巧用防火墻，讓本本安全上網(wǎng)

阿多

對于本本用戶來說，使用本本可以隨時(shí)上網(wǎng)沖浪。但是，如何保證本本上網(wǎng)安全，避免遭遇不必要的風(fēng)險(xiǎn)，是其不得不考慮的問題。除了使用各種安全工具保護(hù)本本安全外，其實(shí)還使用系統(tǒng)內(nèi)置的防火墻，無須進(jìn)行復(fù)雜的配置，就可以讓本本安全地連接外部網(wǎng)絡(luò)。這里就使用具體的實(shí)例，來說明實(shí)現(xiàn)的方法。

將惡意網(wǎng)站拒之門外

在上網(wǎng)瀏覽時(shí)，經(jīng)常有一些惡意或者自己不喜歡的頁面不請自來。為了避免騷擾，可以利用防火墻規(guī)則將其拒之門外。例如，不管是電信寬帶，還是聯(lián)通寬帶，運(yùn)行商都會自作聰明地配置錯(cuò)誤網(wǎng)頁提示功能。當(dāng)您訪問并不存在網(wǎng)址時(shí)，會自動被定向到ISP默認(rèn)的錯(cuò)誤頁面中。例如對于某型寬帶來說，當(dāng)訪問錯(cuò)誤網(wǎng)址時(shí)，會進(jìn)入某個(gè)特定錯(cuò)誤處理網(wǎng)頁，其中還會夾雜著廣告，讓人不勝其煩。

在CMD窗口中利用Ping命令對“xxxxxxxxxxx.xx.com.cn”網(wǎng)址進(jìn)行探測（X代表具體網(wǎng)址），得到其真實(shí)的IP地址，例如“218.xx.xxx.xx”。在Windows防火墻管理窗口左側(cè)點(diǎn)擊“高級設(shè)置”項(xiàng)，在高級安全Windows防火墻窗口左側(cè)點(diǎn)擊“入站規(guī)則”項(xiàng)，在窗口右側(cè)的“操作”欄中點(diǎn)擊“新建規(guī)則”項(xiàng)，在規(guī)則創(chuàng)建向?qū)Ы缑嬷羞x擇“自定義”項(xiàng)，在下一步窗口左側(cè)點(diǎn)擊“作用域”項(xiàng)，在窗口右側(cè)的“此規(guī)則應(yīng)用于哪些本地IP地址”欄中選擇“任何IP地址”項(xiàng)。在“此規(guī)則應(yīng)用于哪些遠(yuǎn)程IP地址”欄中選擇“下列IP地址”項(xiàng)，點(diǎn)擊“添加”按鈕，在彈出窗口（圖1）中選擇“此IP地址或子網(wǎng)”項(xiàng)，輸入上述IP地址。在下一步窗口中選擇“阻止連接”項(xiàng)，點(diǎn)擊左側(cè)的“配置文件”項(xiàng)，在右側(cè)選擇所有項(xiàng)目，包括域、專用、公用等。在下一步窗口中為本規(guī)則設(shè)置名稱，輸入描述信息。點(diǎn)擊“完成”按鈕，完成本規(guī)則創(chuàng)建操作。這樣，當(dāng)系統(tǒng)試圖訪問禁用的IP后，就會遭到防火墻的攔截，進(jìn)而避開錯(cuò)誤網(wǎng)頁的騷擾。當(dāng)然，按照這種方法，可以限制針對任何IP或者IP地址群的訪問，靈活的避開各種惡意網(wǎng)頁的侵襲。

攔截非法網(wǎng)絡(luò)連接

Windows防火墻不僅可以攔截對特定網(wǎng)站的訪問，還可以封鎖任意程序的上網(wǎng)通道，讓其無法連接外部網(wǎng)絡(luò)。例如當(dāng)您發(fā)現(xiàn)木馬潛入本機(jī)，而殺毒軟件并沒有對其清除，那么該木馬程序很可能經(jīng)過了免殺處理。為了防止其非法連接外部主機(jī)，泄露本機(jī)數(shù)據(jù)，最直接的方法就是切斷其連接的網(wǎng)絡(luò)通道。比如您發(fā)現(xiàn)名稱為“xxx.exe”的程序藏身到系統(tǒng)目錄中，非法打開了后門，試圖和遠(yuǎn)方的黑客建立聯(lián)系，就可以按照上述方法，建立一條安全規(guī)則。

注意應(yīng)該選擇“出站規(guī)則”項(xiàng)。在規(guī)則創(chuàng)建窗口中選擇“自定義”項(xiàng)，在窗口左側(cè)選擇“程序”項(xiàng)，在右側(cè)窗口中選擇“此程序路徑”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，選擇該木馬程序，例如“c：＼windows＼system32＼xxx.exe”。在下一步窗口左側(cè)點(diǎn)擊“操作”項(xiàng)，在右側(cè)窗口選擇“阻止連接”項(xiàng)。按照上述方法，選擇所有作用域?qū)ο?。接著輸入該?guī)則名稱和描述信息，完成該規(guī)則的創(chuàng)建操作。這樣，該木馬程序就無法連接外部網(wǎng)絡(luò)了。當(dāng)然，您可以靈活地使用上述方法，對任何程序進(jìn)行限制，防止其和外界建立網(wǎng)絡(luò)通道。

完全掌控本本聯(lián)網(wǎng)權(quán)限

在高級安全Windows防火墻窗口右側(cè)打開“本地計(jì)算機(jī)上的高級安全Windows防火墻”項(xiàng)，在其下點(diǎn)擊“屬性”項(xiàng)，在彈出窗口（圖2）中的“域配置文件”面板中的“防火墻狀態(tài)”列表中選擇“啟用（推薦）”項(xiàng)，在“入站連接”列表中選擇“阻止所有連接”項(xiàng)，在“出站連接”列表中選擇“阻止”項(xiàng)，之后點(diǎn)擊確定按鈕，就可以切斷進(jìn)出本機(jī)的所有連接，將本機(jī)徹底和外界隔離開來。順帶說一句，在這種情況下，即使病毒或者木馬潛入系統(tǒng)，也無法和Internet建立任何連接，接下來您就可以使用安全工具圍捕病毒了。當(dāng)然，為了僅僅讓指定的程序連接網(wǎng)絡(luò)，我們必須在此基礎(chǔ)上對System和DNS兩大系統(tǒng)對象開放網(wǎng)絡(luò)連接才行。

按照上述方法，在“出站規(guī)則”模塊中新建一個(gè)新規(guī)則，在規(guī)則創(chuàng)建向?qū)Т翱谥羞x擇“程序”項(xiàng)，在下一步窗口中選擇“此程序路徑”項(xiàng)，在其下直接輸入“System”，在下一步窗口中選擇“允許連接”項(xiàng)，之后輸入該規(guī)則名稱和描述信息，完成規(guī)則創(chuàng)建操作。

提起DNS，大家都不會陌生，利用DNS域名解析功能，可以輕松完成域名和IP的轉(zhuǎn)換，加快網(wǎng)絡(luò)訪問速度。因?yàn)镈NS是網(wǎng)絡(luò)訪問的基石，所以應(yīng)該放行DNS服務(wù)?？梢园凑丈鲜龇椒?，在“出站規(guī)則”模塊中新建一個(gè)新規(guī)則，在規(guī)則創(chuàng)建向?qū)Т翱谥羞x擇“自定義”項(xiàng)，在下一步窗口中選擇“此程序路徑”項(xiàng)，在其下點(diǎn)擊“瀏覽”按鈕，選擇“C：＼Windows＼System32＼Svchost.exe”程序。在下一步窗口中的“協(xié)議類型”列表中選擇“UDP”項(xiàng)，在“本地端口”列表中選擇“特定端口”項(xiàng)，在其下輸入“1024～65536”。表示允許其使用本地端口的范圍為1024～65536。在“遠(yuǎn)程端口”列表中選擇“特定端口”項(xiàng)，在其下輸入端口號53。依次點(diǎn)擊下一步按鈕，配置均采用默認(rèn)設(shè)置。注意，在“配置文件”窗口中可以根據(jù)實(shí)際需要，選擇公用或者專用類型。輸入規(guī)則名稱和描述信息，來創(chuàng)建該規(guī)則。

完成以上操作后，本本就不再處于網(wǎng)絡(luò)孤島狀態(tài)，具有了最基本的網(wǎng)絡(luò)連接能力。接下來就可以為特定的程序開放網(wǎng)絡(luò)連接特權(quán)了。這里以開放IE瀏覽器網(wǎng)絡(luò)訪問特權(quán)為例，介紹具體的實(shí)現(xiàn)方法。按照上述方法，在“出站規(guī)則”模塊中創(chuàng)建一條新規(guī)則，在向?qū)Ы缑嬷羞x擇“自定義”項(xiàng)，在下一步窗口（圖3）中選擇“此路徑程序”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，選擇IE主程序路徑，例如“C：＼Program？Files＼InternetExplorer＼iexplorer.exe”。

在下一步窗口中的“協(xié)議類型”列表中選擇“TCP”項(xiàng)，在“本地端口”列表中選擇“特定端口”項(xiàng)，在其下輸入“1024～65536”。在“遠(yuǎn)程端口”列表中選擇“特定端口”項(xiàng)，在其下輸入端口號53。這表示允許IE使用本機(jī)的TCP端口（范圍為1024～65536）訪問任意目標(biāo)主機(jī)的80端口，實(shí)現(xiàn)正常的網(wǎng)頁瀏覽操作。依次點(diǎn)擊“下一步”按鈕，使用默認(rèn)的配置參數(shù)即可。在“配置文件”窗口中可以根據(jù)實(shí)際需要，選擇公用或者專用類型，之后輸入本規(guī)則的名稱和描述信息，完成規(guī)則創(chuàng)建操作。使用了該規(guī)則后，IE就可以自動訪問網(wǎng)絡(luò)了。當(dāng)然，您可以根據(jù)實(shí)際需要，有選擇地開放所需程序的網(wǎng)絡(luò)訪問權(quán)限，創(chuàng)建相應(yīng)規(guī)則的方法與上述完全相同。