透过现象看本质-----趋势防火墙使用联想篇

huai168an

此次使用趋势的防火墙来熟悉下趋势的整体功能作用。防火墙功能可以说智能，较为方便的使用，也有较好的防御能力。这次是的帖主要是让Fans熟悉下趋势防火墙的主要功能，还有一些对基本的概念简单说明，让对防火墙迷糊的Fans有个大体的了解，逐步的尝试自己去DIY防火墙设置，让防火墙发挥比原来更好的防范效果。

此贴目的：不要让智能影响了学习的热情，不要让默认遏制了成长的速度。

这次用的趋势版本是09 beta2版，虽然是E文，不过熟悉08中文版的Fans来说也不是什么问题（语言本就不是学习的障碍，呵呵）。

开始吧：
主界面


点击“setting”进入设置界面


首先就是防火墙的防范模式的设置。下面我给出的是对应08版的翻译说明（我比较懒，就不翻译了，呵呵）











这个四个基本不同的功能作用，趋势默认的是中级别，对于普通使用者来说已经是够用了。


下面点下右下角的“Advanced Setting”（高级设置）按钮

看到的是Network界面


这里补充下（针对局域网用户的补充）

什么是网关
　　网关不能完全归为一种网络硬件。用概括性的术语来讲，它们应该是能够连接不同网络的软件和硬件的结合产品。特别地，它们可以使用不同的格式、通信协议或结构连接起两个系统。网关实际上通过重新封装信息以使它们能被另一个系统读取。为了完成这项任务，网关必须能运行在O S I 模型的几个层上。网关必须同应用通信，建立和管理会话，传输已经编码的数据，并解析逻辑和物理地址数据。
什么是MAC地址
      MAC（Media Access Control, 介质访问控制）地址是识别LAN（局域网）节点的标识。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM（一种闪存芯片，通常可以通过程序擦写），它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。
也就是说，在网络底层的物理传输过程中，是通过物理地址来识别主机的，它一般也是全球唯一的。比如，著名的以太网卡，其物理地址是48bit（比特位）的整数，如：44-45-53-54-00-00,以机器可读的方式存入主机接口中。以太网地址管理机构（IEEE）将以太网地址，也就是48比特的不同组合，分为若干独立的连续地址组，生产以太网网卡的厂家就购买其中一组，具体生产时，逐个将唯一地址赋予以太网卡。
形象的说，MAC地址就如同我们身份证上的身份证号码，具有全球唯一性。
如何获取本机的网关IP、MAC等网络信息？
       在Windows 2000/XP中，依次单击“开始”→“运行”→输入“CMD”→回车→输入“ipconfig /all”→回车。即可看到MAC地址。

其实对于网关的定义有很多，fans可以自己去搜索内容，根据自己的形象理解网关的含义，有些东西了解下就OK了。


“program control”


上图列出了有网络连接行为的程序规则。有些是趋势自带的程序。

下面就举一个例子来看下规则的设置和其它功能



这个例子很简单，就是禁止IP：10.10.10.1通过TCP协议的80端口访问服务端：10.10.10.2的HFS程序内容。

当然还没完，继续看


都设置好了，确定 OK 后试试


此时会发现，我都设置了禁止，为什么还可以访问呢？
呵呵，看下图就会明白了

使用最右边的按钮将block规则放到最上面，再试试。。


成功阻止了访问。
看下日志情况


到这里就要注意了，绝大多数包过滤软件防火墙的规则都是有优先级的，规则的制定后要按照具体的优先级来执行，否则，就乱了。看下下面的图解


OK，优先级或者说防火墙运作的大体步骤知道了，我们还要看下在设置规则的“protocol”（协议）定义，看下说明

TCP（传输控制协议）和UDP（拥护数据报协议）是传输层的俩个传输协议，它们俩个的最大区别就是是否面向连接。
      TCP包括了面向连接和可靠数据传输服务，在客户端和服务器端进行通信前，要先交换传输层控制信息，为双方的通信做好准备。在这个握手阶段后，我们就可以认为在这俩个进程间存在一个TCP连接，且是一个全双工的连接，在消息发送完后,应用程序会告诉TCP拆除这个连接。可靠的传输服务为了保障彼此通信能无差错地顺序传递所有数据。如FTP telnet工具都是TCP协议的传输。

     UDP是一个非面向连接的轻量级传输协议，具有一个最简单的服务模型。UDP是无连接的，因此两个进程彼此通信之前没有握手过程。UDP提供不可靠的数据传输服务，也就是说当一个进程往自己套接字发送一个消息时，UDP不能保障这个消息回最终到达接受套接字。另外，就确实到达接收套节字的消息而言，他们的到达顺序也可能不是有序的。这个在即时通讯上用的很广，如QQ，网络电话

补充一个协议

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

附一张使用协议的应用


下面看下设置中“Types”（类型）
对应的翻译

这里可以看到有很多IPV4，前面我们也看到了IPV6。看下它们的说明吧

什么是IPv4?
目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议，是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4)，发展至今已经使用了30多年。
IPv4的地址位数为32位，也就是最多有2的32次方的电脑可以联到Internet上。
近十年来由于互联网的蓬勃发展，IP位址的需求量愈来愈大，使得IP位址的发放愈趋严格，各项资料显示全球IPv4位址可能在2005至2008年间全部发完。

什么是IPv6?
IPv6是下一版本的互联网协议，也可以说是下一代互联网的协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。IPv6采用128位地址长度，几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址，整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外，还考虑了在IPv4中解决不好的其它问题，主要有端到端IP连接、服务质量（QoS）、安全性、多播、移动性、即插即用等。

我们普通用户现在用的依然是IPV4，IPV6还没有被广泛的应用，不过离我们不远了。

熟悉下subnet mask（子网掩码）

子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。
子网掩码的设定必须遵循一定的规则。与IP地址相同，子网掩码的长度也是32位，左边是网络位，用二进制数字“1”表示；右边是主机位，用二进制数字“0”表示。只有通过子网掩码，才能表明一台主机所在的子网与其他子网的关系，使网络正常工作。
子网掩码的术语是扩展的网络前缀码不是一个地址，但是可以确定一个网络层地址哪一部分是网络号，哪一部分是主机号，1 的部分代表网络号，掩码为 0的部分代表主机号。子网掩码的作用就是获取主机 IP的网络地址信息，用于区别主机通信不同情况，由此选择不同路。其中 A类地址的默认子网掩码为 255.0.0.0；B类地址的默认子网掩码为 255.255.0.0；C类地址的默认子网掩码为：255.255.255.0。

多播的说明：

IP多播（也称多址广播或组播）技术，是一种允许一台或多台主机（多播源）发送单一数据包到多台主机（一次的，同时的）的TCP/IP网络技术。多播作为一点对多点的通信，是节省网络带宽的有效方法之一。在网络音频/视频广播的应用中，当需要将一个节点的信号传送到多个节点时，无论是采用重复点对点通信方式，还是采用广播方式，都会严重浪费网络带宽，只有多播才是最好的选择。多播能使一个或多个多播源只把数据包发送给特定的多播组，而只有加入该多播组的主机才能接收到数据包。目前，IP多播技术被广泛应用在网络音频/视频广播、AOD/VOD、网络视频会议、多媒体远程教育、“push”技术（如股票行情等）和虚拟现实游戏等方面。

下面的这张图趋势默认的不错，注意下面规则的outgoing 为block。


很多注入型木马病毒通过explorer来访问网络，传输有价值数据，explorer如果没有控制好的话，防火墙很可能就是摆设。


“network protocol control”



这里是全局规则的界面，不过我们会看到很多“类似”的规则，下图：

看到的都是NetBIOS，看看它到底是啥：

英文原义：NetBIOS Services Protocols

中文释义：（RFC-1001，1002）网络基本输入/输出系统协议

注解：该协议是由IBM公司开发，主要用于数十台计算机的小型局域网。NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口（API），为程序提供了请求低级服务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能，几乎所有的局域网都是在NetBIOS协议的基础上工作的。

通过使用Netbios的数据报或广播方式，在Netbios局域网上的pc机建立会话彼此联络。会话允许更多的信息被传送，探测错误，和纠正。通信是在一对一的基础上的。数据报或广播方式允许一台计算机和多台其他的计算机同时通信，但信息大小受限。使用数据报或广播方式没有探测错误和纠正。然而，数据报通信可以不必建立一个会话。

看看它所用的端口
netbios-ns 137/tcp NETBIOS Name Service
netbios-ns 137/udp NETBIOS Name Service
netbios-dgm 138/udp NETBIOS Datagram Service
netbios-ssn 139/tcp NETBIOS Session Service

此协议在陌生的局域网环境下还是禁止为好，否则局域网内部的有些忽视的攻击危害远远大于外部攻击（当然不单单是指Netbios协议的利用工具手段）。

方法一：



方法二：


在控制面板中的管理工具下有个服务，可以找到NETBIOS，然后右击禁用或手动，不影响机器的使用。

在此又联想到了其它的一些危险服务：



如果用户用不到这些功能都可以关闭，还可以节约系统资源，一举两得。



我们还会经常看到class A private  等，这又是什么？

在互联网中常用的IP地址类型只有A、B、C三类，但也不是所有的地址都能用于公网。有一种IP地址被称为私有地址，用在局域网中，用来识别局域网计算机，这类地址不能用在公共网络中。
    A类私有地址：10.0.0.0～10.255.255.255
    B类私有地址：172.16.0.0～172.31.255.255
    C类私有地址：192.168.0.0～192.168.255.255

对于一般的小型局域网，我想大家经常看到的IP类型有10.10.10.X  或192.168.1.X 等等



上图可以看到Broadcast（广播）类型

Broadcast Address(广播地址)
专门用于同时向网络中所有工作站进行发送的一个地址。在使用TCP/IP 协议的网络中，主机标识段hostid 为全1 的IP 地址为广播地址，广播的分组传送给hostid 段所涉及的所有计算机。例如，对于10.1.1.0 （255.255.255.0 ）网段，其广播地址为10.1.1.255 （255 即为2 进制的11111111 ），当发出一个目的地址为10.1.1.255 的分组（封包）时，它将被分发给该网段上的所有计算机。

简单的说就是发个信息给网络中的所有机器，一来影响他人，二来暴露自己。此处可以禁止。




在全局规则中的协议类型比程序规则的类型多了一个ICMP协议

ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

IPV6类型是无法设置的。





对于上图的两个规则，比较迷惑，估计是无用的规则。

善于把握“日志”功能


看一个例子：




这些是ICMP协议的相关内容


当程序或系统访问网络异常时，及时的查看日志，通过部分信息找出问题的源头。

全文就告一段落，很多东西就不说，也说不清，说不全。对于普通用户来说，防火墙的有些功能是多余的，fans可以根据自己的实际情况来调整。喜欢趋势防火墙但不是太了解防火墙的fans可以自己学习一些资料，设置一些程序的规则，如迅雷，网络电视等，防火墙是相通的，不要怕麻烦和困难，开始自己的防火墙DIY之旅，你就迈出了第一步了。

好了，防火墙就说到这里了。综观防火墙功能的自动规则可以看出，趋势确实是个大的安全厂商。它自带的规则可以用于普通用户，可以用于企业等；可以用IPV4，也可以用于未来趋势的IPV6等等。。。趋势考虑的全，很周到，在易用性的同时也尽量的把握好安全性。很难得的安全软件。


以上是鄙人的对趋势防火墙的一些理解和基本知识的总体归纳（有些来自网络和文献资料，版权归原作者所有），如果有错误之处，还请各位大大指出（鄙人也在学习防火墙知识），将及时修改，以免误导fans，谢谢。

[ 本帖最后由 huai168an 于 2008-8-27 11:47 编辑 ]

xuange

楼主啊楼主，你真是太强大了

arthur55470

太复杂了！先做个记号，等回头慢慢欣赏！

不过，用默认的设置就应该可以了吧？

西风萧雨

貌似趋势的墙也是智能的，毕竟是全球大厂的产品···

水木

LZ人才呀

燕踏飞泉

好强大的LZ！乃就是偶的偶像~~~

元谋人

lz高手啊，

lzlzh

太弓虽了！

嘁。不稀罕~

汗，这哪是解剖产品，简直是防火墙教学。。。真是无语。。。嘎嘎！又泼你冷水了，来咬我呀！嘿嘿。。。

huai168an

我习惯了，麻木了

so 。。。。。。。
[:27:]