WinXP SP2防火墙大揭秘.docx

1、WinXP SP2防火墙大揭秘WinXP SP2防火墙大揭秘Windows 防火墙是在 Windows XP Service Pack 2 中取代原来的 Internet Connection Firewall 的更新版本. 默认状态下防火墙在所有的网卡界面均为开启状态. 无论是windows xp全新安装还是升级安装，这个选项都可以在默认的情况下给网络连接提供更多的保护。但是，如果某些应用程序不能在这个防火墙过滤状态下工作的话，他们将无法兼容于这个新的操作系统。 更新用户界面和新特性 要配置 Windows 防火墙, 可以从安全中心中打开，安全中心位于控制面板，当然也可以直接从控制面板中打开

2、Windows 防火墙控制台，还有第3个选择，可以从网络连接的高级选项卡中进入防火墙控制台。在主选项卡中有3个选项： 启用 (推荐) 不允许例外 关闭 (不推荐)当你选择了不允许例外，Windows 防火墙将拦截所有的连接你的计算机的网络请求, 包括在例外选项卡中列表的应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，还有网络设备的侦测。使用不允许例外选项的windows 防火墙比较适用于连接在公共网络上个人计算机，比如在宾馆和机场公共使用的计算机。即使你使用了不允许例外选项的windows 防火墙，你仍然可以浏览网页，发送接受电子邮件，或者使用即使通讯软件。 例外选项卡中允许添加阻止

3、规则例外的程序和端口来允许特定的进站通讯。对于每一个例外项，你都可以相应的设置一个作用域。对于家用和小型办公室应用网络，推荐设置作用域为可能的本地网络。当然，你也可以手工设置作用域中IP的范围。这样，只有来自特定的IP地址范围的网络请求才能被接受。 在例外选项卡中还有一个添加程序的按钮。如果你希望网络中（防火墙外）的其他客户端能够访问你本地的某个特定的程序或服务，而你又不知道这个程序或服务将使用哪一个端口和哪一类型端口，这种情况下你可以将这个程序或者服务添加到Windows 防火墙的例外项中以保证它能被外部访问。 在高级选项卡中可以配置以下设定： 应用在每个网络界面上的连接特定规则 安全纪录配

4、置 全局ICMP规则，通过Internet控制消息协议(ICMP)允许网络上的计算机共享和传递错误和状态信息。 默认设置，可以将所有Windows防火墙设置还原为默认状态 我们可以针对不同的网络连接配置不同的规则。将例外选项中的设定与高级选项中网络连接的附加设定组合后称之为Windows防火墙合成设置(resultant set)。 组策略配置 通过使用Windows防火墙，管理员可以使其对小型网络的公共连接或连接在internet上的单独计算机进行必要的保护。他们通过在网络中部署Windows防火墙的适当的配置设定，并启动它来对网络提供安全保护。Windows防火墙组策略配置可以通过组策略控

5、制台的以下位置找到: Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/Domain Profile Computer Configuration/Administrative Templates/Network/Network Connections/Windows Fire

6、wall/Standard profile 在Windows XP SP2中，Windows防火墙默认设定为阻止所有端口，这也意味着服务器到客户机的应用将无法到达客户端。这种情况下可以通过在组策略中设定IPSEC来验证并信任服务器端应用发送到客户端的请求。Windows 防火墙: 允许通过验证的IPSEC旁路的组策略设定允许你指定是否启用Windows防火墙的IPSEC验证来允许来自指定系统的主动传入消息。 命令行工具 Windows防火墙的配置和状态信息可以通过命令行 Netsh.exe 获得。我们可以使用 netsh firewall 命令来获取防火墙信息和修改防火墙设定。 Command

7、s in this context: - ? - Displays a list of commands. add - Adds firewall configuration. delete - Deletes firewall configuration. dump - Displays a configuration script. help - Displays a list of commands. reset - Resets firewall configuration to default. set - Sets firewall configuration. show - Sh

8、ows firewall configuration. 在Windows XP SP2中，当用户在本地运行一个应用程序并将作为Internet服务器提供服务时，Windows防火墙将弹出一个新的安全警告对话框（如上图）。你可以使用对话框中的选项将此应用程序或服务添加到Windows防火墙的例外项中。Windows防火墙的例外项配置可以允许特定的进站连接。如果使用这种方法后程序无法正常运行，你可以通过下列分析步骤将问题隔离出来: 添加程序到例外项中; 添加端口到例外项中; 使用防火墙安全纪录; 禁止防火墙(不推荐).关闭Windows XP 相关端口保安全Windows XP作为一个被广泛使用的

9、系统，现在已经受到了越来越多攻击者的“青睐”。当然最简单的防范方法是装个网络防火墙，不过在没有防火墙时，我们有什么办法呢？关闭Windows XP中的无用端口可以让系统安全很多。 一、找出自身开放的端口扫描端口，然后找漏洞是攻击者入侵的基本思路。可以说，机器上开放的端口越多，攻击者入侵的机会就越大，因此我们可以通过关闭一些我们不用的端口来提高电脑的安全性。那如何知道我们的Windows XP开放了哪些端口呢？我们可以用命令“Netstat”来查看系统中开放的端口。我们需要用到这个命令的两个参数：-a、-n。参数-a显示当前所有连接和侦听端口，而参数-n以数字格式显示地址和端口号（而不是尝试查找

10、名称），两者可以结合起来使用：Netstatan（如图1），就能查看当前端口的开放情况。图1通过这个命令，如果我们发现一个异常的端口号在监听，可以先去网上查找常见木马的端口号对照一下，如果发现有木马使用的端口，就应该用杀除木马的软件检查系统了。二、关闭无用端口知道怎么查看机器的端口情况之后，接下来一个问题是，哪些端口是必需的，哪些端口是可以关闭的？这个问题稍微复杂一点，因为除了Windows XP默认开放的135、137、138、139和445，有些跟网络有关的软件需要使用到一些端口，最常用的比如QQ使用4000端口。这里笔者把情况想像成最简单：一台只需要浏览网页的电脑。那么针对这个系统，我们

11、自己来配置一下以提高安全性。1、关闭软件开启的端口。可以打开本地连接的“属性Internet协议（TCP/IP）属性高级选项TCP/IP筛选属性”，然后都选上“只允许”（如图2）。请注意，如果发现某个常用的网络工具不能起作用的时候，请搞清它在你主机所开的端口，然后在“TCP/IP筛选”中添加相应的端口。图22、禁用NetBIOS。打开本地连接的“属性Internet协议（TCP/IP）属性高级WINS禁用TCP/IP上的NetBIOS”（如图3）。这样一来就关闭了137、138以及139端口，从而预防IPC$入侵。图33、开启Windows XP自带的网络防火墙。打开本地连接的“属性高级”，启

12、用防火墙之后，单击设置可以设置系统开放关闭哪些服务。一般来说，这些服务都可以不要，关闭这些服务后，这些服务涉及的端口就不会被轻易打开了。4、禁用445端口。向注册表“HKEY_LO-CAL_MACHINESYSTEMCurrentControlSetServi cesNetBTParameters”中追加名为“SMBDeviceEnabled”的DWORD值，并将其设置为0，就好了。通过以上设置，你的Windows XP系统的安全性将大大提高。要补充的是，文章是针对那些直接拨号上网的机器，而不包括通过网关代理上网的机器。操作系统安全防范简述:Win XP篇Windows XP以其稳定性、强大的

13、个人和网络功能为大家所推崇，而它的“NT内核”，让我们不得不加强安全防护。1 常规的安全防护所谓“常规的安全防护”即施行同Windows 98一样的安装防病毒软件、升级系统、禁止Ping三种安全方式。要强调的是Windows XP和它的前辈Windows 2000一样，漏洞层出不穷，对于系统的升级不能像对Windows 98般马虎，除了要安装Microsoft针对“冲击波”的漏洞补丁外，建议将Windows XP升级为最新的Service Pack 1（升级后会提高资源占有，不过安全性、稳定性有所提高）。2 禁止远程协助，屏蔽闲置的端口在Windows XP上有一项名为“远程协助”的功能，它允

14、许用户在使用计算机发生困难时，向MSN上的好友发出远程协助邀请，来帮助自己解决问题。而这个“远程协助”功能正是“冲击波”病毒所要攻击的RPC（Remote Procedure Call）服务在Windows XP上的表现形式。建议用户不要使用该功能，使用前也应该安装Microsoft提供的RPC漏洞工具和“冲击波”免疫程序。禁止“远程协助”的方法是：打开系统属性对话框（右键“我的电脑”、“属性”），在“远程”项里去掉“允许从这台计算机发送远程协助邀请”前面的“”。使用系统自带的“TCP/IP筛选服务”就能够限制端口。方法如下：在“网络连接”上单击右键，选择“属性”，打开“网络连接属性”对话框，

15、在“常规”项里选中里面的“Internet协议（TCP/IP）”然后单击下面的属性按钮，在“Internet协议（TCP/IP）属性”窗口里，单击下面的高级按钮，在弹出的“高级TCP/IP设置”窗口里选择“选项”项，再单击下面的属性按钮，最后弹出“TCP/IP筛选”窗口，通过窗口里的“只允许”单选框，分别添加“TCP”、“UDP”、“IP”等网络协议允许的端口（如图3），未提供各种服务的情况，可以屏蔽掉所有的端口。这是最佳的安全防范形式。3 禁止终端服务远程控制“终端服务”是Windows XP在Windows 2000系统（Windows 2000利用此服务实现远程的服务器托管）上遗留下来的

16、一种服务形式。用户利用终端可以实现远程控制。“终端服务”和“远程协助”是有一定区别的，虽然都实现的是远程控制，终端服务更注重用户的登录管理权限，它的每次连接都需要当前系统的一个具体登录ID，且相互隔离，“终端服务”独立于当前计算机用户的邀请，可以独立、自由登录远程计算机。在Windows XP系统下，“终端服务”是被默认打开的，（Windows 2000系统需要安装相应的组件，才可以开启和使用终端服务）也就是说，如果有人知道你计算机上的一个用户登录ID，并且知道计算机的IP，它就可以完全控制你的计算机。在Windows XP系统里关闭“终端服务”的方法如下：右键选择“我的电脑”、“属性”，选择

17、“远程”项，去掉“允许用户远程连接到这台计算机”前面的“”即可。4关闭Messenger服务Messenger服务是Microsoft集成在Windows XP系统里的一个通讯组件，它默认情况下也是被打开的。利用它发送信息时，只要知道对方的IP，然后输入文字，对方的桌面上就会弹出相应的文字信息窗口，且在未关闭掉Messenger服务的情况下强行接受。很多用户不知道怎么关闭它，而饱受信息的骚扰。其实方法很简单，进入“控制面板”，选择“管理工具”，启动里面的“服务”项，然后在Messenger项上单击右键，选择“停止”即可（如图4）。5 防范IPC默认共享Windows XP在默认安装后允许任何用

18、户通过空用户连接（IPC）得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的IPC攻击。要防范IPC攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞：第一步：将HKEY_LOCAL _MACHINESYSTEMCurrentControlSetControlLSA的RestrictAnonymous 项设置为“1”，就能禁止空用户连接。第二步：打开注册表的HKEY_LOCAL_MACHINESYSTEMCurr

19、entControlSet Services LanmanServerParameters 项。对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。 对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。6 合理管理AdministratorWindows 2000/XP系统，系统安装后都会默认创建一个Administrator用户，它拥有计算机的最高管理权限。而有的用户在安装时，根本没有给Administrator用户设置密码。黑客就利用这一点，使用高级用户登录对方计算机。因此，个人用户应该妥善保管“Admi

20、nistrator”用户信息，Windows 2000登录时，要求输入Administrator用户的登录密码，而Windows XP在正常启动后，是看不到Administrator用户的，建议使用Windows XP的用户进入安全模式，再在“控制面板”的“用户账户”项里为Administrator用户添加密码，或者将其删除掉，以免留下隐患。针对个人操作系统的安全防护，笔者就介绍Windows 98与Windows XP两款，至于Windows 2000由于它有Professional和Server版本之分，两种版本的Windows 2000防护形式类似Windows XP与Windows 2

21、003，这里就不分开来具体介绍了，下面来说说针对服务器使用的Windows 2003和Linux系统。必备 Win XP系统安装经典技巧由于Windows XP 操作系统是NT内核的操作系统，它的安装和Windows 2000/NT4.0基本相同，和 Windows 9x系统的安装差别比较大，考虑到很多朋友对NT系统的安装不熟悉，所以我在这里特意写一下安装的步骤和及注意事项，供大家参考。 在Windows 下安装Windows XP 插入Windows XP光盘，就会自动运行，出现安装界面，点击安装。如果没有自动运行，请双击光盘根目录的setup.exe开始安装。在重新启动电脑前，安装过程中会

22、有几个选项，需要注意的是：如果你打算把Windows XP 安装到其它分区而不是C盘，你要注意点击高级选项，然后记得选择安装过程中选择分区一项，不然重新启动后的安装过程你将无法选择安装的分区。 在DOS下安装 这种情况可能是新买的电脑，或是Windows 系统无法进入。会选择在DOS下安装的。NT系统和9x系统不一样，它在DOS下的安装不像安装Windows 98一样，敲入setup.exe就可以了，而是先加载smartdrv.exe,然后运行/i386目录下的winnt.exe。 具体操作方法如下： 假设smartdrv.exe这个文件在A盘，光驱为G盘(注：这个文件在windows 9x的

23、光盘上有或是 windows 9x系统的windows 目录下有) a:smartdrv.exe a:g: g:cd i386 g:i386winnt.exe 这样就可以了，一定要记住加载smartdrv.exe不然，呵呵，你等上一个晚上也安装不完Windows XP.其它注意的问题-NTFS 关于NTFS的选择，如果你想安装多个操作系统，请记住不要把C盘转化为NTFS。具体如关于NTFS和FAT32在FAT文件系统方面的区别，请察看其他文档，这里就不细说了。 如果你不知道该不该把它转换为NTFS,一个简单的办法就是用FAT32,选择不转换。在你了解了NTFS后，在命令行模式下可用conver

24、t.exe这个可执行文件来随时转化的，如convert c: /fs:ntfs把c盘转化为NTFS。 NTFS对于大多数普通用户来说，它的优点在于支持文件加密。Windows XP像Windows 2000 一样，支持多用户使用，而且它支持在不注销当前用户的情况下，切换到另外一个用户，这就是所谓的快速切换用户。用NTFS文件系统时，不同的用户可以加密自己的文档，而其他用户是无法访问的。比如，当前是pccat帐户登陆的，我加密了a.txt,然后快速切换到whislter用户登陆，whistler用户点击a.txt时，系统会提示你没有访问这个文件的权利的。对普通用户来说，NTFS的另外一个的优点就

25、是它能够很好的支持大硬盘，且硬盘分配单元非常小，减少了磁盘碎片的产生。而且，大家熟悉的CIH病毒在NTFS文件系统下是没有办法传播的，使用NTFS的用户根本不需要理会CIH的，当然现在CIH早已失去了以前的威力，但是我想说的是NTFS文件系统比FAT32安全。 DOS和Windows 9x系统不能访问NTFS，这也算是NTFS的安全特色，但也是它的一个缺点。比如很多朋友喜欢用GHOST软件备份系统，GHOST的备份程序在XP/NT下是不能运行的，必须在DOS下运行，而且文件放到FAT32分区上的，另外为了在某些紧急状态下访问一些文件，需要留一个分区为FAT32。总的来说，NTFS文件系统是一种

26、不错的文件系统，推荐使用，至少你可以把你安装程序的分区转化为NTFS。当然，NTFS文件系统还有很多优点，如磁盘配额，磁盘压缩，有利于用户管理等等，不过我认为这些对于个人普通用户不是很重要的，那些主要是针对企业用户，域模式下的客户机和服务器的玩转Windows操作系统中的音量控制想必大家对Windows中的音量控制程序不会陌生吧！音量控制程序有两种模式：播放音量控制(Play Control)以及录音音量控制(Record Control)。但是您知道吗，就是这么一个小小的程序，细细研究下来，还有许多意想不到的用途呢，而且在使用时也会碰到一些问题，今天就让我们探个究竟！ 问：我在用电脑录制磁带

27、的音乐时候，音频线已经接好了，但是用系统的录音机点击 录音后，没有看见波形，不能录音。请问这是怎么一回事？答：显然您没有设置好录音的来源，首先检查确认音频线的一头是否插入磁带录音机的音量输出插口，另一头是否插入声卡的“LINE IN”口。然后打开音量控制程序，在录音控制中添加“线性”控制设备，并且选择线性录音。如果有些声卡没有“LINE IN”口，可以选用话筒的插口“PHONE”，同时录音来源应该选择“话筒”。问：我想使用自己的电脑实现卡拉OK的功能，也就是说人对着麦克风讲话时，音箱里面能够马上传出自己的声音，在音量控制程序里面好像找不到有关的设置，请问该如何正确设置？答：那是因为音量控制程序

28、在默认情况下没有显示话筒的音量控制。要实现这样的功能并不难，其步骤如下：双击系统托盘的小喇叭图标，打开音量控制程序，然后点击“选项属性”，在“播放”音量控制选项，选择“显示话筒”复选框，点击确定。这个时候就能在音量控制程序面板上看见“话筒”的音量控制，去除其下的“静音”复选勾，调节话筒合适的音量就可以了。问：我在用RealPlayer播放RM格式的电影，有普通话发音和粤语发音两种声音，但是RealPlayer没有左右声道的选择功能，有其他办法吗？图1双击声音图标打开音量控制答：办法当然有，双击音量控制图标，在“波形均衡”控制中(如图1)，用鼠标拉动控制条到左端或右端，就能进行声音的左右声道切换

29、了。问：一般情况下双击音量控制图标，默认打开的是音量控制，如果要切换到录音控制还要进行选择设置，请问有没有快速的办法打开录音控制呢？答：在Windows 98下打开音量控制的方法，其中有一个就是直接运行“Sndvol32.exe”。事实上它还有一个隐藏的参数“/r”，利用此参数可快速地打开录音控制面板，这样我们只要在桌面上建立一指向C:WindowsSndvol32.exe的快捷方式，令它的参数为/r(在目标中填入“C:WindowsSndvol32.exe /r”)，双击该快捷方式就可以快速打开录音控制面板，进而选择输入设备了。问：我想用Windows自带的录音机录制正在播放的网上音乐，能实

30、现吗？需要怎样设置呢？答：首先要实现这样的功能，您的声卡必须是全双工声卡，反之单工声卡就不能了(现在市场上买到的一般都是全双工声卡)。录制过程如下：1、打开音量控制程序，点击“选项属性”，选择“录音”音量控制，在“显示下列音量控制”下拉列表中选择“混合输出”复选框，点击确定。图2设置前不显示“混合输出”项2、切换到录音控制面板，录音来源应该选择“混合输出”(如图2)。3、运行录音机程序，点击录音按钮。这时就能把通过声卡发出的声音全都录制下来，流媒体音乐也不例外。问：我无意中发现任务栏中的音量控制没有了，在“控制面板”的“多媒体”中选“在任务栏中显示音量控制”时出现错误提示：由于没有安装音量控制程序，因此Windows无法在任务栏中显示音量控制请问如何恢复？答：很简单，开机后依次进入：“控制面板添加/删除程序Windows安装程序多媒体”，单击“详细资料”进入“多媒体”的组件窗口，选中“音量控制”确定后系统即会安装。在安装时要放入Windows的安装光盘。问：我在音量控制程序的设备中自己添加了一些设备后，面板上都快容纳不下了，请问在不删除设备的前提下有没有办法给它“瘦身”呢?答：有办法