一般来说,我们采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,本文拟用一种简易的办法——通过限制端口来帮助大家防止非法入侵。
3 _4 `# q$ c4 H4 m8 k
2 v5 F. K8 }& e: {# R7 n非法入侵的方式# r$ K" P) A S2 ]
6 C/ v: P& `) M1 U' k 简单说来,非法入侵的方式可粗略分为4种:" R2 X* l1 @% u$ A! z
9 e( Z, b. ?3 n9 o. F% S; x% Z 1、扫描端口,通过已知的系统Bug攻入主机。: k3 Q( M) o0 D! {& T+ f& q
; c) P' Q) D+ Y9 i 2、种植木马,利用木马开辟的后门进入主机。
5 L* o/ r& g# `# X; P' T o2 g
* j1 ^: |( g1 s b0 ^( R; z/ W 3、采用数据溢出的手段,迫使主机提供后门进入主机。
" s* o* X( \# q- |1 R4 j$ t/ ~, O6 x
4、利用某些软件设计的漏洞,直接或间接控制主机。
7 m' `- e ~: P% [1 _7 E
" E1 b* J/ x6 x4 f! e 非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。
$ [# M& G! ~6 d: I
9 o8 t* r" w+ [- }2 x+ n! r" i 因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。
- |5 C. \/ d. Q" Z* d
* j6 h2 X B. } 端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?
. _/ ?2 B, }5 G" S; O- V( f- e A }5 J1 R1 ^/ Y5 Y
限制端口的方法7 E( }8 A9 A, w" j4 [
+ v; T; W @9 g, P2 R 对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。9 Y% A) V5 l% K9 m* ^$ `
, |2 S3 ~/ k+ C8 t
这里,对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下:0 J# J" Q9 a& p5 H& m+ U
" M/ n; V/ z5 ]* ^2 E1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。
z1 A+ L( P, a, |: j q
. _2 q7 L- H( G7 ^) y8 p+ t+ v2、点击[属性]按钮,弹出“本地连接 属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。
, k& x+ `. ~/ c! `& B! c" x# ?
0 A0 r" h' {1 q' R6 b+ p3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP 设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。 ~" q9 c9 W- k( J* _+ [& `& s. f* w1 h
6 F% L7 h+ N7 _0 T4 ]% d4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上。& _3 P" ~5 A! ^3 A8 ~) ?& i
0 C# `6 m% [- g6 D
A5 t8 {' T2 }& W$ o. h
2 g7 E" O+ V, E4 w/ g5 s7 H 这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。5 |* ^' Z) O6 y' r+ O2 ~' Y* \5 z2 _9 w
2 c- {3 s \& _0 h% Y& w 添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。' H, K& G+ h/ O& T# n5 b
1 o1 G. B6 f0 V/ R 最后,提醒个人用户,如果您只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP/IP筛选”中添加端口即可。 |
|