保護系統安全從定制IP策略開始

　　現如今病毒、木馬攻擊的方式是多種多樣，尤其是計算機端口更是病毒"攻占"的重點部位，你是否曾遇到這樣的情況，當我們安裝上諸如天網防火牆上網時，只見感歎號跳個不停。打開一看都是類似於"xxx.xxx.xxx.xxx 試圖連接本機的xxx端口，該操作被拒絕"之類的操作提示，這就是一些病毒、木馬攻擊端口的表現。

　　概念常識

　　在上述情況進行解決之前，我們先要對一些常識性概念進行一番了解，尤其是涉及到端口方面的知識。什麼是端口?在網絡技術中，端口(Port)大致有兩種意思：一是物理意義上的端口，比如，ADSL Modem、集線器、交換機、路由器用於連接其他網絡設備的接口，如RJ-45端口、SC端口等等。二是邏輯意義上的端口，一般是指TCP/IP協議中的端口，端口號的范圍從0到65535，比如用於浏覽網頁服務的80端口，用於FTP服務的21端口等等。

　　本文所講的端口指的是邏輯意義上的端口，它是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障。默認情況下，Windows有很多端口是開放的，上網的時候，網絡病毒和黑客可以通過這些端口連上你的電腦。為了讓你的系統變為銅牆鐵壁，我們除了一些重要的端口，如80端口為Web網站服務;21端口為FTP服務;25端口為E-mail SMTP服務;110端口為E-mail POP3服務;1433端口為SQL Server服務等外，一些沒有服務的端口都可以關閉，如TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的後門端口(如 TCP 2745、3127、6129 端口)，以及遠程服務訪問端口3389等。對於一些沒有服務的端口，除了使用一些網絡防火牆來關閉外，借助IP安全策略來進行關閉可以說是一個阻止入侵者入侵的好辦法，下面我們就來定制IP策略。

　　了解IP安全策略

　　IP安全策略是一個給予通訊分析的策略，它將通訊內容與設定好的規則進行比較以判斷通訊是否與預期相吻合，然後決定是允許還是拒絕通訊的傳輸，它彌補了傳統TCP/IP設計上的"隨意信任"重大安全漏洞，可以實現更仔細更精確的TCP/IP安全，也就是說，當我們配置好IP安全策略後，就相當於擁有了一個免費，但功能完善的個人防火牆。

　　實戰IP安全策略

　　1、 創建一個IP安全策略

　　第一步：單擊"開始"菜單，然後選擇"設置→控制面板"，在彈出的"控制面板"中，雙擊"管理工具"圖標，進入到"管理工具"中，再次雙擊其中的"本地安全策略"圖標並進入到"本地安全策略"對話框中。

　　第二步：用鼠標右擊"IP安全策略"，選擇"創建IP安全策略"命令

　　在彈出的"IP安全策略向導"對話框中，單擊"下一步"按鈕，輸入IP安全策略的名稱

　　如"屏蔽135端口"，再次單擊"下一步"按鈕，保持默認參數設置不變，直至完成位置，這樣就創建出來了一個"屏蔽135端口"的安全策略，單擊"確定"按鈕返回。

　　2、設置IP篩選器

　　鼠標右擊"IP安全策略"，選擇"管理IP篩選器和篩選器操作"，進入到相應得對話框中，在"管理IP篩選器列表"頁面中，點擊"添加"按鈕，在彈出的"IP篩選器列表"中輸入名稱"屏蔽135端口"，單擊"添加"按鈕，再點擊"下一步"按鈕。在目標地址中選擇"我的IP地址"，點擊"下一步"按鈕，在協議中選擇"TCP"(一般選擇此項，根據具體的端口設定，如關閉ICMP協議時，這裡選擇ICMP)，如圖3所示，點擊"下一步"按鈕，在設置IP協議端口中選擇從任意端口到此端口，在此端口中輸入135，點擊"下一步"按鈕，即可完成屏蔽135端口的設置，單擊"確定"按鈕返回。其他端口的設置與此類似。

　　3、篩選器操作

　　還是在"管理IP篩選器和篩選器操作"對話框，進入到"管理篩選器操作"頁面，點擊"添加"按鈕後，再單擊"下一步"按鈕，在名稱中輸入"拒絕"，點擊"下一步"按鈕。在篩選器操作中選擇"阻止"項，點擊"下一步"按鈕，這樣在管理篩選器操作中就會增加"拒絕"一項了。

　　單擊"關閉"按鈕返回到"本地安全設置"對話框中。

　　在"本地安全設置"對話框中雙擊左側窗口中的"IP安全策略 在本地計算機"，我們可以看到右側窗口中會出現"屏蔽135端口"字樣，用鼠標右擊這個新建的IP安全策略"屏蔽135端口"，選擇"屬性"。在規則中選擇"添加"，點擊"下一步"按鈕，選擇"此規則不指定隧道"，接著點擊"下一步"按鈕，在選擇網絡類型中選擇"所有網絡連接"，點擊"下一步"按鈕，在IP篩選器列表中選擇"屏蔽135端口。

　　點擊"下一步"按鈕，在出現的窗口中選中前面操作中添加的"拒絕"，單擊"下一步"按鈕，這樣就將篩選器加入到了名為 "屏蔽135端口"的IP安全策略中了，單擊"確定"按鈕返回。

　　4、指派

　　完成了"屏蔽135端口"的IP安全策略的建立，但是在未被指派之前，它並不會起作用。用鼠標右擊"屏蔽135端口"，選擇"指派"後，IP安全策略就生效了。同樣的方法還可以關閉其他的無用端口，這樣我們就親手創建一個了安全的網絡防火牆。

一：TCP/IP相關問題

　　連接端及標記

　　IP地址和端口被稱作套接字，它代表一個TCP連接的一個連接端。為了獲得TCP服務，必須在發送機的一個端口上和接收機的一個端口上建立連接。TCP連接用兩個連接端來區別，也就是（連接端1，連接端2）。連接端互相發送數據包。

　　一個TCP數據包包括一個TCP頭，後面是選項和數據。一個TCP頭包含6個標志位。它們的意義分別為：

　　SYN: 標志位用來建立連接，讓連接雙方同步序列號。如果SYN＝1而ACK=0，則表示該數據包為連接請求，如果SYN=1而ACK=1則表示接受連接。

　　FIN: 表示發送端已經沒有數據要求傳輸了，希望釋放連接。

　　RST: 用來復位一個連接。RST標志置位的數據包稱為復位包。一般情況下，如果TCP收到的一個分段明顯不是屬於該主機上的任何一個連接，則向遠端發送一個復位包。

　　URG: 為緊急數據標志。如果它為1，表示本數據包中包含緊急數據。此時緊急數據指針有效。

　　ACK: 為確認標志位。如果為1，表示包中的確認號時有效的。否則，包中的確認號無效。

　　PSH: 如果置位，接收端應盡快把數據傳送給應用層。

　　TCP連接的建立

　　TCP是一個面向連接的可靠傳輸協議。面向連接表示兩個應用端在利用TCP傳送數據前必須先建立TCP連接。 TCP的可靠性通過校驗和，定時器，數據序號和應答來提供。通過給每個發送的字節分配一個序號，接收端接收到數據後發送應答，TCP協議保證了數據的可靠傳輸。數據序號用來保證數據的順序，剔除重復的數據。在一個TCP會話中，有兩個數據流（每個連接端從另外一端接收數據，同時向對方發送數據），因此在建立連接時，必須要為每一個數據流分配ISN（初始序號）。為了了解實現過程，我們假設客戶端C希望跟服務器端S建立連接，然後分析連接建立的過程（通常稱作三階段握手）：

　　1： C --SYN XXà S

　　2： C ?-SYN YY/ACK XX+1------- S

　　3： C ----ACK YY+1--à S

　　1：C發送一個TCP包（SYN 請求）給S，其中標記SYN（同步序號）要打開。SYN請求指明了客戶端希望連接的服務器端端口號和客戶端的ISN（XX是一個例子）。

　　2：服務器端發回應答，包含自己的SYN信息ISN（YY）和對C的SYN應答，應答時返回下一個希望得到的字節序號（YY+1）。

　　3：C 對從S 來的SYN進行應答，數據發送開始。

　　一些實現細節

　　大部分TCP/IP實現遵循以下原則：

　　1：當一個SYN或者FIN數據包到達一個關閉的端口，TCP丟棄數據包同時發送一個RST數據包。

　　2：當一個RST數據包到達一個監聽端口，RST被丟棄。

　　3：當一個RST數據包到達一個關閉的端口，RST被丟棄。

　　4：當一個包含ACK的數據包到達一個監聽端口時，數據包被丟棄，同時發送一個RST數據包。

　　5：當一個SYN位關閉的數據包到達一個監聽端口時，數據包被丟棄。

　　6：當一個SYN數據包到達一個監聽端口時，正常的三階段握手繼續，回答一個SYN　ACK數據包。

　　7：當一個FIN數據包到達一個監聽端口時，數據包被丟棄。"FIN行為"（關閉得端口返回RST，監聽端口丟棄包），在URG和PSH標志位置位時同樣要發生。所有的URG，PSH和FIN，或者沒有任何標記的TCP數據包都會引起"FIN行為"。

　　如何入侵指定網站！

　　首先，觀察指定網站。

　　入侵指定網站是需要條件的：

　　要先觀察這個網站是動態還是靜態的。

　　首先