選擇防火牆：為了更好的屏蔽攻擊

　　當無論任何人或事物都可以在任意時間進入你的電腦，你的電腦就處在了易被攻擊的脆弱地位。你可以用防火牆來限制外界進入你的電腦及裡面的信息。

　　防火牆是做什麼的?

　　防火牆對你的計算機或網站提供保護，像盾牌一樣屏蔽外界的惡意軟件或不必要的網絡流量的攻擊。防火牆可以設置成阻止來自某些特定區域的數據，同時允許其他相關的和必要的數據通過。這些對於依靠有線上網或DSL調制解調器上網的"一直在線"型網絡用戶來說，特別值得推薦。

　　哪種類型的防火牆是最好的?

　　防火牆有兩種形式：硬件型(外圍)和軟件型(內部) 。雖然它們各自都有其優點和缺點，決定使用防火牆比決定采用何種類型防火牆來說重要的多。

　　硬件防火牆：

　　通常稱為網絡防火牆，這些外圍設備的位置處在你的計算機或網絡與你的有線或DSL調制解調器之間。 很多廠商和一些網絡服務提供商(ISPs)提供叫做"路由器"的設備也包括防火牆功能。基於硬件的防火牆特別用於保護多台電腦，但是也為單獨的一台電腦提供高度保護。

　　如果你的防火牆後面只有一台電腦，或者你能確保網絡中的其他電腦都隨時進行補丁更新，因此免於受到病毒，蠕蟲，或其他惡意代碼的攻擊，那麼你就無需安裝額外的軟件防火牆進行保護。基於硬件的防火牆有其優點，有獨立設備運行自己的操作系統，所以他們為防御攻擊提供了額外的防線。他們的美中不足在於費用，不過現在已經有很多產品價格少於100美元(甚至有些不到50美元)

　　軟件防火牆：

　　一些操作系統包含了內置防火牆;如果你的就是，那麼可以考慮在已有外部防火牆的同時，增加一層內部防火牆的保護。如果你沒有內置防火牆，你可以以相對小甚至零成本從當地計算機商店，軟件供應商，或ISP獲得一個防火牆軟件。

　　因為從網絡上下載軟件到未經保護的計算機上存在相關風險，因此最好從CD，DVD或軟盤來安裝防火牆軟件。盡管只依賴於一個軟件防火牆已能提供一些保護，但是要了解到防火牆與需要保護的信息同在一台計算機上，會削弱防火牆在惡意數據流進入電腦前將他們捕捉到的能力。

　　怎樣知道選擇哪種配置?

　　大多數商用防火牆產品，無論是基於硬件或軟件的防火牆，都配置為最能被廣大用戶接受的安全模式。由於每個防火牆都是不同的，你需要閱讀和理解它的附帶文件來確定它的默認設置是否能滿足你的需要。你還可以從你的防火牆供應商或ISP(無論是技術支持還是網站)得到額外的幫助。此外，關於最新病毒和蠕蟲的警報(比如US-CERT 的電腦安全警報)有時也包含你可執行在你防火牆上的設置信息。

　　不幸的是，雖然正確設置防火牆可以有效阻止一些攻擊，但是也不能對電腦安全產生虛假的幻覺。盡管防火牆提供相當的保護，它不能保證你的電腦不被攻擊。特別是對那些由你來運行電腦中已被感染的程序文件的病毒，防火牆能夠提供的保護只能很小或幾乎沒有，比如電子郵件傳播的病毒。盡管如此，使用防火牆結合其他的保護措施(例如反病毒軟件和其他安全使用電腦的方法)能夠增強對攻擊的阻擋。

　　在今天的病毒中Trojan/PSW.QQPass.tqj“QQ大盜”變種tqj和TrojanSpy.Zbot.s“砸波”變種s值得關注。

　　病毒名稱：Trojan/PSW.QQPass.tqj

　　中 文 名：“QQ大盜”變種tqj

　　病毒長度：30842字節

　　病毒類型：木馬

　　危害等級：★

　　影響平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.QQPass.tqj“QQ大盜”變種tqj是“QQ大盜”木馬家族的最新成員之一，采用Delphi編寫，經過添加保護殼處理。“QQ大盜”變種

　　tqj運行後，在被感染計算機系統盤的“Program Files/Internet Explorer/PLUGINS”目錄下釋放文件“DosSys16.Sys”。修改注冊表，將

　　“DosSys16.Sys”注冊為浏覽器輔助對象(BHO)，實現“QQ大盜”變種tqj開機自動運行。將病毒代碼注入到所有的用戶進程中運行，隱藏自

　　我，躲避安全軟件的查殺。在後台秘密監視用戶打開的窗口標題，一旦發現用戶打開QQ登陸窗口便記錄鍵擊，竊取QQ用戶名和密碼並發送到駭

　　客指定的遠程服務器上，給用戶帶來一定程度的損失。

　　病毒名稱：TrojanSpy.Zbot.s

　　中 文 名：“砸波”變種s

　　病毒長度：44032字節

　　病毒類型：間諜類木馬

　　危險級別：★★

　　影響平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.Zbot.s“砸波”變種s是“砸波”木馬家族的最新成員之一，采用高級語言編寫，並經過加殼處理。“砸波”變種s運行後，在被感

　　染計算機系統“%SystemRoot%/system32/”目錄下創建病毒文件“ntos.exe”。修改注冊表，實現“砸波”變種s開機自動運行。將病毒代碼注

　　入到除CSRSS.EXE外的所有進程中並調用運行，保護磁盤上的病毒文件不被復制、刪除。破壞多款防火牆程序，大大降低了被感染計算機上的安

　　全性。竊取被感染計算機上用戶的私密信息並發送給駭客，嚴重威脅用戶私密信息安全。另外，“砸波”變種s可能會破壞用戶計算機系統內的

　　某些應用程序、數據庫、壓縮文件、圖片、文檔等，給用戶帶來極大的損失。

　　針對以上病毒，江民反病毒中心建議廣大電腦用戶：

　　1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項監控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計

　　算機。

　　2、江民KV網絡版的用戶請及時升級控制中心，並建議相關管理人員在適當時候進行全網查殺病毒，保證企業信息安全。

　　3、江民殺毒軟件的虛擬機脫殼技術，針對目前主流殼病毒進行虛擬脫殼處理，有效清除“殼病毒”。

　　4、全面開啟BOOTSCAN功能，在系統啟動前殺毒，清除具有自我保護和反攻殺毒軟件的惡性病毒。

　　5、“網頁安全專家”可以檢測到用戶計算機上是否感染了惡意網頁，如檢測發現惡意網頁，用戶可以按照提示自動上報給國家計算機病毒

　　應急中心進行處理。網頁安全專家下載地址：http://www.antivirus-china.org.cn/avtools/avtools_webexpert.htm

　　6、“江民密保”可有效保護網上銀行、支付平台、網上證券交易、網絡游戲等賬號密碼，全面保護用戶私密信息。

　　7、江民殺毒軟件新型主動防御集成了BOOTSCAN、木馬一掃光、系統監測、網頁監控等多種主動防御功能，更可對未知病毒進行主動監控，

　　對病毒層層攔截，即使有個別新病毒和惡性病毒入侵了系統，也無法逃脫江民殺毒軟件主動防御系統的層層截殺，更好地保護用戶上網安全。

　　KIS自帶的防火牆，“反黑客雖然簡單，但是我也就夠用了。用了這麼久，有一點小的經驗，跟大家分享一下。

　　對“應用程序的設置：

　　對於應用程序，我們知道他們都是以“.exe為後綴名的，也就是可執行文件，所有程序的運行，包括病毒，都要以可執行文件來執行任務。“反黑客裡的“應用程序項就是用來監控應用程序的聯網狀態的，由用戶自己選擇“允許或“阻止來控制是否聯網。我們可以通過此設置來監控所有要聯網的應用程序，並且“允許、“阻止。

　　一般你將“反黑客設置成“學習(訓練)模式時，任何未設定規則而要聯網的應用程序都會彈出窗口詢問用戶。我們也可以自主的進行設置。

　　進入“卡巴KIS主界面——設置——反黑客——點擊第一個‘設置’ ，便進入設置窗口，然後選擇“應用程序規則。如果你想添加規則，選擇“添加，編輯規則選擇“編輯，刪除規則選擇“刪除，同時還可以“導入和“導出數據庫(沒用過)。

　　當你想添加時，選擇“添加後，會有一個“浏覽和“應用程序選項，“應用程序選項裡都是已經在運行的應用程序，“浏覽需要自己尋找想添加規則的應用程序。選擇好之後，進入編輯界面，再點擊“添加，出現編輯窗口。規則名稱最好填應用程序的名稱。“遠程IP地址的意思是“是否允許程序訪問此遠程IP地址，比如QQ發出後，它要連接QQ服務器的IP;“遠程端口的意思是“是否允許程序通過某IP(非自己)的某端口進行訪問，比如QQ發出後，它要連接QQ服務器的IP的某端口;“本地端口的意思是“是否允許程序通過自己的IP的某端口訪問;“時間范圍的意思是“允許或阻止此程序在這段時間進行網絡訪問。附加操作大家都知道是什麼意思，就不介紹了。設完了嗎?沒有!!你還需要在“規則描述裡進行設置，選擇“允許或阻止，“出入網，“TCP連接或UDP數據包，“端口、IP和時間等設置。

　　設置完之後，你可以隨時在“模版裡進行規則的“允許或阻止等設定，不需要重新進入修改。

　　對“包過濾規則的設置：

　　“包過濾是什麼?就是通過防火牆的設置，監測包的特征來“放行或阻止的，“允許、阻止或限制每個IP的數據包的傳送和連接數，阻擋攻擊，禁止訪問某些站點等。這不就是“防火牆的最基本的特性了麼?對!有了“包過濾，就勉強算是“防火牆了。