防火墙的大门你到底为谁开?
作者:电脑文盲
文章来源:厦门电脑维护网 点击数: 更新时间:2006-4-28
防火墙就像电脑的一道安全门,决定其安全性能的有两个关键设置:一个是合理的IP规则配置,另外就是应用程序规则配置(也就是控制应用程序的网络访问)。对于IP规则来说,一套合理的配置方案可以让所有用户使用,而不必了解其原理。但IP规则对于主动连出的数据传输却难以控制,现在许多反弹端口型木马就是采用服务端主动请求连接客户端的方式进行控制的,使用IP规则就很难对其进行过滤。而通过应用程序规则配置就可以解决这些问题,它可以对应用程序的网络访问进行底层分析拦截。根据应用程序发送和接收的数据类型以及所打开的端口进行规则匹配,从而实现对特定应用程序的数据传输控制,特别是针对一些非法的木马后门程序特别有效。但当防火墙提示有应用程序要求访问网络时,是否允许它访问网络,就需要我们来自行判断,这个程序是正常程序还是非法程序,这对于大部分的菜鸟朋友来说,是一个很难选择的问题。下面笔者就以天网防火墙的程序规则为例,介绍如何对应用程序进行分析判断。
小提示
天网防火墙默认设置下,任何应用程序只要向网络发送或接收数据,都会被天网防火墙首先截获分析,并弹出提示窗口,询问是通过还是禁止该程序访问网络,如果你的天网防火墙从来没有出现过这种提示,可以在天网防火墙主界面中单击“系统设置”按钮,取消“允许所有的应用程序访问网络,并在规则中记录这些程序”选项前的选择标记。
根据程序运行特征判断
1.运行后有无反应
正常应用程序在运行后应该出现程序界面,或会在系统托盘增加图标,如果某个程序运行后没有任何反应,或运行后主程序也不见了,却见到防火墙弹出该程序要访问网络的提示,那这个程序多半有问题,有90%的可能就是木马后门类的非法程序,再结合后面的判断方法就一定可以确定它是不是正常程序。
2.程序的“尾巴”要注意
正常应用程序对于网络的访问,应该是我们可知的和可控的,比如说刚运行了QQ进行登录,防火墙出现了QQ程序要访问网络的提示,这是正常的程序请求。但如果同时还会弹出另外的提示窗口说某某程序要访问网络,或者我们一直没有运行任何程序,却突然弹出提示说有程序要访问网络,那就要格外注意了,很可能是你使用的QQ程序被捆绑了其他的后门程序,或你的系统已经被植入了后门程序,并且可能正被别人控制。
[1]
返回列表