| 天网防火墙个人版如何防御网络攻击? |
| 责任编辑:admin 更新日期:2005-7-6 |
|
|
在网络通讯越来越普及的今天,网络化生存已经是不可阻挡的趋势了。随着Internet的发展,越来越多的计算机被连接到了Internet上。与此同时,没有安全保证的连接会使用户的计算机面对不法分子的入侵、攻击和其他Internet上的威胁而束手无策。所以对于用户而言,急需一种可以信赖的网络安全产品来保障自己的隐私以及应用网络的安全。由此面向个人用户的网络安全软件应运而生,而天网防火墙个人版正是这样的一种网络安全防护软件。
个人防火墙的定义:
所谓的网络安全防火墙(Firewall)可以在用户的计算机和Internet之间建立起一道屏障,使用户的计算机在很大程度上避免受到来自Internet的攻击。而面向个人用户的防火墙软件我们就称为个人防火墙(Personal Firewall)。
个人防火墙可以根据用户的要求隔断或连通用户的计算机与Internet间的连接。用户可以通过设定规则(rule)来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输,哪些情况下允许两者间的数据传输。
与大型网络防火墙不同的是个人防火墙通常直接切入用户的个人操作系统,并接管用户操作系统对网络的控制,使得运行在系统上的网络应用软件在访问网络的时候,都必须经过防火墙的确认,从而达到控制用户计算机和Internet之间的连接的目的。
网络通讯原理小述:
要明白不法分子是怎么利用网络进行入侵和攻击的,才能明白我们该用什么样的方法来防护。在这里,我们先说说目前Internet所采用的通讯方式有些什么样的特点,而这些特点偏偏就是不法分子所想到要利用的。
总的说来,目前Internet所用的使得各种各样不同的网络和计算机相联系的“语言”称作“TCP/IP协议”。而作为这个“语言”赖以传播的元素——“TCP协议”,是称为面向连接的可靠协议(那当然,要不是可靠的,谁还会用它呀)。它的可靠性是被一种称为“三次握手”的处理所保障的,在通讯的双方之间经过了“三次握手”之后,TCP就认为双方都是可靠的,于是连接就建立起来了。
上图譬如张三和李四之间要通过Internet互相通讯,由李四提供信息给张三访问。那么在它们真正建立通信通道之前,是必须由TCP进行握手确认之后才能建立可靠的网络连接的。它们之间的握手过程如下:
1. 首先由张三向李四发出访问请求。如图中说述:张三对李四说“我可以访问你的网站吗?”这个请求在TCP协议的表达是张三向李四发出一个使用TCP协议的数据包,这个数据包带有张三同步标志位(SYN位)。所以这个数据包称为张三的SYN包
2. 当李四接收到张三的请求之后,如果他认为张三可以访问自己的信息,就会给张三一个明确的回应并询问“你可以访问我的网站的,听见吗?”这个回应会表现为TCP数据包带有李四的同步标志位(SYN)和对张三的回应标志位(ACK)。所以这个回应数据包被称为SYN/ACK包;
3. 之后张三收到了李四的回应和询问,就对李四发出回答:“我听到了”。于是双发就建立起TCP可靠连接的数据通道了。这个张三对李四询问的回应带有TCP的回应标志位(ACK)。所以被称为ACK包。
通过这样的方式,Internet为用户营运着各种各样的数据。
天网防火墙个人版如何防御网络入侵和网络攻击?
作为一个入侵者,网络黑客在入侵一个系统之前,首先得确认系统是否存在和是否有入侵得可能。这个工作通常被称为“网络探测”。一个活动的而又没有任何安全防御措施的机器通常是入侵者们感兴趣的对象。
如上面所述的网络通讯原理,基于TCP/IP协议的计算机本身并不会对所接收的请求判断是否是非法或者是虚假的。它只懂得聆听对方的回应:如果有合理的回应,那么对方的请求就是合法的并是可靠的;如果没有回应或者回应是错误的,就认为对方是不可靠的。正因为这样的原因,入侵者可以利用通讯协议的这个特点来确定对方的存在,然后再做下一步的行动:
1. 黑客发出探测的数据包。如原理所述,这通常是一个同步位的TCP请求包(当然,也可以是更为简单的ICMP协议数据包,不过这种手法早已经过时了)。询问对方是否存在。
2. 本地机器忠实的回应了黑客的探测数据包。由此黑客知道了机器是存在并已经运行着;这就为了下一步的行动做了准备。
所以,对于本身并不需要提供INTERNET服务的个人网络用户而言,如果能够很好的处理这些并不需要接受的请求,那样的话安全性就会大大的提升了。天网防火墙个人版所做的网络安全屏障,第一步就是要让这些网络探测在天网的面前失效。
黑客所发出的探测数据包被天网个人版所拦截,用户的计算机并不会对黑客的电脑回应,所以黑客无从得知用户计算机的基本信息,入侵或攻击行为无从下手。
从坏的方向说,假设入侵者(黑客)已经通过其他的方式探测到用户的机器;正准备对用户的计算机进行入侵或者破坏;是否就可以为所欲为了?
我们知道,TCP/IP的网络访问除了用户IP之外,还有一个很重要的元素就是端口(Port)。当入侵者知道了用户机器的存在之后,接下来的步骤就是要探测出用户的机器开了哪些门可以进出,这些门,就是用户机器所打开的端口了。
天网防火墙个人版可以为用户关闭不在使用的端口,这相当于关闭了入侵者可能进入的大门;也就减少了计算机被入侵的机会。对用户而言,机器打开的端口越少,入侵者能选择的入侵路径就越少,那么安全性就会越高。
由于没有的进出的门,黑客即便知道了用户机器的存在,也只能吃闭门羹了。可怜的家伙,呵呵。
当然,高明的入侵者并不会这样被动的。如果没有门,就敲开它吧!无中生有的办法有很多,最直接的方法(也是最流行的方法):种木马吧!
所谓的“特洛伊木马”,就是一种基于客户机/服务器模式的远程控制程序,它让用户的机器运行服务器端的程序,这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了扇进出的门,然后黑客就可以利用木马的客户端对用户的计算机叫一声“芝麻开门”。入侵发生了。
可惜它的对手是天网,天网个人版特有的双墙结构可以有效的拦截目前已知的各种木马遥控,使它们变成“骟马”。以上的图是天网个人版利用“外墙”IP包过滤规则来拦截木马程序的遥控。由于木马程序都会打开自己的监听端口,所以只要利用IP包过滤规则拦截掉连接到这个监听端口的数据包,那么木马就无事可干,失去它作为木马的功能了。
可恶的是有的木马很聪明,它会利用传统防火墙只对外部发起的连接请求验证严格,而对内部发起的连接请求无条件信任的特点。假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身:
有着这样的工作方式的木马,我们称为“反弹式木马”。由于IP包过滤要维护一个IP地址和端口的规则表,而偏偏“反弹式木马”所利用的是系统和合法访问方式,所以这种木马仅靠传统的IP包过滤防火墙是无法防御的。那么,是不是就只能坐以待毙?
天网防火墙个人版,采用独特的“内墙”——应用程序访问网络规则,专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。
当用户计算机内部的应用程序访问网络的时候,必须经过防火墙的内墙的审核。合法的应用程序被审核通过;而非法的应用程序将会被天网防火墙个人版的“内墙”所拦截。
好了,现在所有的木马都失效了。入侵者一定恼怒非常啦,为了报复,入侵者会不择手段吧。“炸弹”,是他们最终的武器,专门对付那些“不肯就范”的用户。
可惜,炸弹还是得找个地方仍啊。现在的状况是——“门”都没有!由于天网的IP规则缺省是关闭所有的网络门户,可怜的入侵者这回要“折戟沉沙”了。
由此,天网防火墙个人版通过有机的结合“IP包过滤规则”和“应用程序访问网络规则”这两幢威力无比的天网“双墙”,可以对个人用户的计算机做到目前为止所能做到最好的网络安全防护。  |
|
| 上一篇文章: 入侵技术介绍——目标探测(2) |
| 下一篇文章: 攻击CISCO路由器 |
|
|
|
|
