教你打造一道超级防御的电脑防火墙

子夜的金

, T& P2 E# n( B我们遇到的入侵方式大概包括了以下几种：
: c* |* e. |8 T
' i$ D) L- P, i/ `, r8 w(1) 被他人盗取密码；

(2) 系统被木马攻击；

(3) 浏览网页时被恶意的java scrpit程序攻击；

0 p8 M: n* b7 D& v% w(4) QQ被攻击或泄漏信息；
) T5 k) f8 H. i# X$ l7 W2 I
6 u" b; q8 D6 ?(5) 病毒感染；
" w1 o; c- \9 z# ]6 L5 S/ ~
8 X5 ?) z6 ^3 J, q- n: O% b' {(6) 系统存在漏洞使他人攻击自己。
0 h6 {8 J, V9 }) i; \
, r- r: Z( R) J- i+ z& H/ `(7) 黑客的恶意攻击。

下面我们就来看看通过什么样的手段来更有效的防范攻击。
/ A, v# G* a9 t  [5 K
6 s( g  G$ e) n0 n4 ^  `1.察看本地共享资源

运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

+ ^, Y# \" I) d6 C  ]7 n' \+ @2.删除共享(每次输入一个）
8 N1 ~' o! p7 |( v( e1 K
+ K7 d  T- l2 n( `: E7 `net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e，f，……可以继续删除）

3 S+ q! z. V1 B& B  p3.删除ipc$空连接
! y1 n8 _- e& G; |+ C9 R
6 i% V2 s+ {8 u1 d1 f' D, P& G. M在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。

- H, B' B) e$ m+ k" K4 Y5 K4.关闭自己的139端口，Ipc和RPC漏洞存在于此

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
  e, y* L* A) x6 w
5．防止Rpc漏洞
( |& f( l" {' B
2 Q) b* Y$ g+ x. w8 _1 \8 c6 O打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。

Windwos XP SP2和Windows2000 Pro Sp4，均不存在该漏洞。
1 |0 @- e$ Y& o
; n1 ?8 _0 u/ T% c8 ?6．445端口的关闭
) k; y. t2 A$ e$ [& ]! e
6 I; `9 D6 b, |8 ^) G; ~修改注册表，添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
7 U, k" ?# I/ S+ _3 d! a
. x' J$ }  T. j! M, _1 M7．3389的关闭
9 ^/ G8 r( O- V! l+ S
  V& ]7 _# b9 Z+ YWindowsXP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。
3 z( a1 a0 l3 c. b( r0 B: q" q
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）

使用Windows2000 Pro的朋友注意，网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。
4 w" X5 ^) z& V
3 q- h6 t8 }2 }  V8．4899的防范
* r: ]; {# W7 f' \) s& X
/ K9 ~" r$ Z3 z  {9 J0 V5 F& P. _( m网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。
7 B& K: C- V8 C, s% R
+ n) `  Z0 n. `1 x; Q9 {4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务

打开控制面板，进入管理工具——服务，关闭以下服务：

- t* ~& ?6 R# {& I1 `1.Alerter[通知选定的用户和计算机管理警报]
2 v' y5 w9 Z& s8 }2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无
法访问共享
6 ^' a' ^: {2 w9 ?( f2 B4.Distributed Link Tracking Server[适用局域网分布式链接]
8 p, \2 O  y' ~' a5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
( O8 L- ^& R1 K% p7 o7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]
# ], j* o1 `) [8 n7 t% R8.Kerberos Key Distribution Center[授权协议登录网络]
; p- d0 F- o$ p9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
2 _# [. u3 r! R10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
, C$ ^" r1 i' x3 ]1 o13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务，没有打印机就禁止吧]
7 n  ^/ n0 k1 n8 |8 Q& @; e$ s15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
& `: w2 u8 p- V% T! r17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
, n- R' ]7 V# t  a; c18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
" i$ \+ X2 W9 }% w9 ]) Z持而使用户能够共享文件 、打印和登录到网络]
+ m$ I0 x+ H! ~; s3 H6 D21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]
, P' M; I7 F4 ^5 O& M2 v4 y
如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。
3 c/ r3 Z/ y$ o7 q% ?" Y" P( ]
. U) n6 O# k3 g7 o, P; |, p2 |  V10、账号密码的安全原则

首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。
- c& {; s8 T1 d! n
: L. O& Q' T: d8 X' T+ w# x3 A3 n如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。

打开管理工具—本地安全设置—密码策略：
. I5 M% x5 N! g% x
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
% D" k* o$ k1 Y5 z1 y6.用可还原的加密来存储密码 禁用

! u$ v) e  i% M/ F: `" |2 B　　
$ v3 k7 I, y$ }, L. j% x11、本地策略
" S! N# u/ O: M* K. x
这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。
7 D& I3 L) u6 F% a8 Y/ Z. u$ u
/ s  k  |% z6 O8 C! L0 e  T' j) ~* _(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)
& ^$ A8 K; ?) A( u
( _8 @& U7 @6 h  z: z0 k打开管理工具，找到本地安全设置—本地策略—审核策略：

9 d! k# ^1 _9 m. m; P3 e1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
9 i, @6 t2 e! q. E# M: O: i5.审核目录服务访问 失败
6.审核特权使用 失败
# Y0 D  v( F# Y# D" X7.审核系统事件 成功失败
3 `1 Z- t& l4 B0 E  W3 ?8.审核帐户登陆时间 成功失败
) \; |1 I, j2 E9.审核帐户管理 成功失败
; q3 p: K5 E+ E! n- O! w/ k
&nb sp;然后再到管理工具找到事件查看器：
' l6 L$ k0 G# L; o$ }1 |
$ K  Z- h% ^4 }应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不覆盖事件。
. i& _8 ?' H  ], j) R
1 H1 J/ ^* j( ]; k7 K安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不覆盖事件。
; V7 O1 r$ a  W: h5 S) |
) _  U! ^8 V8 ^系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不覆盖事件。
  P8 D4 G4 V& c
1 U& F$ `/ n* Y  o! N* }3 e12、本地安全策略

8 c7 y; a' ?+ G0 D" q  H4 Q打开管理工具，找到本地安全设置—本地策略—安全选项：
0 a/ K; I1 A5 {* \2 ?4 i! V' C  `
2 l7 Y7 a6 R8 F- Z2 ^　　　　
" ?) T# _6 s7 k  L+ r/ j: f1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登
6 f! {3 B% [" [" @陆的]。
; |2 V2 B" F: Y/ W" ]2.网络访问.不允许SAM帐户的匿名枚举 启用。
3 p# j7 p- |: [2 A3.网络访问.可匿名的共享 将后面的值删除。
& `! q5 ^: c5 ~1 g2 _) p/ u! F4.网络访问.可匿名的命名管道 将后面的值删除。
5.网络访问.可远程访问的注册表路径 将后面的值删除。
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
  C. ^" W9 ~: q: }& H$ v; a, K: t: U7.网络访问.限制匿名访问命名管道和共享。
8.帐户.（前面已经详细讲过拉 ）。

子夜的金

13、用户权限分配策略
. |, ~7 K4 ?( Y% g/ u
2 g" s% F/ v, B& A* p打开管理工具，找到本地安全设置—本地策略—用户权限分配：
% Y, Z( T% b  f* L5 [% y- |
　　　　
- t# b5 N  L6 L, Z3 Y. A1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属
于自己的ID。
1 G6 `5 l4 H' [2.从远程系统强制关机，Admin帐户也删除，一个都不留　。　　　
3.拒绝从网络访问这台计算机 将ID删除。
4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务。
* o4 ~4 M$ f, v5.通过远端强制关机。删掉。

14、终端服务配置
/ Q' q: r# W1 V# i6 w$ K- W* M
打开管理工具，终端服务配置：

1.打开后，点连接，右键，属性，远程控制，点不允许远程控制。
2.常规，加密级别，高，在使用标准Windows验证上点√!
3.网卡，将最多连接数上设置为0。
4.高级，将里面的权限也删除。
" i# q: Z" V4 H- ]4 ?4 ^
再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话。
9 i. B& p& y2 `8 M1 N/ i1 V% C
- P' R# h, G: k8 A# z' A4 a15、用户和组策略
# h# ?" e; F! [, Y5 Q
% f& [0 J" F4 ~8 v3 h1 i打开管理工具，计算机管理—本地用户和组—用户：
! D  M# [6 z7 Z- s! @+ `
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
) ?2 }4 ~* N2 W0 g+ ?
% w8 E; D, D+ X3 {7 Q  G计算机管理—本地用户和组—组，组.我们就不分组了。
" g; X) C+ A4 `: x1 p9 v
9 ]! A! n+ z* x$ {16、自己动手DIY在本地策略的安全选项
7 \; q5 n# F5 _* }6 F- C! ]; {
　　　　
1 `% g( s0 D  O1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透。
( S* {  S$ [# ^" d2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户
名.让他去猜你的用户名去吧。
3）对匿名连接的额外限制。
& A9 D' ?6 V8 r% k( R% v# w$ Q" J4）禁止按 alt+crtl +del(没必要）。
5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]。
6）只有本地登陆用户才能访问cd-rom。
7）只有本地登陆用户才能访问软驱。
" [6 Q5 V$ j( i$ P4 y8）取消关机原因的提示。
A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签
页面；
B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确
定”按钮，来退出设置框；
C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能
键，来实现快速关机和开机；
D、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页
面，并在其中将“启用休眠”选项选中就可以了。
9）禁止关机事件跟踪
/ s' Y! Q6 d2 [: R; ~2 V
0 K2 o7 P6 i2 n开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口。
* F& M' A" e' f6 m( _) n0 D3 i
17、常见端口的介绍　　　　　　　　　　　　
: r6 z& \/ \+ D! h& ]
TCP
21　　 FTP
22　　 SSH
$ t1 l, C- v: x7 L; f( O" o23　　 TELNET
25　　 TCP SMTP
( g& c. [9 E1 X  J4 B  a% `. d53　　 TCP DNS
* [$ J  ]* |# @$ u& E8 _( o80　　 HTTP
4 i8 j9 O6 ^. P7 M  ]135　　epmap
138　　[冲击波]
139　　smb
445
# \( ~8 r1 c0 q/ [1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
8 N6 Y: j" i! G- v, y0 z( B' t3 G1026 DCE/12345778-1234-abcd-ef00-0123456789ac
% K+ V& e, x8 D- c1433 TCP SQL SERVER
5631 TCP PCANYWHERE
3 {  J6 H" e1 a5632 UDP PCANYWHERE
/ x/ g5 ~& ]' t4 I) [3389　　 Terminal Services
. X5 e1 f) Q* S4444[冲击波]
7 C1 K0 Y! g7 b$ D& |0 I# e/ d- v　
UDP
9 j. {2 H* {# S1 a. p' t67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
% ^  _& q" B1 @% S
0 b8 F7 V) |" l关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080，那么，我们只运 行本机使用4000这几个端口就行了。

7 b; Q7 {' @& K" O+ @! O3 o18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤

开始－－运行－－cmd，输入命令netstat -a ，会看到例如（这是我的机器开放的端口）：
" u& A2 Q+ w$ i1 q3 F0 ^/ S
Proto Local Address　　　　Foreign Address　　　　State
3 L  l9 {- [& t+ ]6 A% WTCP　　yf001:epmap　　　　 yf001:0　　　　　　 LISTE
' }' C* y2 w1 a: A9 MTCP　　yf001:1025（端口号）　　　　　　yf001:0　　　　　　
3 E; D( S! Y5 j# `5 ]
LISTE
0 d" U- g8 Z* N, N- ETCP　　(用户名）yf001:1035　　　　　　yf001:0　　　　　　
! x+ I- ]/ Y( C: o) a, g7 n* M/ [
" b  \4 @& ]1 d% uLISTE
TCP　　yf001:netbios-ssn　　 yf001:0　　　　　　 LISTE
$ H# L8 D9 k, h! bUDP　　yf001:1129　　　　　　*:*
UDP　　yf001:1183　　　　　　*:*
% y2 J5 t$ {+ zUDP　　yf001:1396　　　　　　*:*
UDP　　yf001:1464　　　　　　*:*
2 L, _2 x7 U0 V  e, l9 pUDP　　yf001:1466　　　　　　*:*
3 K" e1 K2 V+ VUDP　　yf001:4000　　　　　　*:*
! C. p" f) L" W( vUDP　　yf001:4002　　　　　　*:*
; Y8 A' |6 D# p# GUDP　　yf001:6000　　　　　　*:*
7 K# ?& Z% F3 x7 Q3 {4 nUDP　　yf001:6001　　　　　　*:*
' a4 I: i( \" q7 rUDP　　yf001:6002　　　　　　*:*
UDP　　yf001:6003　　　　　　*:*
UDP　　yf001:6004　　　　　　*:*
# Z" R. r8 u1 W& n' Q! v2 w4 cUDP　　yf001:6005　　　　　　*:*
UDP　　yf001:6006　　　　　　*:*
UDP　　yf001:6007　　　　　　*:*
UDP　　yf001:1030　　　　　　*:*
UDP　　yf001:1048　　　　　　*:*
3 e, |! I5 z( V4 yUDP　　yf001:1144　　　　　　*:*
+ q2 k% z. k+ o: |$ ~UDP　　yf001:1226　　　　　　*:*
' Z7 R3 P( L" s6 P5 K. d8 aUDP　　yf001:1390　　　　　　*:*
UDP　　yf001:netbios-ns　　 *:*
/ C- i* i( b8 X! U6 `UDP　　yf001:netbios-dgm　　 *:*
UDP　　yf001:isakmp　　　　 *:*
* h, H3 J2 R( ^7 l: `4 Q
# K+ S  U2 d2 ]8 {4 e9 Q& S现在讲讲基于Windows的tcp/ip的过滤。

控制面板——网络和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!

然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。
2 X3 I8 F8 y$ v3 Q& \: |& i
19、胡言乱语

6 J/ D) C8 k7 G" B2 k( a, K(1)、TT浏览器

选择用另外一款浏览器浏览网站.我推荐用TT，使用TT是有道理的。

/ l5 P3 |) ^2 M0 b& g6 `  ~4 s, NTT可以识别网页中的脚本，JAVA程序，可以很好的抵御一些恶意的脚本等等，而且TT即使被感染，你删除掉又重新安装一个就是。

  E+ Z* }' V; J  q" Q  u! h# ]MYIE浏览器
! n3 n* j! V, `& a3 D) j
是一款非常出色的浏览器，篇幅有险，不做具体介绍了。（建议使用）

" c0 t' |" v; h(2)、移动“我的文档”
0 Y+ U+ `' a, G" H: c
. Z+ i9 l6 J; S$ ?进入资源管理器，右击“我的文档”，选择“属性”，在“目标文件夹”选项卡中点“移动”按钮，选择目标盘后按“确定”即可。在Windows 2003 中“我的文档”已难觅芳踪，桌面、开始等处都看不到了，建议经常使用的朋友做个快捷方式放到桌面上。

8 m6 R" c4 |, b" T" C(3)、移动IE临时文件
$ y; s5 ]' |3 M) y# l
. u9 {  c* B! b5 {进入“开始→控制面板→Internet 选项”，在“常规”选项“Internet 文件”栏中点“设置”按钮，在弹出窗体中点“移动文件夹”按钮，选择目标文件夹后，点“确定”，在弹出对话框中选择“是”，系统会自动重新登录。点本地连接>高级>安全日志，把日志的目录更改专门分配日志的目录，不建议是C:再重新分配日志存储值的大小，我是设置了10000KB。
/ g, _! N" o% y) Z9 G
20、避免被恶意代码 木马等病毒攻击

以上主要讲怎样防止黑客的恶意攻击，下面讲避免机器被恶意代码，木马之类的病毒攻击。

/ S+ b2 |1 e( j! S: {* d其实方法很简单，所以放在最后讲。
0 C5 _! e7 Z2 G! c; v
我们只需要在系统中安装杀毒软件 如 卡巴基斯，瑞星，金山独霸等。
- |+ B' Y) R. n  t, X3 s6 D1 P* w
还有防止木马的木马克星和金山的反木马软件（可选）。
5 M) j% w/ V; p( K2 a
并且能够及时更新你的病毒定义库，定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行，这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。

还有就是一定要给自己的系统及时的打上补丁，安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布，而且如果你使用的是中文版的操作系统，那么至少要等一个月的时间才能下到补丁，也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。

本人强烈建议个人用户安装使用防火墙（目前最有效的方式）。

$ {. T1 M) }! _" H- `例如：天网个人防火墙、诺顿防火墙、瑞星防火墙等等。
* O. G! K* D; K* k: y, W
因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数网络攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最小。