國家開放大學電大專科《網絡系統管理與維護》形考任務2答案

形考任務2

理解計算機病毒防范的常用方法，掌握安裝和配置防病毒軟件

【實訓目標】

理解計算機病毒防范的常用方法，掌握安裝和配置防病毒軟件。

【實訓環境】

1臺服務器、1臺工作站計算機。

【實訓內容】

假設您是一家公司的網絡系統管理員，負責公司的網絡安全管理工作。為此，請您完成以下工作：

1.部署網絡版殺毒軟件的控制中心。

2.設置控制中心，每天11點在線同步病毒庫。

3.安裝網絡版殺毒軟件的客戶端程序。

4.設置控制中心，每天19點掃描客戶端計算機。

（可以參考教材“3.2.6

防病毒軟件配置”章節部分，完成以上四步操作）

5.使用服務器上的高級安全Windows防火墻功能，阻止對其53、80和443端口的訪問。（可以參考教材“3.3.3

Windows防火墻的基本配置”章節部分，完成操作）

6.使用ccProxy代理軟件，配置8080端口來代理企業內網用戶訪問Web服務。（可以參考教材“3.6

代理服務”章節部分，完成操作）

實習步驟：

由于天網防火墻有正式版（收費的版本，服務好，功能強）和試用版（免費，用的人很多，高級功能受一些限制）之分，本人支持正版軟件，所以這里就以正式版為例給大家介紹，試用版的界面和操作基本都一樣，使用試用版的可以參考類似的操作。

安裝完后要重起，重起后打開天網防火墻就能起到作用了。默認情況下，它的作用就很強大了。但有時它苛刻的IP規則也帶來了很多不便，后面再說。所以，如果沒什么特殊要求的，就設置為默認就OK了，安全級別為中就好。

一、普通應用（默認情況）略

二、防火墻開放端口應用

如果想開放端口就得新建新的IP規則，所以在說開放端口前，我們來說說怎么新建一個新的IP規則，如下圖1，在自定義IP規則里雙擊進行新規則設置。此主題相關圖1如下：

圖1

IP規則

點擊增加規則后就會出現以下圖所示界面，我們把它分成四部分。

此主題相關圖片如下圖2：

圖2

IP規則修改

1）圖六1是新建IP規則的說明部分，你可以取有代表性的名字，如“打開BT6881-6889端口”，說明詳細點也可以。還有數據包方向的選擇，分為接收，發送，接收和發送三種，可以根據具體情況決定。

2）就是對方IP地址，分為任何地址，局域網內地址，指定地址，指定網絡地址四種。

3）IP規則使用的各種協議，有IP，TCP，UDP，ICMP，IGMP五種協議，可以根據具體情況選用并設置，如開放IP地址的是IP協議，QQ使用的是UDP協議等。

4）比較關鍵，就是決定你設置上面規則是允許還是拒絕，在滿足條件時是通行還是攔截還是繼續下一規則，要不要記錄，就看你自己想怎么樣了，具體看后面的實例。如果設置好了IP規則就單擊確定后保存并把規則上移到該協議組的置頂，這就完成了新的IP規則的建立，并立即發揮作用。

三、打開端口實例

在介紹完新IP規則是怎么建立后，我們就開始舉例說明，畢竟例子是最好的說明。大家也許都知道BT使用的端口為6881－6889端口這九個端口，而防火墻的默認設置是不允許訪問這些端口的，它只允許BT軟件訪問網絡，所以有時在一定程度上影響了BT下載速度。當然你關了防火墻就沒什么影響了，但機器是不是就不安全了？所以下面以打開6881－6889端口舉個實例。

1）在圖1雙擊后建立一個新的IP規則后在出現的下圖3里設置，由于BT使用的是TCP協議，所以就按下圖3設置就OK了，點擊確定完成新規則的建立，我命名為BT。

此主題相關如下圖3：

圖3

BT的IP規劃設置

設置新規則后，把規則上移到該協議組的置頂，并保存。然后可以進行在線端口測試是否BT的連接端口已經開放的。

此主題相關如下圖4：

圖4

保存設置規則

四、應用自定義規則防止常見病毒

上面介紹的是開放端口的應用，大體上都能類推，如其他程序要用到某些端口，而防火墻沒有開放這些端口時，就可以自己設置，相信大家能搞定。下面來介紹一些實例的應用，就是封端口，讓某些病毒無法入侵。

1、防范沖擊波

沖擊波，這病毒大家熟悉吧？它是利用WINDOWS系統的RPC服務漏洞以及開放的69、135、139、445、4444端口入侵。

如何防范，就是封主以上端口，首先在圖八里見到的“禁止互聯網上的機器使用我的共享資源”這項的起用（就是打勾）就已經禁止了135和139兩個端口。

下邊是禁止4444端口的圖九

此主題相關如下圖5：

圖5

禁止TCP4444端口

下面是禁止69和445端口的圖，圖6為69，圖7為445

此主題相關圖片如下：

圖6

禁止TCP69端口

圖7

禁止TCP445端口

建立完后就保存，記得保存，很多人就是不記得保存。保存完后就可以防范沖擊波了，補丁都不用打，爽吧？

2、防范冰河木馬

冰河，熟悉了吧？也是比較狠的病毒哦，它使用的是UDP協議，默認端口為7626，只要在防火墻里把它給封了，看它還能怎么樣？具體見下圖8。

此主題相關圖片如下：

圖8

禁止UDP端口7626

如你掌握一些病毒的攻擊特性及其使用的端口就可以參照上面的方法設置，其實設置都差不多，大家可以參照，可以大大防范病毒和木馬的攻擊！

五、下面介紹怎么打開WEB和FTP服務

相信不少朋友都使用了FTP服務器軟件和WEB服務器，放火墻不僅限制本機訪問外部的服務器，也限制外部計算機訪問本機。

所以我們為了WEB和FTP服務器能正常使用就得設置防火墻，首先在圖八把“禁止所有人連接”前的勾去掉。

以下是WEB和FTP的IP規則供大家參考上圖9為WEB，下圖10為FTP。此主題相關圖片如下：

圖9

開放WEB服務

圖10

開放FTP服務

六、常見日志的分析（僅供參考）

使用防火墻關鍵是會看日志，看懂日志對分析問題是非常關鍵的，大家看下圖，就是日志記錄，上面記錄了不符合規則的數據包被攔截的情況，通過分析日志就能知道自己受到什么攻擊。下面我們就來說說日志代表的意思。此主題相關圖片如下：

圖11

日志記錄

看上圖，一般日志分為三行，第一行反映了數據包的發送、接受時間、發送者IP地址、對方通訊端口、數據包類型、本機通訊端口等等情況；第二行為TCP數據包的標志位，共有六位標志位，分別是：URG、ACK、PSH、RST、SYN、FIN，在日志上顯示時只標出第一個字母，他們的簡單含義如下：

ACK：確認標志

提示遠端系統已經成功接收所有數據

SYN：同步標志

該標志僅在建立TCP連接時有效，它提示TCP連接的服務端檢查序列編號FIN：結束標志

帶有該標志位的數據包用來結束一個TCP會話，但對應端口還處于開放狀態，準備接收后續數據。

RST：復位標志，具體作用未知

其他不知道了，呵呵

第三行是對數據包的處理方法，對于不符合規則的數據包會攔截或拒絕，對符合規則的但被設為監視的數據包會顯示為“繼續下一規則”。

下面舉些常見典型例子來講講：

記錄1：[22：30：56]202、121、0、112

嘗試用PING來探測本機

TCP標志：

S

該操作被拒絕

該記錄顯示了在22：30：56時，從IP地址202、121、0、112

向你的電腦發出PING命令來探測主機信息，但被拒絕了。

人們用PING命令來確定一個合法IP是否存在，當別人用PING命令來探測你的機器時，如果你的電腦安裝了TCP/IP協議，就回返回一個回音ICMP包，如果你在防火墻規則里設置了“防止別人用PING命令探測主機”如圖八里設置，你的電腦就不會返回給對方這種ICMP包，這樣別人就無法用PING命令探測你的電腦，也就以為沒你電腦的存在。如果偶爾一兩條就沒什么大驚小怪的，但如果在日志里顯示有N個來自同一IP地址的記錄，那就有鬼了，很有可能是別人用黑客工具探測你主機信息，他想干什么？誰知道？肯定是不懷好意的。

記錄2：[5：29：11]61、114、155、11試圖連接本機的http[80]端口

TCP標志：S

該操作被拒絕

本機的http[80]端口是HTTP協議的端口，主要用來進行HTTP協議數據交換，比如網頁瀏覽，提供WEB服務。對于服務器，該記錄表示有人通過此端口訪問服務器的網頁，而對于個人用戶一般沒這項服務，如果個人用戶在日志里見到大量來自不同IP和端口號的此類記錄，而TCP標志都為S（即連接請求）的話，完了，你可能是受到SYN洪水攻擊了。還有就是如“紅色代碼”類的病毒，主要是攻擊服務器，也會出現上面的情況。

記錄3：[5：49：55]31、14、78、110

試圖連接本機的木馬冰河[7626]端口

TCP標志：S

該操作被拒絕

這就是個害怕的記錄啦，假如你沒有中木馬，也就沒有打開7626端口，當然沒什么事。而木馬如果已植入你的機子，你已中了冰河，木馬程序自動打開7626端口，迎接遠方黑客的到來并控制你的機子，這時你就完了，但你裝了防火墻以后，即使你中了木馬，該操作也被禁止，黑客拿你也沒辦法。但這是常見的木馬，防火墻會給出相應的木馬名稱，而對于不常見的木馬，天網只會給出連接端口號，這時就得*你的經驗和資料來分析該端口的是和哪種木馬程序相關聯，從而判斷對方的企圖，并采取相應措施，封了那個端口。

記錄4：[6：12：33]

接收到228、121、22、55的IGMP數據包

該包被攔截

這是日志中最常見的，也是最普遍的攻擊形式。IGMP（Internet

Group

Management

Protocol）是用于組播的一種協議，實際上是對Windows的用戶是沒什么用途的，但由于Windows中存在IGMP漏洞，當向安裝有Windows

9X操作系統的機子發送長度和數量較大的IGMP數據包時，會導致系統TCP/IP棧崩潰，系統直接藍屏或死機，這就是所謂的IGMP攻擊。在標志中表現為大量來自同一IP的IGMP數據包。一般在自定義IP規則里已經設定了該規則，只要選中就可以了。

記錄5：[6：14：20]192、168、0、110的1294端口停止對本機發送數據包

TCP標志：F

A

繼續下一規則

[6：14：20]

本機應答192、168、0、110的1294端口

TCP標志：A

繼續下一規則從上面兩條規則看就知道發送數據包的機子是局域網里的機子，而且本機也做出了應答，因此說明此條數據的傳輸是符合規則的。為何有此記錄，那是你在圖八里防火墻規則中選了“TCP數據包監視”，這樣通過TCP傳輸的數據包都會被記錄下來，所以大家沒要以為有新的記錄就是人家在攻擊你，上面的日志是正常的，別怕！呵呵！

防火墻的日志內容遠不只上面幾種，如果你碰到一些不正常的連接，自己手頭資料和網上資料就是你尋找問題的法寶，或上防火墻主頁上看看，這有助于你改進防火墻規則的設置，使你上網更安全。

七、在線升級功能

現在天網不斷推出新的規則庫，作為正式版用戶當然可以享受這免費升級的待遇，只要在天網界面點擊一下在線升級，不到2分鐘就可以完成整個升級過程，即快捷又方便。此主題相關如圖12：

圖12

在線升級

點擊后出現一個在線升級網絡設置的提示框，如果你沒有使用代理上網的就不用設置，直接下一步安裝規則包，這樣就完成升級了。此主題相關如圖13：

圖13

在線升級設置1

圖13

在線升級設置2

圖13

在線升級設置3

升級后防火墻的自定義規則就會多了很多條防御木馬的規則，這下可好了不用自己亂設置，只要使用自定義級別就可以了。不過選用自定義后，記得要把自定義里的IP規則選勾保存規則，這樣日志才會有記錄的。

八、總結

給大家說了也不知道大家能不能看懂，其實防火墻的作用就是隱藏自己真實IP的同時，監控各個端口，并給出日志，讓大家分析并找出相應的對策，靈活應用防火墻能給自己機子帶來比較高的安全性。當然有些病毒木馬是誘導用戶主動訪問而感染的，就要靠自己提高安全意識來防范了。總之，互聯網大了，用的人多了，什么樣的人都有，所以給自己機子上裝個防火墻是必不可少的基本防御！

五、實訓思考題：

1、什么是防火墻？其有什么作用？

2、防火墻有哪些類型？

3、學習設置其它軟件防火墻的設置（如瑞星防火墻）。