國家開放大學電大?？啤毒W(wǎng)絡(luò)系統(tǒng)管理與維護》形考任務(wù)2答案

國家開放大學電大?？啤毒W(wǎng)絡(luò)系統(tǒng)管理與維護》形考任務(wù)2答案形考任務(wù)2一、普通應(yīng)用(默認情況)略自定義IP規(guī)則0O00O0R?防止別人用ping令探測(如里作打算加入IP規(guī)別(即只是以地址健備供規(guī)財。在介紹完新IP規(guī)則是怎么建立后，我們就開始舉例說明，畢竟例子是最好的說明。大家也許都知道BT使用的端口為6881-6889端口這九個端口，而防火墻的默認設(shè)置是不允許訪問這些端口的，它只允許BT軟件訪問網(wǎng)絡(luò)，所以有時在一定程度上影響了BT下載速度。當然你關(guān)了防火墻就沒什么影響了，但機器是不是就不安全了?所以下面以打開6881-6889端口舉個實例。1)在圖1雙擊后建立一個新的IP規(guī)則后在出現(xiàn)的下圖3里設(shè)置，由于BT使用的是TCP協(xié)議，所以就按下圖3設(shè)置就0K了，點擊確定完成新規(guī)則的建立，我命名為BT。此主題相關(guān)如下圖3:右行p此主題相關(guān)如下圖4:白任 允評局城同的機器使用我的共享情測ter隔填兩圖4保存設(shè)置規(guī)則就可以自己設(shè)置，相信大家能搞定。下面來介紹一些實例的應(yīng)用，沖擊波，這病毒大家熟悉吧?它是利用WINDOWS系統(tǒng)的RPC服務(wù)漏洞以及開放的69、135、139、445、4444端口入侵。如何防范，就是封主以上端口，首先在圖八里見到的“禁止互聯(lián)網(wǎng)上的機器使用我的共享資源”這項的起用(就是打勾)就已經(jīng)禁止了135和139兩個端口。下邊是禁止4444端口的圖九此主題相關(guān)如下圖5:明下面是禁止69和445端口的圖，圖6為69,圖7為445此主題相關(guān)圖片如下：名明過豐他端口p?45圖7禁止TCP445端口際河術(shù)巧Ir|Tcr己預權(quán)程序開的的畫摘收或發(fā)送0時還記圖8禁止UDP端口7626務(wù))并敢m端口四操收重深名稱說明再mp回通r六、常見日志的分析(僅供參考)使用防火墻關(guān)鍵是會看日志，看懂日志對分析問題是非常關(guān)鍵的，大家看下圖，就是日志記錄，上面記錄了不符合規(guī)則的數(shù)據(jù)包被攔截的情況，通過分析日志就能知道自己受到什么攻擊。下面我們就來說說日志代表的意思。此主題相關(guān)圖片如下：*機的1osoma看上圖，一般日志分為三行，第一行反映了數(shù)據(jù)包的發(fā)送、接受時間、發(fā)送者IP地址、對方通訊端口、數(shù)據(jù)包類FIN,在日志上顯示時只標出第一個字母，他們的簡單含義如下：SYN:同步標志該標志僅在建立TCP連接時有效，它提示TCP連接的服務(wù)端檢查序列編號FIN:結(jié)束標志帶有該標志位的數(shù)據(jù)包用來結(jié)束一個TCP會話，但對應(yīng)端口還處于開放狀態(tài)，準備接收后續(xù)數(shù)據(jù)。RST:復位標志，具體作用未知第三行是對數(shù)據(jù)包的處理方法，對于不符合規(guī)則的數(shù)據(jù)包會攔截或拒絕，對符合規(guī)則的但記錄1:[22:30:56]202、121、0、112嘗試用PING來探測本機該記錄顯示了在22:30:56時，從IP地址202、121、0、112向你的電腦發(fā)出PING命令來探測主機信息，但被協(xié)議，就回返回一個回音ICMP包，如果你在防火墻規(guī)則里設(shè)置了“防止別人用PING命令探測主機”如圖八里設(shè)置，你的電腦就不會返回給對方這種ICMP包，這樣別人就無法用PING命令探測你的電腦，也就以為沒你電腦的存在。如果偶爾一兩條就沒什么大驚小怪的，,但如果在日志里顯示有N個來自同一IP地址的記錄，那就有鬼了，很有可能是別人用黑客工具探測你主機信息，他想干什么?誰知道?肯定是不懷好意的。記錄2:[5:29:11]61、114、155、11試圖連接本機的http[80]端口本機的http[80]端口是HTTP協(xié)議的端口，主要用來進行HTTP協(xié)議數(shù)據(jù)交換，比如網(wǎng)頁瀏覽，提供WEB服務(wù)。對于服務(wù)器，該記錄表示有人通過此端口訪問服務(wù)器的網(wǎng)頁，而對于個人用戶一般沒這項服務(wù)，如果個人用戶在日志里見到大量來自不同IP和端口號的此類記錄，而TCP標志都為S(即連接請求)的話，完了，你可能是受到SYN洪水攻記錄3:[5:49:55]31、14、78、110試圖連接本機的木馬冰河[7626]端口這就是個害怕的記錄啦，假如你沒有中木馬，也就沒有打開7626端口，當然沒什么事。而木馬如果已植入你的機子，你已中了冰河，木馬程序自動打開7626端口，迎接遠方黑客的到來并控制你的機子，這時你就完了，但你裝了防火墻以后，即使你中了木馬，該操作也被禁止，黑客拿你也沒辦法。但這是常見的木馬，防火墻會給出相應(yīng)的木馬名稱，而對于不常見的木馬，天網(wǎng)只會給出連接端口號關(guān)聯(lián)，從而判斷對方的企圖，并采取相應(yīng)措施，封了那個端口。記錄4:[6:12:33]接收到228、121、22、55的IGMP數(shù)據(jù)包該包被攔截這是日志中最常見的，也是最普遍的攻擊形式。IGMP(InternetGroupManagementProtocol)是用于組播的一種協(xié)議，實際上是對Windows的用戶是沒什么用途的，但由于Windows中存在IGMP漏洞，當向安裝有Windows9X操作系統(tǒng)的機子發(fā)送長度和數(shù)量較大的IGMP數(shù)據(jù)包時，會導致系統(tǒng)TCP/IP棧崩潰，系統(tǒng)直接藍屏或死機，這就是所謂的IGMP攻擊。在標志中表現(xiàn)為大量來自同一IP的IGMP數(shù)據(jù)包。一般在自定義IP規(guī)則里已經(jīng)設(shè)定了該規(guī)則，只要選中就可以了。記錄5:[6:14:20]192、168、0、110的1294端口停止對本機發(fā)送數(shù)據(jù)包TCP標志：FA繼續(xù)下一規(guī)則[6:14:20]本機應(yīng)答192、168、0、110的1294端口TCP標志：A繼續(xù)下一規(guī)則從上面兩條規(guī)則看就知道發(fā)送數(shù)據(jù)包的機子是局域網(wǎng)里的機子，而且本機也做出了應(yīng)答，因此說明此條數(shù)據(jù)的傳輸是符合規(guī)則的。為何有此記錄，那是你在圖八里防火墻規(guī)則中選了“TCP數(shù)據(jù)包監(jiān)視”,這樣通過TCP傳輸?shù)臄?shù)據(jù)包都會被記錄下來，所以大家沒要以為有新的記錄就是人家在攻擊你，上面的日志是正常的，別怕!呵呵!防火墻的日志內(nèi)容遠不只上面幾種，如果你碰到一些不正常的連接，自己手頭資料和網(wǎng)上資料就是你尋找問題的法寶，或上防火墻主頁上看看，這有助于你改進防火墻規(guī)則的設(shè)置，使你上網(wǎng)更安全。七、在線升級功能現(xiàn)在天網(wǎng)不斷推出新的規(guī)則庫，作為正式版用戶當然可以享受這免費升級的待遇，只要在天網(wǎng)界面點擊一下在線升級，不到2分鐘就可以完成整個升級過程，即