3.3 常用的防黑客软件_信息安全防御技术与实施-QQ阅读男生玄幻网

书名：信息安全防御技术与实施
作者名：韦文思徐津主编
本章字数：10611字
更新时间：2020-08-27 19:31:33

3.3 常用的防黑客软件

3.3.1 Norton Personal Fⅰrewall

1. 安装与界面

Norton Personal Firewall的安装是非常容易的，在安装过程中有一个选项需要注意，这就是当出现Norton Utilities 2000工具选择的安装界面时，用户可以选择是否在安装Norton Personal Firewall的同时安装Norton Utilities 2000这个工具，选中上面一个选项之后就将它们结合起来使用，共同进行系统的防护与恢复工作。这样两个Norton系列产品强强联手，功能就更加强大了。

安装完Norton Personal Firewall之后需要重新启动一下计算机，此时会发现在系统的托盘区图标栏中多出了一个绿色地球的图标，这就意味着这个Norton防火墙已经运行在后台保护用户的系统中了。

在正式配置之前，先来看看它的界面。Norton Personal Firewall的界面看起来非常简单，左边只有三个功能按钮，单击之后右边区域中会显示出相应的功能选项。

如果单击“状态”按钮之后显示的是Norton Personal Firewall当前运行状态，还可以有选择地对安全性与隐私进行防护。

2. 安全性

可以保护用户不被黑客或未经许可的连接访问用户的个人信息。

在这里可以拖动滑块来调用Norton Personal Firewall附带的几种安全级别：

● “低”等级。可以自动拦截已知的威胁并关闭黑客可以访问的端口，在连接到Internet上的时候不出现警告窗口。

● “中等”等级。可以自动拦截所有Internet访问直到用户指定许可，但是会偶然出现警告窗口。

● “高级”等级。除了拦截所有的网络访问之外还会频繁出现警告窗口，一般选择“中级”即可。

如果用户对Norton Personal Firewall附带的安全级别不满意，还可以单击下面的“自定义级别”按钮来对安全性自行定义。

在此可以对“个人防火墙”、“Java小程序安全性”和“ActiveX控制安全性”3个选项进行设置，每个项目列表中都可以选择相应级别的选项，用户可以根据自己的需要来进行组合设置。

3. 隐私

用于在网络上保护用户的个人隐私，用户也可以直接通过拖动滑块来调整个人隐私的级别。

● “低”等级。不对Cookies进行拦截，用户的一些个人信息有可能被对方获取，不过当用户浏览某个站点的时候还是隐蔽的。

● “中级”等级。不对Cookies进行拦截，但是当用户的个人信息传递到网页上的时候，Norton Personal Firewall会进行相应的提示。

● “高级”等级。对Cookies进行拦截，用户的个人信息也是保密的。“高级”无疑是最为安全的，不过也是最不方便的。

如果用户对Norton Personal Firewall附带的隐私级别不满意，单击下部的“自定义级别”按钮后，可以设定机密信息和Cookie拦截的等级，而且还有浏览器隐性和启用安全HTTP连接的选项。在“机密信息”中能够看到机密信息设置的窗口。

设置的时候先单击“添加”按钮，然后分别选取“电话”、“电子邮件”、“住址”和用户个人有关的信息，然后分别输入描述和信息关键字，最后单击“确定”按钮即可。在此设置之后，Norton Personal Firewall将会保护用户指定的个人机密信息不会轻易地泄露到网络上。

4. 警告

当用户连接到Internet上之后，如果有外部非法连接企图进入用户的计算机系统时，它会自动弹出一个警告窗口。

在这个窗口中显示了企图与用户计算机建立连接的站点名称、IP地址、时间、所使用的端口号等有用的信息，同时还提供了3个解决方案：为将来配置一个规则、拦截此次网络通信和许可这个网络通信。要是用户正常使用网络下载软件、浏览工具或者是OICQ之类的软件时，对方站点必然要和用户建立一个连接，可以选择许可此次通信；如果经常使用，建议大家为将来配置一个规则，方便以后的正常使用；对于来历不明的连接，就选择拦截通信。

5. 统计信息

在防火墙使用一段时间之后，如果想对这段时期的运行情况有一个大概的了解，可以在Norton Personal Firewall的主界面上单击“选项”按钮来查看统计信息。

这里有查看事件日志、查看统计、清除统计和高级选项4个按钮。

● 事件日志里记录了连接到Internet之后所有的活动情况，比如“内容拦截”中，是拦截下来的记录；“连接”中，是建立的连接的起始时间、对方地址、接收和发送的字节数等详细清单；“防火墙”则把创建规则与规则运用的情况记录在案；“隐私”中保留了登录到网站之后个人信息的泄露情况；“网络历史”提供的是用户所浏览的所有网站页面地址。

● 查看统计里用状态窗口的模式提供了许多有价值的数据，比如TCP和UDP接收与发送的字节数、拦截的图形与Cookies、防火墙规则、网络连接状态和当前传输速度等。

● 清除统计将状态窗口中的数据显示全部清除掉。

● 高级选项能够对网站、防火墙和其他一些方面进行定制。

3.3.2 BlackICE防火墙

1. 软件安装

安装这款软件很简单，一直单击next按钮即可，需要注意的是在安装过程中会弹出一个对话框，其上有两个选择：“AP OFF”和“AP ON”，建议用户选择“AP ON”。这样软件安装完毕后会扫描本机系统中所有文件，找出可以访问Internet的程序，以避免在安装之前感染的木马程序、黑客软件继续运行。

2. 软件设置

软件安装完毕后，BlackICE会在系统托盘区显示一个图标，以监视每一个通过网络进出计算机的数据包，这里只讲几个重点设置项。

双击托盘中的图标打开BlackICE窗口，依次单击“Tools”→“Edit BlackICE Setting（进行BlackICE设置）”，就会打开设置对话框，如图3-1所示。

图3-1 BlackICE设置

“Firewall（防火墙）”选项卡：提供了4个由高到低的防护级别。其中Trusting（完全信任）尽量不要选择，因为一旦选了它，所有的入站信息都能进来，这样用户的防火墙就形同虚设。而其他3个级别可根据需要选择，一般情况下，可选择“Paranoid（高度警惕）”这一项，使防火墙为用户提供最好的安全保护。另外除4个防护级别之外还提供了3个复选框，用以辅助上面的级别设置，其中建议选择“Enable Auto-Blocking（启用拦截）”，而其他两项“Allow Internet file sharing（允许网络文件共享）”和“Allow NetBIOS Neighborhood（允许NetBIOS访问）”可以根据用户的具体情况进行设置。

“BackTrace（回溯）”选项卡：如果选中这里的两项复选框，就可以跟踪并分析入侵者的蛛丝马迹。如果要把犯罪证据记录在案，还可以利用“Evidence Log（证据日志）”选项卡，只要将其中的“Logging enabled（启用日志）”复选框选中即可。

“Application Control（应用程序控制）”和“Communications Control（通信控制）”两个选项卡没有特殊的地方，但是建议将“Enable Application Port（启用应用程序端口）”前的复选框选中，这样就可以防止未经许可的应用程序访问网络，从而防范病毒或木马程序对系统的破坏。

“Intrusion Detection（入侵检测）”等选项卡的设置十分简单，这里就不一一进行介绍。

3. 使用

假如用户打算关闭139端口以防范139端口入侵或者添加21端口开启FTP服务，应依次选择“Tools”→“Advanced Firewall Settings（防火墙高级设置）”，在设置窗口单击“Add（添加）”或“Modify（修改）”按钮就可以新增或修改应用规则。假如想开放一个21端口，单击“Add（添加）”按钮会打开一个窗口，在“Name（名称）”文本框中，可给规则起个名字（如“FTP”）；勾选“All Address（所有地址）”复选框，表示允许所有IP地址进行访问；清除“All Port（所有端口）”前的勾号，在“Port（端口号）”文本框中添加“21”（表示打开21端口）；“Type（类型）”选择“TCP”，并选择“Mode（模式）”为“Accept（接收）”以允许所有IP地址访问21端口（注：如果想关闭这个端口只需改为“Reject”即可）；“Duration of Rule（规则持续时间）”可根据需要进行选择，最后单击“确定”按钮完成，如图3-2所示。

图3-2 规则设置

如果局域网中某个IP地址经常尝试攻击用户的计算机，那么可以将其IP地址屏蔽，使其再也无法访问用户的计算机。依照上面的方法单击“Add（添加）”按钮，在“IP”文本框中输入想要禁止的地址，选择“Type（类型）”为“IP”，将“Mode（模式）”选为“Reject（拒绝）”，“Duration of Rule（规则作用时间）”选为“Forever（永远）”，这样就将该IP地址永远屏蔽了。

如果想单独控制某个应用程序能否运行，可以进行如下设置。例如想单独禁止QQ运行，可依次选择“Tools”→“Advanced Application Protection Settings（应用程序防护高级设置）”，打开“Known Applications（已知的应用程序）”选项卡，在列表框中选择QQ。EXE这个可执行文件，然后在“Application Control（应用程序控制）”下拉列表框中，选择“Terminate（终止）”，最后单击“Save Changes（保存设置）”。如果想再次允许QQ运行，只需要在下拉列表框中选择为空即可。

如果在“Known Applications（已知的应用程序）”选项卡中没有找到新安装的程序，可通过“Baseline（基线）”选项卡，在左侧列表中选择程序所安装的目标盘或目标目录，再单击“Run Baseline（运行基线）”即可扫描出新安装的程序，然后将它们添加到“Application Control（应用程序控制）”选项卡中。

如果仅仅是不想让某个应用程序访问网络，可以在应用程序控制的窗口中的“Communication Control（通信控制）”下拉列表框中，选择“Terminate（终止）”或“Block（拦截）”就可以阻断程序与外界的联系了。

4. 报警

如果有人试图攻击用户的计算机，BlackICE会给出报警信息。此时，只要双击系统托盘区的BlackICE图标，就会弹出一个窗口，选择“Events（事件）”就可以看到刚才发生的警告信息，根据这些信息可以判断出遭受到的是什么性质的攻击。通过浏览“Intruders（入侵者）”选项卡中的内容，用户还可以了解到攻击者的详细信息。如果想要永久拦截该攻击者，只要在入侵者名单上右击，在弹出的快捷菜单中选择“Block Intruder（禁止入侵者）”→“Forever（永久）”就可以了。

5. 统计信息

在“History（历史）”选项卡中左侧的Min（分钟）、Hour（小时）、Day（天数），就可以很直观地看到分别以分钟、小时、天数为单位的事件发生曲线图和网络数据流量图，据此就可判断出木马、病毒程序作案的发生频率、数据包流量。

3.3.3 ZoneAlarm

1. 安装

ZoneAlarm有多个版本，常见的有：ZoneAlarm Pro、ZoneAlarm Plus、ZoneAlarm和ZoneAlarm with Antivirus等，它们对系统的要求很低。这里以ZoneAlarm Pro with Web Filtering版为例对其进行介绍。

无论全新安装还是升级安装都很容易，在软件的安装过程中，ZoneAlarm会提供一个简单易用的向导，它会询问用户几个简单的问题，并带领用户完成所有的配置。对于大多数用户来说，最为适合的就是一直单击“下一步”按钮，使用该软件的默认配置来为自己的计算机提供安全保护。

注意：

在软件安装完成后，用户都可以对这些配置进行随意的修改。

值得一提的是，ZoneAlarm采取了收费与免费共存的路线。ZoneAlarm Pro 4.5之后的版本为用户提供了两种选择：用户可以选择下载免费的ZoneAlarm 4.5版。4.5版不会出现要求用户购买的提示；用户也可以选择ZoneAlarm Pro有效期为30天的免费试用版。在30天的免费试用期满后，如果用户不购买，则该软件会自动转变成4.5版，供用户使用，无需任何重新安装的操作，功能也不会受到限制。

2. 主界面

ZoneAlarm采用Windows XP风格的主界面，漂亮而简单。导航栏标签位于窗口的左侧，在单击时会详细地显示出每一项设置的内容。

导航栏中包括ZoneAlarm的主要功能为：

● Overview：常规状态。

● Firewall：防火墙保护。

● Program control：应用程序控制。

● Alerts & Logs：警报和日志查看器。

● Privacy：保护隐私。

● E-mail protection：高级邮件管理。

● Web Filtering：网页过滤。

● ID Lock：逆向追踪黑客的来源。

3. 简洁的面板——dashboard

单击“缩放”按钮，切换到软件的简洁风格的界面。

该面板中间显示的是当前可用的网络连接，当鼠标指向网络仪表板上相应的图标时，相应的参数就会显示出来。

另外该面板上提供了和两个按钮，它们分别可以用来屏蔽一切网络连接和取消保护。是相对一切网络通信而言的，比如遭网络攻击时（冲击波病毒等）使用它将切断用户计算机与外界的一切网络连接；是对应用程序而言，可以针对具体的应用程序设置其是否可以访问网络。

4. 常规设置

（1）版本信息：Overview中的product info显示当前的版本信息和版权信息，如果Licensing中显示还有××天，表明用户的使用期限将在××天后过期。

（2）自动升级：作为安全产品，及时的升级是必不可少的。可以通过Overview菜单的preference（参数）选项卡中check for updates（检查最新版本信息）来设置自动更新或手工更新。

（3）开机自动运行：在安装中，ZoneAlarm默认设置为下次开机时自动运行，这样的设置保证了计算机开机后立即得到保护。如果要关闭开机自动运行的设置，在Overview菜单的preference（参数）选项卡的general（常规）中取消选择“Load ZoneAlarm Pro with Web Filtering at startup”就可以了。

（4）密码保护和参数备份：密码保护用来保护ZoneAlarm不被意外停止和恶意修改参数，在Overview菜单的preference（参数）选项卡的password中单击set password设置保护密码。

（5）参数备份：参数备份是备份系统自我配置和用户配置的参数。备份时单击Overview菜单preference（参数）选项卡“Backup and Restore Security Settings”选单中的backup或Restore命令来完成备份或恢复工作，备份的文件是一个XML文件。

5. 防火墙功能

ZoneAlarm Pro的核心部分，还是它的个人防火墙功能，可以确保任何入侵者都无法通过因特网进入到用户的计算机中。

ZoneAlarm的防火墙具有Low（低）、Med（中）和High（高）3个安全级别，并将其安全分成Blocked Zone（锁定区域）、Trusted Zone（可信任的安全区域）和Internet Zone（因特网区域）3个区域。ZoneAlarm的这种域管理方式，使得用户管理更简单。域的对象可以是一个网段、一个主机、一个网址等。

● 对所有的Internet活动，Zone Lab推荐使用“高”安全级别设置，这样的设置将锁定每一活动，直到用户做出明确授权为止。ZoneAlarm也使用秘密模式，这种模式对端口状态请求（如端口扫描期间遇到的请求）不做出响应，将已授权程序没有使用的所有端口隐藏起来。

● 安全设置“中”最好留给Trusted Zone使用，此设置实施用户设置的所有应用程序特权，但允许本地网络访问Windows服务、共享文件和驱动器。用户必须定义在本地区域中允许使用的资源。这些资源可以包括计算机自己的适配器（用于循环回路和其他服务），以及其他计算机。用户不必为每台计算机输入IP地址，因为ZoneAlarm允许用户输入主机/网站名称、单一IP地址、范围或子网归于域。

● 如果用户在网络内部运行服务器，则安全设置“低”为最好的选择。

在FireWall功能页面下，用户可以通过单击“Add”按钮来将指定的计算机或者网络设置为信任主机或者受保护的区域，例如将那些需要进行共享的计算机设置为信任主机。单击“Add”按钮，然后再选择是通过“Add IP address”命令添加指定的主机IP地址还是通过“Add ip range”命令添加局域网中的IP地址范围，或者是添加子网掩码，让ZoneAlarm把局域网和Internet分开来管理。如果要取消信任主机或者受保护的网络区域，只要先在该界面的列表上选中指定目标，再单击一下“remove”命令按钮就行了。如果要对这些内容进行编辑，只要单击“edit”命令按钮就行了，设置好后单击“apply”按钮就开始生效了，如图3-3所示。

图3-3 添加域成员

在ZoneAlarm中引入域的概念的最大益处是，在使用防火墙保护用户的计算机不受因特网上非法入侵的同时还能够自动检测局域网络的设置，确保来自内部网络的通信不受影响。比如，用户在使用因特网的同时还有一个办公网（内部需要交流文件或打印共享），可以把内部网络归为Trusted Zone域而把因特网归到Internet Zone域，ZoneAlarm对不同的域实施不同的防火墙规则，这样上网办公两不误，而且都受到防火墙的保护。

在ZoneAlarm中引入域还有其他的好处：把恶意网站的网址输入Blocked Zone就可以达到不能访问恶意网站的目的；把攻击者的IP地址输入Blocked Zone就能组织其继续攻击。

如果ZoneAlarm在运行过程中碰到一个新程序需要和网络连接，它就会跳出一个确认对话框，问用户是否允许该程序访问网络。选择允许或不允许后可以到Program control的Program中设置权限。

应用程序的权限包括访问权限和服务权限，访问权限和服务权限含义是不同的，对外而言，访问权限（Access Permissions）是控制是否可以主动访问外部对象，服务权限（Server Permissions）是控制是否允许开启服务端口提供外人连接，区别是发起连接的对象个别是自己和对方。

该设置界面列出了所有可能访问Internet的程序，并且提供程序名、是否允许连接、是否允许使用服务器、是否允许通过锁定应用程序控制功能等控制信息。其中是否允许连接又分为对本地和Internet的两种连接方式，绿色的“√”为允许连接而无需询问；红色的“×”为禁止连接；问号则是在每次出现连接企图时都会先提出询问。另外应用程序控制功能允许用户决定哪个软件可以或者不能使用Internet，可以确保欺骗程序（或者说是盗贼程序）不能发送用户的敏感信息给那些不法分子。可以通过鼠标的右键功能来选择是允许程序和网络连接、禁止和网络连接、询问后再连接等3种状态。

如果选中“Automatic Lock（自动锁定）”中的ON选项，弹出自动锁定对话框，如图3-4所示。

图3-4 自动锁定设置

其中第一个选项是用来设置在停止操作以后多长时间启动锁定功能，程序默认为10分钟；第二个选项确定是否在运行屏幕保护程序的时候启动锁定功能。下面还有两项设置内容：其中第一项是在锁定状态下是否允许一些仍然处于激活状态下的程序如E-mail程序保持与Internet的联系，例如检查是否有新的邮件到来；第二项是停止所有的与Internet相关的操作，单击Stop按钮，可以在锁定和解锁状态之间切换，如图3-5所示。

图3-5 锁定设置

ZoneAlarm提供的组件控制是其他防火墙所没有的功能，它将禁止一个程序去控制另外一个应用程序的能力，如图3-6所示。

图3-6 组件控制

注意：

只有在高级安全模式才启用组件控制功能。

6. 其他功能

ZoneAlarm Pro同时还具有一个电子邮件监视器（能够捕捉到可能会群发邮件的病毒或者蠕虫）、一个cookie管理器、一个弹出或者广告屏蔽器，以及一个ActiveX和JavaScript防御工具。

（1）反病毒监测（Antivirus monitoring）：反病毒监测不是网络防火墙的强项，但是病毒和防火墙的关系越来越亲密，如果安装的是ZoneAlarm with Antivirus那么就具备了反病毒功能。

（2）高级邮件管理（E-mail protection）：通过电子邮件传播病毒已经是一个严重的网络问题，ZoneAlarm包含一个邮件监视器，它能够对所有接收的和发出的电子邮件都进行监控，以便于能够及时制止那些群发邮件病毒的可疑行为。在侦测到有病毒在进行自我复制后开始向外群发邮件时，它会自动关闭掉用户的电子邮件客户端。MailSafe功能扫描所有电子邮件中出现的Visual Basic脚本附件（如I LOVE YOU病毒）。如果发现此类附件，MailSafe会将其隔离，并在用户试图运行该附件时发出警告。

注意：

在默认情况下MailSafe处于活动状态，但可以通过安全面板禁用它。

（3）保护隐私信息（Privacy protection）：ZoneAlarm具备智能管理Cookie能力，Cookie是网站保存到用户硬盘，记录用户冲浪和购买习惯的文本文件。这些数据一般用于根据用户的上网习惯并有针对性地给用户发广告，通常是无害的。但是有些Cookie数据往往涉及用户的隐私，ZoneAlarm为用户提供了决定哪个网站可保存Cookie的功能。

（4）广告拦截（AD BLOCKING）：ZoneAlarm广告拦截能力也是很强的，启用AD BLOCKING后，网站的广告基本上都被成功拦截了，如图3-7所示。

图3-7 广告拦截

（5）Java和ActiveX拦截：具备破坏性的代码通过网页和电子邮件不断地被下载，而ZoneAlarm具备拦截Java和ActiveX控件并进行分析的能力，保护用户的上网安全，如图3-8所示。

图3-8 Java和ActiveX拦截

（6）缓冲区清理工具（Cache Clean）：缓冲区清理工具能够很方便地将保存在用户计算机上的网络临时文件、浏览器历史记录，以及cookie全都删掉。

（7）逆向追踪黑客的来源（ID Lock）：在遭到攻击后，可以逆向追踪黑客的来源，另外，ZoneAlarm还新增加了一个汇报工具。

（8）警报和日志查看器（Alerts and Logs）：弹出警报是用户和ZoneAlarm交流的方式，比如有新的应用程序需要访问网络就弹出警报。如果关闭了警报功能，ZoneAlarm使用智能策略实施权限配置，以避免分散用户的注意力，简化用户配置难度。而日志记录的是网络通信和应用程序通信的过程，通过分析日志可以发现木马或受到的攻击及其来源，以及应用程序访问网络的情况，而是否记录到日志可以通过面板设置。

（9）网页过滤（Web Filtering）：网页中包括暴力色情等内容时，Web Filtering可以过滤这些不健康的内容，用户要做的就是选择过滤哪些敏感内容，然后启动Web Filtering功能，如图3-9所示。

图3-9 网页过滤

（10）专家级的规则设定：专家级的规则设定具有独特的功能，突出特点表现在3个方面：定义组、时间控制和控制到数据链路层。而且，ZoneAlarm可以工作在ICS/NAT的网关计算机上，针对内部计算机，ZoneAlarm根据设置决定是否对NAT数据包进行过滤，默认设置对所有本地数据包进行过滤，而对NAT转发的数据不做过滤，自定义规则可以针对外部和内部发起的通信分别控制。

注意：

到目前为止，控制到数据链路层只有ZoneAlarm可以做到。

3.3.4 天网防火墙

注意：

天网防火墙有正式版（收费的版本，服务好，功能强）和试用版（免费，用的人很多，高级功能受到一些限制）之分，两者的界面和操作基本都一样，这里以正式版为例进行介绍，试用版的操作可以参照执行。

1. 软件安装

软件的安装很简单，基本采用一直单击next按钮即可，安装完后要重启，重启后天网防火墙就开始工作了。

2. 应用

默认情况下，天网防火墙的功能就足够满足用户的需求了。所以，如果没什么特殊要求，采用默认设置就可以了，此时安全级别为中。

在主界面的最左侧从下到上依次排列的3个按钮分别对应系统设置、IP规则设置和应用程序设置命令。

单击最下面的系统设置命令，出现天网防火墙的系统设置界面。

这里可以进行天网防火墙的启动设置、恢复默认设置、应用程序权限设置、局域网地址设置，以及报警声音和日志的设置。

单击中间的IP规则设置命令，出现天网防火墙的IP规则设置界面。

和前面介绍的其他防火墙一样，这里可以对防火墙的IP规则进行添加、删除、编辑等操作。

单击右侧的应用程序网络使用情况命令，出现应用程序使用网络情况的界面，该界面给出了各个程序使用及监听端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序（如木马程序）在使用网络资源，然后可以根据要求在系统设置界面的自定义IP规则里封禁相应的端口并禁止某些IP访问用户的计算机。

单击右侧的日志命令，显示网络的使用日志，上面记录了应用程序访问网络的记录，网上扫描用户计算机的IP地址以及扫描的端口，供用户参考以便采取相应对策。

如果想为特殊的应用程序开放特定的端口，就得创建新的IP规则，在自定义IP规则里双击进行新规则设置，单击增加规则后就会出现规则修改的界面。

这里的设置可以分成4部分：

● 说明部分：可以为新建的IP规则起一个有代表性的名字，便于以后对规则的维护，说明详细点也可以。还有数据包方向的选择，分为接收、发送、接收和发送3种，可以根据具体情况决定。

● 对方IP地址设置：就是规则要针对的对象的IP地址，分为任何地址、局域网内地址，指定地址、指定网络地址4种。

● 规则协议设置：就是规则作用的协议类型，这里包含常见的协议类型：有IP、TCP、UDP、ICMP、IGMP五种协议，可以根据具体应用程序选用并设置（如QQ使用的是UDP协议，要想对QQ进行设置这里就要选择UDP协议）。

● 作用方式：最关键的部分就是定义满足上面的条件时，采用什么样的作用方式，这里有通行和拦截两种。

设置好之后单击“确定”按钮保存，并把规则上移到该协议组的相应位置（规则的执行顺序和规则在规则组的排列顺序有关），这样就完成了新的IP规则的建立，并立即发挥作用。

3. 在线升级

天网不断推出新的规则库，作为正式版用户当然可以享受这免费升级的待遇，只要在天网界面单击一下在线升级命令，不到2分钟就可以完成整个升级过程，既快捷又方便。

单击后出现一个在线升级网络设置的提示框，根据需要进行带来服务器的设置（如果用户没有使用代理上网的话就不用设置），直接单击“下一步”按钮安装规则包，下载完成后出现安装提示。

单击“安装”按钮后出现安装完成的提示。

升级后防火墙的自定义规则就会多出很多最新的防御木马的规则，会更有效地防御木马的入侵。

注意：

用户选用自定义后，一定要记得把自定义里的IP规则选勾保存规则，这样日志信息中才会有记录。

3.3.5 硬件防火墙

前面介绍的都是软件防火墙的使用方法，而事实上防火墙还有重要的一类——硬件防火墙。所谓的硬件防火墙就是将防火墙的程序做到芯片里面，由硬件执行这些功能，以减少CPU的负担，使路由更稳定。下面就来介绍一下硬件防火墙的基本知识。

传统硬件防火墙一般至少应具备3个端口，分别接内网、外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见的四端口防火墙一般将第四个端口作为配置口或管理端口。很多防火墙还可以进一步扩展端口数目。

1. 硬件防火墙的分类

硬件防火墙从技术上分可分为两类，即标准防火墙和双家网关防火墙：

（1）标准防火墙系统包括一个UNIX工作站，该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；另一个则连接内部网。

（2）双家网关防火墙则是标准防火墙的扩充，是一个单个的系统，但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在因特网和内部系统之间建立的任何直接的边界，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。

2. 低端硬件防火墙

低端硬件防火墙市场中都是一些即插即用设备，几乎不需要或者根本不需要进行配置。这些设备通常还结合了交换机、VPN功能。低端硬件防火墙旨在用于小型企业和大型组织的内部，它们通常会提供静态筛选功能和基本的远程管理功能。来自较大生产商的设备可能会与它们的高端设备运行相同的软件，应该能够在需要时提供升级路径。

低端防火墙的常见功能，如表3-1所示。

表3-1 低端防火墙的常见功能

低端硬件防火墙的优点是：成本低；配置简单。

低端硬件防火墙的缺点包括：

● 功能有限：通常情况下，低端硬件防火墙只提供基本的防火墙功能，它们不能并行运行以降低冗余性。

● 吞吐量有限：低端硬件防火墙不是为处理高吞吐量连接而设计的，因此可能会导致出现瓶颈。

● 生产商提供的支持有限：生产商的支持通常仅限于电子邮件、网站，因为这些支持的成本比较低。

● 升级能力有限：通常不能进行硬件升级，但是通常会提供定期的固件升级。

3. 高端硬件防火墙

在高端硬件防火墙市场中，有一些性能较高、高适应性的产品，这些产品适用于企业或者服务提供商。这些产品通常能够提供最好的保护，而不会降低网络的性能。

有些时候通过添加另一个防火墙作为热备份设备，可以达到适应性的目的，该热备份设备通过自动状态同步维护一个最新的连接表。

注意：

应该考虑将高端硬件防火墙设备部署在集中位置或者总部这样的位置。

高端防火墙的常见功能，如表13-2所示。

表13-2 高端防火墙的常见功能

高端硬件防火墙的优点包括：

● 高性能：硬件防火墙产品是为单一目标设计的，提供较高级别的入侵防护，同时对性能造成的影响最低。

● 高可用性：高端硬件防火墙可连接在一起，以实现最佳的可用性和负载平衡。

● 模块化系统：硬件和软件都可以升级，以满足新的要求。硬件升级可能包括附加的以太网端口，而软件升级可能包括对于入侵的新检测方法。

● 远程管理：高端硬件防火墙比低端硬件防火墙提供了更佳的远程管理功能。

● 适应性：高端硬件防火墙可能具有可用性和适应性功能，例如通过使用第二个设备实现热备用或主动备用。

● 应用程序层筛选：与低端硬件防火墙不同，高端硬件防火墙对一些知名的应用程序在OSI模型的第4、5、6和7层都提供了筛选。

高端硬件防火墙的缺点包括：

● 成本高：高端硬件防火墙一般比较昂贵，而价格因素通常是基于并发会话的数量、吞吐量和可用性要求的。

● 配置和管理复杂：因为高端硬件防火墙比低端防火墙具有更加强大的功能，所以配置和管理起来也较为复杂。

4. 硬件防火墙的新技术

随着防火墙技术的发展，在双家网关防火墙的基础上又演化出两种防火墙配置：一种是隐蔽主机网关方式，另一种是隐蔽智能网关（隐蔽子网）。

（1）隐蔽主机网关是当前一种常见的防火墙配置。顾名思义，这种配置一方面将路由器进行隐蔽，另一方面在因特网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与因特网进行通信的唯一系统。

（2）目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击。一般来说，这种防火墙是最不容易被破坏的。