對所有的Linux系統和網絡管理員來說,一個最基本的技巧是知道如何從頭開始編寫一個強健的iptables防火牆,並且知道如何修改它,使其適應多種不同的情況。然而,在現實世界中,這看起來似乎少之又少。對iptables的學習並非是一個簡單的過程,不過筆者在這裡向您推薦外網上如下資料,這樣使用起來你就得心應手了。
筆者認為所有的管理員都應徹底地理解Iptables,不過,另外一個可選擇的方法是運用出色的Linux防火牆生成工具。
Firewall Builder
第一個出場的便是Firewall Builder,這是一個完善的多平台的圖形化的防火牆配置和管理工具。它運行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通過設計,它將規則設計的細節隱藏起來,而著重於編寫策略。不過,不要在你真實的防火牆上運行防火牆生成器,因為它需要X Windows。你需要將其運行在一台工作站上,然後將腳本復制到防火牆上。
Firestarter
第二位是Firestarter,它是一款優秀的圖形化的防火牆生成向導,它可以引導你一步一步地通過構建防火牆的過程。對於與局域網共享唯一公共IP地址的NAT防火牆來說,這是一個不錯的選擇,並且在防火牆之後,它還有一些公共服務,或者一個分離的DMZ。它擁有打開或關閉防火牆的一些簡易命令,可以查看狀態視圖和當前的活動。你可以將其運行在一台headless計算機上,並遠程監視之,或者將其用作一個獨立的防火牆。
Shorewall
第三位Shorewall是一個流行的防火牆生成器;它比Firestarter更加復雜和靈活,並且它適合用於更加復雜的網絡。Shorewall的學習曲線類似於iptables,不過,其文檔資料豐富,並且提供提供不同情況的解決方法指南,如單一主機防火牆,兩接口和三接口防火牆,以及擁有多個公共IP地址的防火牆等等。你可以獲得許多關於過濾P2P服務的幫助,如Kazaa速率限制、QQS(質量服務)、VPN轉移歸向等內容。
我們向你推薦這三個軟件的目的是讓你不用花錢購買商業的防火牆軟件,後者無論如何不如內置的Linux和Unix包過濾器。用戶應該將有限的資金用於購買更高質量的硬件上。
不管你遇到的是什麼病毒,它想霸占你的系統,侵害你的文件,大部分都要在每次系統重啟時將自己加入自動運行,如果我們有方法讓它喪失這個能力,那麼你將遠離大多數病毒木馬。
改注冊表就想自動運行,不行
病毒木馬一般都通過修改注冊表將自己設置為自動運行,我們可以針對他們修改的三種方式,來設置相應的三種對策:
1.設置注冊表自啟動項為everyone只讀權限(Run、RunOnce、RunService),防止木馬、病毒通過自啟動項目啟動。
2.設置.txt、.com、.exe、.inf、.ini、.bat等文件關聯為everyone只讀權限,防止木馬、病毒通過文件關聯啟動。
3.設置注冊表HKLM/SYSTEM/CurrentControlSet/Services為everyone只讀權限,防止木馬、病毒以“服務方式啟動。
我們特地為大家准備了一個批處理文件,只要你下載後運行一下,就可以完成上述的權限設置,一次免除後顧之憂(點擊下載批處理文件)。
白名單:只運行許可的Windows應用程序
設置白名單可以有效地防范外來的惡意程序在你系統中運行或者設置自動運行,方法簡單有效。
第一步:首先以管理員賬戶(Administrator)登錄WinXP。
第二步:選擇“開始菜單裡面的“運行項,輸入“gpedit.msc命令,然後單擊“確定按鈕打開“組策略編輯器窗口。
第三步:在“組策略窗口的左側窗格中依次展開“用戶配置→管理模板→系統分支,然後在右側窗格中雙擊“只運行許可的Windows應用程序策略項打開“只運行許可的Windows應用程序屬性窗口。
第四步:在“只運行許可的Windows應用程序屬性窗口中轉到“策略選項卡,先選擇“啟動項,再單擊“顯示按鈕打開“顯示內容對話框。
第五步:在“顯示內容對話框中單擊“添加按鈕打開“添加項目對話框,再在相應文本框中輸入允許運行程序的命令行,然後單擊“確定按鈕將它添加到“顯示內容對話框的列表中。
當設置完成後,在WinXP中除了列表中指定的程序外,其他程序一律將被禁止運行,更別說病毒想方設法將自己加入到自動運行的行列,也無法在系統啟動時運行。
限制病毒木馬容身之所
通過浏覽網頁時下載到本地被執行的病毒木馬,很多時候對會先著陸在一些常見的系統目錄中,比如Temp、system32、drivers等,我們對這寫目錄做一定的權限設定,很容易將它們攔阻,防止它們自動運行。這裡要求我們的C盤必須是NTFS格式的,這樣才能設置權限,這裡我們以Temp目錄為例:
第一步:選擇“我的電腦→工具→文件夾選項→查看→去掉‘隱藏受保護的系統文件’→選中‘顯示所有文件和文件夾’→確定。做這一步是為了顯示出temp文件夾,以便設置權限。
第二步:右鍵單擊“temp文件夾→屬性→安全→高級,現在開始設置,選擇名稱為你用戶名的權限項目,點擊“編輯。在“遍歷文件夾/運行文件勾選“拒絕,依次確定。
小提示:FAT2NTFS
如果你的C盤不是NTFS格式,可以過Dos命令來轉換:convert c: /fs:ntfs,而且不必強制卸下該卷,繼續下一步,系統會計劃下次重啟後執行。
當然,比如著名的sxs病毒,除了C盤之外,也在其它盤的根目錄下生成兩個或三個文件autorun.inf、sxs.exe、autorun.pif,為了預防這種木馬我們也可以通過設置權限來預防。不過,我們要付出的代價就是不能在根目錄下創建文件了。方法如下:
第一步:右鍵單擊D盤,選擇“屬性→安全→組或用戶名稱,這裡只留一個你的用戶名。
第二步:選擇“高級,在“應用到列表中選擇該文件夾或文件。這裡的意思是說只對於本目錄有效,下級目錄我們仍可以寫刪。
第三步:設置“創建文件/寫入數據為“拒絕;設置“文件夾/附加數據為“拒絕。
這樣一個個性化的防止木馬病毒自動運行批處理程序就打造完畢。
在微軟的系統中,文件夾也是一種文件,只不過其屬性特殊一點罷了。既然這樣,按照微軟的規定,在同一文件夾下不允許同名的文件或文件夾出現。所以,我們可以利用這個規定來自己建立一個名為Autorun.inf的文件夾來防范Autorun.inf病毒。
這種方法曾經有人提出來過,也有一定的效果。但是,可謂是“道高一尺,魔高一丈。病毒也不是吃素的,在運行之前先檢測有沒有Autorun.inf文件或文件夾,有的話則先刪除再進行傳播。難道我們就沒什麼別的辦法來治治這可惡的Autorun.inf病毒嗎?當然不是,大家跟我來。
其實思路沒變,只不過我們建立的Autorun.inf文件夾是無法刪除的,而且不需要任何第三方軟件,相當簡單,但要在Dos下完成 。
點擊“開始→運行,在地址欄裡輸入CMD後回車。再輸入以下命令(每輸一行請打次回車,/後內容為程序說明):
cd/
f: /這裡的f指的是優盤盤符
md Autorun.inf /這裡的意思是新建一個名為Autorun.inf的文件夾
cd/Autorun.inf /這裡的意思是進入Autorun.inf文件夾
md nokill/ /這一步是關鍵,建立了一個名為nokill.的文件夾,在命令裡比nokill.多了./,這樣就使得Autorun.inf文件夾刪不掉了,這一步在Windows下是無法完成的
到此為止,我們的免疫系統打造完畢,現在你試試Autorun.inf文件夾還能不能刪除。方法很簡單,但的確很使用,大家都趕緊行動起來吧!