了基本的安全配置,***是很難通過4899來控制你的。
9、禁用服務
打開控制面板,進入管理工具--服務,關閉以下服務
1.Alerter[通知選定的用戶和計算機管理警報]
2.ClipBook[啓用“剪貼簿查看器”儲存信息並與遠程計算機共享]
3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠程計算機無法訪問共享
4.Distributed Link Tracking Server[適用局域網分佈式鏈接? 倏突Ф朔馷
5.Human Interface Device Access[啓用對人體學接口設備(HID)的通用輸入訪問]
6.IMAPI CD-Burning COM Service[管理 CD 錄製]
7.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]
8.Kerberos Key Distribution Center[授權協議登錄網絡]
9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
10.Messenger[警報]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
12.Network DDE[爲在同一臺計算機或不同計算機上運行的程序提供動態數據交換]
13.Network DDE DSDM[管理動態數據交換 (DDE) 網絡共享]
14.Print Spooler[打印機服務,沒有打印機就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理並控制遠程協助]
16.Remote Registry[使遠程計算機用戶修改本地註冊表]
17.Routing and Remote Access[在局域網和廣域往提供路由服務.***理由路由服務刺探註冊信息]
18.Server[支持此計算機通過網絡的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允許管理員使用緊急管理服務遠程訪問命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網絡]
21.Telnet[允許遠程用戶登錄到此計算機並運行程序]
22.Terminal Services[允許用戶以交互方式連接到遠程計算機]
23.Window s Image Acquisition (WIA)[照相服務,應用與數碼攝象機]
如果發現機器開啓了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因爲這完全有可能是***使用控制程序的服務端
10、賬號密碼的安全原則
首先禁用guest帳號,將系統內建的administrator帳號改名~~(改的越複雜越好,最好改成中文的),而且要設置一個密碼,最好是8位以上字母數字符號組合。 (讓那些該死的***慢慢猜去吧~)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設置一個足夠安全的密碼,同上如果你設置adminstrator的密碼時,最好在安全模式下設置,因爲經我研究發現,在系統中擁有最高權限的帳號,不是正常登陸下的adminitrator帳號,因爲即使有了這個帳號,同樣可以登陸安全模式,將sam文件刪除,從而更改系統的administrator的密碼!而在安全模式下設置的administrator則不會出現這種情況,因爲不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼策略:用戶可以根據自己的習慣設置密碼,下面是我建議的設置(關於密碼安全設置,我上面已經講了,這裏不再羅嗦了。
打開管理工具.本地安全設置.密碼策略
1.密碼必須符合複雜要求性.啓用
2.密碼最小值.我設置的是8
3.密碼最長使用期限.我是默認設置42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的加密來存儲密碼 禁用
11、本地策略:
這個很重要,可以幫助我們發現那些心存叵測的人的一舉一動,還可以幫助我們將來追查***。
(雖然一般***都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
打開管理工具
找到本地安全設置.本地策略.審覈策略
1.審覈策略更改 成功失敗
2.審覈登陸事件 成功失敗
3.審覈對象訪問 失敗
4.審覈跟蹤過程 無審覈
5.審覈目錄服務訪問 失敗
6.審覈特權使用 失敗
7.審覈系統事件 成功失敗
8.審覈帳戶登陸時間 成功失敗
9.審覈帳戶管理 成功失敗
&nb sp;然後再到管理工具找到
事件查看器
應用程序:右鍵>屬性>設置日誌大小上限,我設置了50mb,選擇不覆蓋事件
安全性:右鍵>屬性>設置日誌大小上限,我也是設置了50mb,選擇不覆蓋事件
系統:右鍵>屬性>設置日誌大小上限,我都是設置了50mb,選擇不覆蓋事件
12、本地安全策略:
打開管理工具
找到本地安全設置.本地策略.安全選項
1.交互式登陸.不需要按 Ctrl+Alt+Del 啓用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登陸的]
2.網絡訪問.不允許SAM帳戶的匿名枚舉 啓用
3.網絡訪問.可匿名的共享 將後面的值刪除
4.網絡訪問.可匿名的命名管道 將後面的值刪除
5.網絡訪問.可遠程訪問的註冊表路徑 將後面的值刪除
6.網絡訪問.可遠程訪問的註冊表的子路徑 將後面的值刪除
7.網絡訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經詳細講過拉 )
13、用戶權限分配策略:
打開管理工具
找到本地安全設置.本地策略.用戶權限分配
1.從網絡訪問計算機 裏面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬於自己的ID
2.從遠程系統強制關機,Admin帳戶也刪除,一個都不留
3.拒絕從網絡訪問這臺計算機 將ID刪除
4.從網絡訪問此計算機,Admin也可刪除,如果你不使用類似3389服務
5.通過遠端強制關機。刪掉
附: 那我們現在就來看看Windows 2000的默認權限設置到底是怎樣的。對於各個卷的根目錄,默認給了Everyone組完全控制權。這意味着任何進入電腦的用戶將不受限制的在這些根目錄中爲所欲爲。系統卷下有三個目錄比較特殊,系統默認給了他們有限制的權限,這三個目錄是Documents and settings、Program files和Winnt。對於Documents and settings,默認的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀權限;Power users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對於Program files,Administrators擁有完全控制權;Creator owner擁有特殊權限ower users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權,Users有讀&運,列和讀權限。對於Winnt,Administrators擁有完全控制權;Creator owner擁有特殊權限ower users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統卷下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!
14、終端服務配置
打開管理工具
終端服務配置
1.打開後,點連接,右鍵,屬性,遠程控制,點不允許遠程控制
2.常規,加密級別,高,在使用標準Windows驗證上點√!
3.網卡,將最多連接數上設置爲0
4.高級,將裏面的權限也刪除.[我沒設置]
再點服務器設置,在Active Desktop上,設置禁用,且限制每個使用一個會話
15、用戶和組策略
打開管理工具
計算機管理.本地用戶和組.用戶;
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限
計算機管理.本地用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本地策略的安全選項
1)當登陸時間用完時自動註銷用戶(本地) 防止***密碼***.
2)登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務,別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登陸前關機[防止遠程關機/啓動、強制關機/啓動]
6)只有本地登陸用戶才能訪問cd-rom
7)只有本地登陸用戶才能訪問軟驅
8)取消關機原因的提示
A、打開控制面板窗口,雙擊“電源選項”圖標,在隨後出現的電源屬性窗口中,進入到“高級”標籤頁面;
B、在該頁面的“電源按鈕”設置項處,將“在按下計算機電源按鈕時”設置爲“關機”,單擊“確定”按鈕,來退出設置框;
C、以後需要關機時,可以直接按下電源按鍵,就能直接關閉計算機了。當然,我們也能啓用休眠功能鍵,來實現快速關機和開機;
D4、要是系統中沒有啓用休眠模式的話,可以在控制面板窗口中,打開電源選項,進入到休眠標籤頁面,並在其中將“啓用休眠”選項選中就可以了。
9)禁止關機事件跟蹤
開始“Start ->”運行“ Run ->輸入”gpedit.msc “,在出現的窗口的左邊部分,選擇 ”計算機配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系統“(System),在右邊窗口雙擊“Shutdown Event Tracker” 在出現的對話框中選擇“禁止”(Disabled),點擊然後“確定”(OK)保存後退出這樣,你將看到類似於Windows 2000的關機窗口
17、常見端口的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [衝擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[衝擊波]
UDP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關於UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080,那麼,我們只運 行本機使用4000這幾個端口就行了
附:1 端口基礎知識大全(絕對好帖,加精吧!)
端口分爲3大類
1) 公認端口(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常 這些端口的通訊明確表明了某種服 務的協議。例如:80端口實際上總是h++p通訊。
2) 註冊端口(Registered Ports):從1024到49151。它們鬆散地綁定於一些服 務。也就是說有許多服務綁定於這些端口,這些端口同樣用於許多其它目的。例如: 許多系統處理動態端口從1024左右開始。
3) 動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。 理論上,不應爲服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也 有例外:SUN的RPC端口從32768開始。
本節講述通常TCP/UDP端口掃描在防火牆記錄中的信息。
記住:並不存在所謂 ICMP端口。如果你對解讀ICMP數據感興趣,請參看本文的其它部分。
0 通常用於分析* 作系統。這一方*能夠工作是因爲在一些系統中“0”是無效端口,當你試 圖使用一 種通常的閉合端口連接它時將產生不同的結果。一種典型的掃描:使用IP地址爲 0.0.0.0,設置ACK位並在以太網層廣播。
1 tcpmux這顯示有人在尋找SGIIrix機 器。Irix是實現tcpmux的主要提供者,缺省情況下tcpmux在這種系統中被打開。Iris 機器在發佈時含有幾個缺省的無密碼的帳戶,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜索 tcpmux 並利用這些帳戶。
7Echo你能看到許多人們搜索Fraggle放大器時,發送到x.x.x.0和x.x.x.255的信 息。常見的一種DoS***是echo循環(echo-loop),***者僞造從一個機器發送到另 一個UDP數據包,而兩個機器分別以它們最快的方式迴應這些數據包。(參見 Chargen) 另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產品叫做 Resonate Global Dispatch”,它與DNS的這一端口連接以確定最近的路 由。Harvest/squid cache將從3130端口發送UDPecho:“如果將cache的 source_ping on選項打開,它將對原始主機的UDP echo端口迴應一個HIT reply。”這將會產生許多這類數據包。
11 sysstat這是一種UNIX服務,它會列出機器上所有正在運行的進程以及是什麼啓動 了這些進程。這爲***者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或 帳戶的程序。這與UNIX系統中“ps”命令的結果相似再說一遍:ICMP沒有端口,ICMP port 11通常是ICMPtype=1119 chargen 這是一種僅僅發送字符的服務。UDP版本將 會在收到UDP包後迴應含有垃圾字符的包。TCP連
接時,會發送含有垃圾字符的數據流知道連接關閉。Hacker利用IP欺騙可以發動DoS ***僞造兩 個chargen服務器之間的UDP由於服務器企圖迴應兩個服務器之間的無限 的往返數據通訊一個chargen和echo將導致服務器過載。同樣fraggle DoS***向目標 地址的這個端口廣播一個帶有僞造受害者IP的數據包,受害者爲了迴應這些數據而過 載。
21 ftp最常見的***者用於尋找打開“anonymous”的ftp服務器的方*。這些服務器 帶有可讀寫的目錄。Hackers或tackers利用這些服務器作爲傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。
22 sshPcAnywhere建立TCP和這一端口的連接可能是爲了尋找ssh。這一服務有許多弱 點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端 口運行ssh)還應該注意的是ssh工具包帶有一個稱爲ake-ssh-known-hosts的程序。 它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。UDP(而不 是TCP)與另一端的5632端口相連意味着存在搜索pcAnywhere的掃描。5632 (十六進 制的0x1600)位交換後是0x0016(使進制的22)。
23 Telnet***者在搜索遠程登陸UNIX的服務。大多數情況下***者掃描這一端口是 爲了找到機器運行的*作系統。此外使用其它技術,***者會找到密碼。
#2
25 smtp***者(spammer)尋找SMTP服務器是爲了傳遞他們的spam。***者的帳戶總 被關閉,他們需要撥號連接到高帶寬的e-mail服務器上,將簡單的信息傳遞到不同的 地址。SMTP服務器(尤其是sendmail)是進入系統的最常用方*之一,因爲它們必須 完整的暴露於Internet且郵件的路由是複雜的(暴露+複雜=弱點)。
53 DNSHacker或crackers可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏 其它通訊。因此防火牆常常過濾或記錄53端口。 需要注意的是你常會看到53端口做爲 UDP源端口。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回覆。Hacker 常使用這種方*穿透防火牆。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看 見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP服務器請求一個 地址分配。Hacker常進入它們分配一個地址把自己作爲局部路由器而發起大量的“中 間人”(man-in-middle)***。客戶端向68端口(bootps)廣播請求配置,服務器 向67端口(bootpc)廣播迴應請求。這種迴應使用廣播是因爲客戶端還不知道可以發 送的IP地址。69 TFTP(UDP) 許多服務器與bootp一起提供這項服務,便於從系統下載 啓動代碼。但是它們常常錯誤配置而從系統提供任何文件,如密碼文件。它們也可用 於向系統寫入文件
79 finger Hacker用於獲得用戶信息,查詢*作系統,探測已知的緩衝區溢出錯誤, 迴應從自己機器到其它機器finger掃描。
98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p服務器在98端 口提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot,信任 局域網,在/tmp下建立Internet可訪問的文件,LANG環境變量有緩衝區溢出。 此外 因爲它包含整合的服務器,許多典型的h++p漏洞可
能存在(緩衝區溢出,歷遍目錄等)109 POP2並不象POP3那樣有名,但許多服務器同 時提供兩種服務(向後兼容)。在同一個服務器上POP3的漏洞在POP2中同樣存在。
110 POP3用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用 戶名和密碼交換緩衝區溢出的弱點至少有20個(這意味着Hacker可以在真正登陸前進 入系統)。成功登陸後還有其它緩衝區溢出錯誤。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是 掃描系統查看允許哪些RPC服務的最早的一步。常 見RPC服務有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。***者發現了允許的RPC服務將轉向提 供 服務的特定端口測試漏洞。記住一定要記錄線路中的
daemon, IDS, 或sniffer,你可以發現***者正使用什麼程序訪問以便發現到底發生 了什麼。
113 Ident auth .這是一個許多機器上運行的協議,用於鑑別TCP連接的用戶。使用 標準的這種服務可以獲得許多機器的信息(會被Hacker利用)。但是它可作爲許多服 務的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過 防火牆訪問這些服務,你將會看到許多這個端口的連接請求。記住,如果你阻斷這個 端口客戶端會感覺到在防火牆另一邊與e-mail服務器的緩慢連接。許多防火牆支持在 TCP連接的阻斷過程中發回T,着將回停止這一緩慢的連接。
119 NNTP news新聞組傳輸協議,承載USENET通訊。當你鏈接到諸 如:news:p.security.firewalls/. 的地址時通常使用這個端口。這個端口的連接 企圖通常是人們在尋找USENET服務器。多數ISP限制只有他們的客戶才能訪問他們的新 聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務 器,匿名發帖或發送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC end- point mapper爲它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和/或 RPC的服務利用 機器上的end-point mapper註冊它們的位置。遠
端客戶連接到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃描 機器的這個端口是爲了找到諸如:這個機器上運 行Exchange Server嗎?是什麼版 本? 這個端口除了被用來查詢服務(如使用epdump)還可以被用於直接***。有一些 DoS攻 擊直接針對這個端口。
137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最常見的信息,請仔 細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing
通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows“文件 和打印機共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。 大 量針對這一端口始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)開始將它們自己拷貝到這個端口,試圖在這個端口繁殖。
143 IMAP和上面POP3的安全問題一樣,許多IMAP服務器有緩衝區溢出漏洞運行登陸過 程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個端口繁殖,因此許多這個端 口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發佈版本中默認允 許IMAP後,這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。 這一端口還被用於IMAP2,但並不流行。 已有一些報道發現有些0到143端口的***源 於腳本。
161 SNMP(UDP)***者常探測的端口。SNMP允許遠程管理設備。所有配置和運行信息 都儲存在數據庫中,通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露於 Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問系統。他們 可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網絡。Windows機器常 會因爲錯誤配置將HP JetDirect rmote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網 內廣播(cable modem, DSL)查詢sysName和其它信
息。
162 SNMP trap 可能是由於錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制檯,它同時需要打開6000端口。
513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。 這些人爲Hacker進入他們的系統提供了很有趣的信息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個端口 的廣播。CORBA是一種面向對象的RPC(remote procedure call)系統。Hacker會利 用這些信息進入系統。 600 Pcserver backdoor 請查看1524端口一些玩script的孩 子認爲他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個端 口的掃描是基於UDP的,但基於TCP 的mountd有所增加(mountd同時運行於兩個端 口)。記住,mountd可運行於任何端口(到底在哪個端口,需要在端口111做portmap 查詢),只是Linux默認爲635端口,就象NFS通常運行於2049
1024 許多人問這個 端口是幹什麼的。它是動態端口的開始。許多程序並不在乎用哪個端口連接網絡,它 們請求*作系統爲它們分配“下一個閒置端口”。基於這一點分配從端口1024開始。 這意味着第一個向系統請求分配動態端口的程序將被分配端口1024。爲了驗證這一 點,你可以重啓機器,打開Telnet,再打開一個窗口運行“natstat -a”,你將會看 到Telnet被分配1024端口。請求的程序越多,動態端口也越多。*作系統分配的端口 將逐漸變大。再來一遍,當你瀏覽Web頁時用“netstat”查看,每個Web頁需要一個 新端口。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:[email protected].
All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
#3
1025 參見1024
1026參見1024
1080 SOCKS 這一協議以管道方式穿過防火牆,允許防火牆後面的許多人通過一個IP 地址訪問Internet。理論上它應該只
允許內部的通信向外達到Internet。但是由於錯誤的配置,它會允許Hacker/Cracker 的位於防火牆外部的攻
擊穿過防火牆。或者簡單地迴應位於Internet上的計算機,從而掩飾他們對你的直接 ***。
WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊 天室時常會看到這種情況。
1114 SQL 系統本身很少掃描這個端口,但常常是sscan腳本的一部分。
1243 Sub-7***(TCP)參見Subseven部分。
1524 ingreslock後門 許多***腳本將安裝一個後門Sh*ll 於這個端口(尤其是那些 針對Sun系統中Sendmail和RPC服務漏洞的腳本,如statd,ttdbserver和cmsd)。如 果你剛剛安裝了你的防火牆就看到在這個端口上的連接企圖,很可能是上述原因。你 可以試試Telnet到你的機器上的這個端口,看看它是否會給你一個Sh*ll 。連接到 600/pcserver也存在這個問題。
2049 NFS NFS程序常運行於這個端口。通常需要訪問portmapper查詢這個服務運行於 哪個端口,但是大部分情況是安裝後NFS杏謖飧齠絲冢?acker/Cracker因而可以閉開 portmapper直接測試這個端口。
3128 squid 這是Squid h++p代理服務器的默認端口。***者掃描這個端口是爲了搜 尋一個代理服務器而匿名訪問Internet。你也會看到搜索其它代理服務器的端口:
000/8001/8080/8888。掃描這一端口的另一原因是:用戶正在進入聊天室。其它用戶 (或服務器本身)也會檢驗這個端口以確定用戶的機器是否支持代理。請查看5.3節。
5632 pcAnywere你會看到很多這個端口的掃描,這依賴於你所在的位置。當用戶打開 pcAnywere時,它會自動掃描局域網C類網以尋找可能得代理(譯者:指agent而不是 proxy)。Hacker/cracker也會尋找開放這種服務的機器,所以應該查看這種掃描的 源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數據包。參見撥號掃描。
6776 Sub-7 artifact 這個端口是從Sub-7主端口分離出來的用於傳送數據的端口。 例如當控制者通過電話線控制另一臺機器,而被控機器掛斷時你將會看到這種情況。 因此當另一人以此IP撥入時,他們將會看到持續的,在這個端口的連接企圖。(譯 者:即看到防火牆報告這一端口的連接企圖時,並不表示你已被Sub-7控制。)
6970 RealAudio客戶將從服務器的6970-7170的UDP端口接收音頻數據流。這是由TCP7070 端口外向控制連接設置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許 用戶在此端口打開私人聊天的接。這一程序對於建立連接非常具有“進攻性”。它 會“駐紮”在這一TCP端口等待迴應。這造成類似心跳間隔的連接企圖。如果你是一個 撥號用戶,從另一個聊天者手中“繼承”了IP地址這種情況就會發生:好象很多不同 的人在測試這一端口。這一協議使用“OPNG”作爲其連接企圖的前四個字節。
17027 Conducent這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟件。
Conducent "adbot"是爲共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件 是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會 導致adbots持續在每秒內試圖連接多次而導致連接過載:
機器會不斷試圖解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不 知NetAnts使用的Radiate是否也有這種現象)
27374 Sub-7***(TCP) 參見Subseven部分。
30100 NetSphere***(TCP) 通常這一端口的掃描是爲了尋找中了NetSphere***。
31337 Back Orifice “eliteHacker中31337讀做“elite”/ei’li:t/(譯者:* 語,譯爲中堅力量,精華。即 3=E, 1=L, 7=T)。因此許多後門程序運行於這一端 口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。 現在它的流行越來越少,其它的 ***程序越來越流行。
31789 Hack-a-tack 這一端口的UDP通訊通常是由於"Hack-a-tack"遠程訪問*** (RAT,Remote Access Trojan)。這種***包含內置的31790端口掃描器,因此任何 31789端口到317890端口的連 接意味着已經有這種***。(31789端口是控制連 接,317890端口是文件傳輸連接)
32770~32900 RPC服務 Sun Solaris的RPC服務在這一範圍內。詳細的說:早期版本 的Solaris(2.5.1之前)將 portmapper置於這一範圍內,即使低端口被防火牆封閉 仍然允許Hacker/cracker訪問這一端口。 掃描這一範圍內的端口不是爲了尋找 portmapper,就是爲了尋找可被***的已知的RPC服務。
33434~33600 traceroute 如果你看到這一端口範圍內的UDP數據包(且只在此範圍 之內)則可能是由於traceroute。參見traceroute分。
41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。 參見
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端 口,所以它們幾乎不會是源端口。但有一些例外,例如來自NAT機器的連接。 常看見 緊接着1024的端口,它們是系統分配給那些並不在乎使用哪個端口連接的應用程序 的“動態端口”。 Server Client 服務描述
1-5/tcp 動態 FTP 1-5端口意味着sscan腳本
20/tcp 動態 FTP FTP服務器傳送文件的端口
53 動態 FTP DNS從這個端口發送UDP迴應。你也可能看見源/目標端口的TCP連 接。
123 動態 S/NTP 簡單網絡時間協議(S/NTP)服務器運行的端口。它們也會發送 到這個端口的廣播。
27910~27961/udp 動態 Quake Quake或Quake引擎驅動的遊戲在這一端口運行其 服務器。因此來自這一端口範圍的UDP包或發送至這一端口範圍的UDP包通常是遊戲。
61000以上 動態 FTP 61000以上的端口可能來自Linux NAT服務器
#4
端口大全(中文翻譯)
1 tcpmux TCP Port Service Multiplexer 傳輸控制協議端口服務多路開關選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程作業登錄
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發送協議
19 chargen Character Generator 字符發生器
20 ftp-data File Transfer [Default Data] 文件傳輸協議(默認數據口)
21 ftp File Transfer [Control] 文件傳輸協議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登錄協議
23 telnet Telnet 終端仿真協議
24 ? any private mail system 預留給個人用郵件系統
25 smtp Simple Mail Transfer 簡單郵件發送協議
27 nsw-fe NSW User System FE NSW 用戶系統現場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協議
35 ? any private printer server 預留給個人打印機服務
37 time Time 時間
38 rap Route Access Protocol 路由訪問協議
39 rlp Resource Location Protocol 資源定位協議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務
43 nicname Who Is "綽號" who is服務
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標誌協議
45 mpm Message Processing Module [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認發送口)
47 ni-ftp NI FTP NI FTP
48 auditd Digital Audit Daemon 數碼音頻後臺服務
49 tacacs Login Host Protocol (TACACS) TACACS登錄主機協議
50 re-mail-ck Remote Mail Checking Protocol 遠程郵件檢查協議
51 la-maint IMP Logical Address Maintenance IMP(接口信息處理機)邏輯地址維護
52 xns-time XNS Time Protocol 施樂網絡服務系統時間協議
53 domain Domain Name Server 域名服務器
54 xns-ch XNS Clearinghouse 施樂網絡服務系統票據交換
55 isi-gl ISI Graphics Language ISI圖形語言
56 xns-auth XNS Authentication 施樂網絡服務系統驗證
57 ? any private terminal access 預留個人用終端訪問
58 xns-mail XNS Mail 施樂網絡服務系統郵件
59 ? any private file service 預留個人文件服務
60 ? Unassigned 未定義
61 ni-mail NI MAIL NI郵件?
62 acas ACA Services 異步通訊適配器服務
63 whois+ whois+ WHOIS+
64 covia Communications Integrator (CI) 通訊接口
65 tacacs-ds TACACS-Database Service TACACS數據庫服務
66 sql*net Oracle SQL*NET Oracle SQL*NET
67 bootps Bootstrap Protocol Server 引導程序協議服務端
68 bootpc Bootstrap Protocol Client 引導程序協議客戶端
69 tftp Trivial File Transfer 小型文件傳輸協議
70 gopher Gopher 信息檢索協議
71 netrjs-1 Remote Job Service 遠程作業服務
72 netrjs-2 Remote Job Service 遠程作業服務
73 netrjs-3 Remote Job Service 遠程作業服務
74 netrjs-4 Remote Job Service 遠程作業服務
75 ? any private dial out service 預留給個人撥出服務
76 deos Distributed External Object Store 分佈式外部對象存儲
77 ? any private RJE service 預留給個人遠程作業輸入服務
78 vettcp vettcp 修正TCP?
79 finger Finger FINGER(查詢遠程主機在線用戶等信息)
80 http World Wide Web HTTP 全球信息網超文本傳輸協議
81 hosts2-ns HOSTS2 Name Server HOST2名稱服務
82 xfer XFER Utility 傳輸實用程序
83 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
84 ctf Common Trace Facility 公用追蹤設備
85 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
86 mfcobol Micro Focus Cobol Micro Focus Cobol編程語言
87 ? any private terminal link 預留給個人終端連接
88 kerberos Kerberos Kerberros安全認證系統
89 su-mit-tg SU/MIT Telnet Gateway SU/MIT終端仿真網關
90 dnsix DNSIX Securit Attribute Token Map DNSIX 安全屬性標記圖
91 mit-dov MIT Dover Spooler MIT Dover假脫機
92 npp Network Printing Protocol 網絡打印協議
93 dcp Device Control Protocol 設備控制協議
94 objcall Tivoli Object Dispatcher Tivoli對象調度
95 supdup SUPDUP
96 dixie DIXIE Protocol Specification DIXIE協議規範
97 swift-rvf Swift Remote Virtural File Protocol 快速遠程虛擬文件協議
98 tacnews TAC News TAC(東京大學自動計算機)新聞協議
99 metagram Metagram Relay
100 newacct [unauthorized use]
18、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾
開始--運行--cmd
輸入命令netstat -a
會看到例如(這是我的機器開放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025(端口號) yf001:0 LISTE
TCP (用戶名)yf001:1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現在講講基於Windows的tcp/ip的過濾
控制面板--網絡和撥號連接--本地連接--INTERNET協議(tcp/ip)--屬性--高級---選項-tcp/ip篩選--屬性!!
然後添加需要的tcp 和UDP端口就可以了~如果對端口不是很瞭解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。
19、
(1)、移動“我的文檔”
進入資源管理器,右擊“我的文檔”,選擇“屬性”,在“目標文件夾”選項卡中點“移動”按鈕,選擇目標盤後按“確定”即可。在Windows 2003 中“我的文檔”已難覓芳蹤,桌面、開始等處都看不到了,建議經常使用的朋友做個快捷方式放到桌面上。
(2)、移動IE臨時文件
進入“開始→控制面板→Internet 選項”,在“常規”選項“Internet 文件”欄中點“設置”按鈕,在彈出窗體中點“移動文件夾”按鈕,選擇目標文件夾後,點“確定”,在彈出對話框中選擇“是”,系統會自動重新登錄。點本地連接>高級>安全日誌,把日誌的目錄更改專門分配日誌的目錄,不建議是C:再重新分配日誌存儲值的大小,我是設置了10000KB。
20、避免被惡意代碼 ***等病毒***
以上主要講怎樣防止***的惡意***,下面講避免機器被惡意代碼,***之類的病毒***。
其實方法很簡單,惡意代碼的類型及其對付方法:
1. 禁止使用電腦 危害程度:★★★★ 感染概率:**
現象描述:儘管網絡流氓們用這一招的不多,但是一旦你中招了,後果真是不堪設想!瀏覽了含有這種惡意代碼的網頁其後果是:"關閉系統"、"運行"、"註銷"、註冊表編輯器、DOS程序、運行任何程序被禁止,系統無法進入"實模式"、驅動器被隱藏。
解決辦法:一般來說上述八大現象你都遇上了的話,基本上系統就給"廢"了,建議重裝。
2. 格式化硬盤 危害程度:★★★★★ 感染概率:*
現象描述:這類惡意代碼的特徵就是利用IE執行ActiveX的功能,讓你無意中格式化自己的硬盤。只要你瀏覽了含有它的網頁,瀏覽器就會彈出一個警告說"當前的頁面含有不安全的ActiveX,可能會對你造成危害",問你是否執行。如果你選擇"是"的話,硬盤就會被快速格式化,因爲格式化時窗口是最小化的,你可能根本就沒注意,等發現時已悔之晚矣。
解決辦法:除非你知道自己是在做什麼,否則不要隨便回答"是"。該提示信息還可以被修改,如改成"Windows正在刪除本機的臨時文件,是否繼續",所以千萬要注意!此外,將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一個辦法。
3. 下載運行***程序 危害程度:★★★ 感染概率:***
現象描述:在網頁上瀏覽也會中***?當然,由於IE5.0本身的漏洞,使這樣的新式***手法成爲可能,方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞,將***放在eml文件裏,然後用一段惡意代碼指向它。上網者瀏覽到該惡意網頁,就會在不知不覺中下載了***並執行,其間居然沒有任何提示和警告!
解決辦法:第一個辦法是升級您的IE5.0,IE5.0以上版本沒這毛病;此外,安裝金山毒霸、Norton等病毒防火牆,它會把網頁***當作病毒迅速查截殺。
4. 註冊表的鎖定 危害程度:★★ 感染概率:***
現象描述:有時瀏覽了惡意網頁後系統被修改,想要用Regedit更改時,卻發現系統提示你沒有權限運行該程序,然後讓你聯繫管理員。暈了!動了我的東西還不讓改,這是哪門子的道理!
解決辦法:能夠修改註冊表的又不止Regedit一個,找一個註冊表編輯器,例如:Reghance。將註冊表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值"DisableRegistryTools"鍵值恢復爲"0",即可恢復註冊表。
5. 默認主頁修改 危害程度:★★★ 感染概率:*****
現象描述:一些網站爲了提高自己的訪問量和做廣告宣傳,利用IE的漏洞,將訪問者的IE不由分說地進行修改。一般改掉你的起始頁和默認主頁,爲了不讓你改回去,甚至將IE選項中的默認主頁按鈕變爲失效的灰色。不愧是網絡流氓的一慣做風。
解決辦法:1.起始頁的修改。展開註冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改爲"about:blank"即可。同理,展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改爲"about:blank"即可。 注意:有時進行了以上步驟後仍然沒有生效,估計是有程序加載到了啓動項的緣故,就算修改了,下次啓動時也會自動運行程序,將上述設置改回來,解決方法如下: 運行註冊表編輯器Regedit.exe,然後依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵,然後將下面的"registry.exe"子鍵(名字不固定)刪除,最後刪除硬盤裏的同名可執行程序。退出註冊編輯器,重新啓動計算機,問題就解決了。
2.默認主頁的修改。運行註冊表編輯器,展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\,將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正,或者設置爲IE的默認值。 3.IE選項按鈕失效。運行註冊表編輯器,將HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改爲"0",將HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值"homepage"的鍵值改爲"0"。
6. 篡改IE標題欄 危害程度:★ 感染概率:*****
現象描述:在系統默認狀態下,由應用程序本身來提供標題欄的信息。但是,有些網絡流氓爲了達到廣告宣傳的目的,將串值"Windows Title"下的鍵值改爲其網站名或更多的廣告信息,從而達到改變IE標題欄的目的。非要別人看他的東西,而且是通過非法的修改手段,除了"無恥"兩個字,再沒有其它形容詞了。
解決辦法:展開註冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下,在右半部分窗口找到串值"Windows Title",將該串值刪除。重新啓動計算機。
7. 篡改默認搜索引擎 危害程度:★★★ 感染概率:*
現象描述:在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網絡搜索,被篡改後只要點擊那個搜索工具按鈕就會鏈接到網絡注氓想要你去的網站。
解決辦法:運行註冊表編輯器,依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改爲某個搜索引擎的網址即可
8. IE右鍵修改 危害程度:★★ 感染概率:***
現象描述:有的網絡流氓爲了宣傳的目的,將你的右鍵彈出的功能菜單進行了修改,並且加入了一些亂七八糟的東西,甚至爲了禁止你下載,將IE窗口中單擊右鍵的功能都屏蔽掉。
解決辦法:1.右鍵菜單被修改。打開註冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,刪除相關的廣告條文。 2.右鍵功能失效。打開註冊表編輯器,展開到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions,將其DWORD值"NoBrowserContextMenu"的值改爲0。
9. 篡改地址欄文字 危害程度:★★ 感染概率:***
現象描述:中招者的IE地址欄下方出現一些莫名其妙的文字和圖標,地址欄裏的下拉框裏也有大量的地址,並不是你以前訪問過的。
解決辦法:1.地址欄下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到鍵值LinksFolderName,將其中的內容刪去即可。 2.地址欄中無用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中刪除無用的鍵值即可。
同時我們需要在系統中安裝殺毒軟件
如 卡巴基斯,瑞星,McAfee等
還有防止***的***剋星(可選)
並且能夠及時更新你的病毒定義庫,定期給你的系統進行全面殺毒。殺毒務必在安全模式下進行,這樣纔能有效清除電腦內的病毒以及駐留在系統的非法文件。
還有就是一定要給自己的系統及時的打上補丁,安裝最新的升級包。微軟的補丁一般會在漏洞發現半個月後發佈,而且如果你使用的是中文版的操作系統,那麼至少要等一個月的時間才能下到補丁,也就是說這一個月的時間內你的系統因爲這個漏洞是很危險的。
本人強烈建議個人用戶安裝使用防火牆(目前最有效的方式)
例如:天網個人防火牆、諾頓防火牆、ZoneAlarm等等。
因爲防火牆具有數據過濾功能,可以有效的過濾掉惡意代碼,和阻止DDOS***等等。總之如今的防火牆功能強大,連漏洞掃描都有,所以你只要安裝防火牆就可以杜絕大多數網絡***,但是就算是裝防火牆也不要以爲就萬事無憂。因爲安全只是相對的,如果哪個邪派高手看上你的機器,防火牆也無濟於事。我們只能儘量提高我們的安全係數,儘量把損失減少到最小。如果還不放心也可以安裝密罐和IDS***檢測系統。而對於防火牆我個人認爲關鍵是IP策略的正確使用,否則可能會勢的起反。
個人電腦詳細的安全設置方法
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.