天网防火墙

“安全防火墙报警了，我是不是受到******了？是否***已经***了我的电脑啊？”、

“快来看!天网防火墙怎么出现红色惊叹号了？”。

      不要急，这证明咱们的防火墙发挥了作用，它把不合规则的数据包拦截下来了。要知道谁在做坏事，打开主界面上的“日志”按钮（点击主界面像“铅笔”一样的按钮即进入日志界面）便一目了然，在日志中我们能很清楚地发现***者的IP地址、***时间、试图***的端口号等详细信息。

　　防火墙日志简明而又全面。防火墙日志一向是天书：TCP、UDP，再加上TCP SYN……明白的看得简直头晕，不明白的看起来心慌。其实日志是防火墙很重要的功能，但很多人却不重视，也未仔细研究过日志内容。日志记录看似枯燥的数据，其实提供了大量宝贵的第一手资料，帮助我们更好地管理和维护网络。

      因此我来说明常见的天网防火墙日志，都表示些什么。点击天网主界面右上方的“日志”按钮，会看到如下信息：

      一般日志分为三行：

      第一行： 

      反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；

      第二行：：

      为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等 ，其中标志位ACK、SYN和FIN比较常用，简单含义如下：

      ACK：确认标志 

　　提示远端系统已经成功接收所有数据 

　　SYN：同步标志 

　　该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号 

　　FIN：结束标志 

　　带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。 

      RST：复位标志，具体作用未知

　　 第三行：

      对数据包的处理方法：

      对于不符合规则的数据包会拦截或拒绝，显示为：“该操作被拒绝”，意思是，此操作被天网防火墙拦截了！也就是对方根本不知道你的存在！

      对符合规则的但被设为监视的数据包会显示为“继续下一规则”。 

[10:41:30] 接收到218.2.140.13的IGMP数据包，

        该包被拦截。

      这条日志出现的频率很高。IGMP的全称是internet组管理协议，它是IP协议的扩展，主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到***，不过***可以通过编写***程序，利用windows本身的BUG，采用特殊格式数据包向目标电脑发动***，使被***电脑的操作系统蓝屏、死机。蓝屏×××一般用的就是IGMP协议。

      一般形成IGMP***时，会在日志中显示为大量来自于同一IP地址的IGMP数据包。

      不过，有时收到这样的提示信息也并不一定是***或病毒在***，在局域网中也会常收到来自网关的类似数据包；再有一些有视频广播服务的机器也会对用户发送这样的数据包，因此不用过于惊慌。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[7:11:04] 接收到 61.132.112.236 的 UDP 数据包，

    本机端口: 47624 ，

    对方端口: 40627 

    该包被拦截。

      没有什么好担心的，这是有人在用扫ＩＰ的软件在扫ＩＰ地址而正好扫到你的ＩＰ地址段,此类软件对被***主机的不同端口发送TCP或UDP连接请求，探测被***对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方的IP，如果实在太烦，你可以把你的那个端口关掉。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[9:04:18] 218.2.140.13试图连接本机的Http【80】端口，

      TCP标志：S，

      该操作被拒绝。

      如果你安装了IIS来建立自己的个人网站，开放了WEB服务，即会开放80端口。因此***扫描判断你是否开放了WEB服务，寻找相应的漏洞来进行***。一般我们所遇到的大都是别人的扫描行为，不需要过于担心了。

    如果经常收到来自外部IP高端口（大于1024）发起的类似TCP的连接请求，你得小心对方电脑是否中了“红色代码”，并试图***你（也有可能是人为使用软件***）。由于此病毒只传染装有IIS服务的系统，所以普通用户不需担心。

    若发现本机试图访问其他主机的80端口，则应检查自己系统中是否有此病毒了。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[9:04:18] 218.2.140.13试图连接本机的FTP Open Server【21】端口，

      TCP标志：S，

      该操作被拒绝。

      21端口是FTP服务所开放的端口，导致这条记录出现的大部分原因是一些网虫在使用ftp搜索软件看哪些电脑开放了FTP，以寻求软件、电影的下载。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[8:39:42] 192.168.0.123 尝试用Ping 来探测本机，

      该操作被拒绝。

      对于这条日志的理解应该不困难。我们知道PING命令可以用来测试两台电脑之间是否可以进行通讯，***在***前首先要确定目标是否连接了网络。但安装防火墙之后，即使电脑连接了网络，***PING的结果也会显示数据包无法到达，这样就会起到迷惑***的作用。出现这条日志说明可能有人用PING命令发送数据包来探测你是否开机并连在网络上，不必担心，防火墙已拦截了数据包。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[14:00:24] 10.100.2.246 尝试用Ping来探测本机，

      该操作被拒绝。

[14:01:09] 10.100.10.72 尝试用Ping来探测本机，

      该操作被拒绝。

[14:01:20] 10.100.2.101 尝试用Ping 来探测本机，

      该操作被拒绝。

　　特征：多台不同IP的计算机试图利用Ping的方式来探测本机。

　　日志中所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞，一旦发现，即把病毒传播到这些机器上。

      在排除了人为进行的ping之外，要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此，对于本机来讲，刻不容缓的事情就是要安装微软的“冲击波”补丁。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[14:01:28] 221.200.49.89试图连接本机的【135】端口，

        TCP标志：S，

        该操作被拒绝。

      同上，是利用RPC服务漏洞的冲击波类的蠕虫病毒，该病毒主要***手段就是扫描计算机的135端口进行***。更新微软的补丁还是必要的。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[11:58:08] 10.100.2.68试图连接本机的NetBios-SSN【139】端口，

      TCP标志：S，

      该操作被拒绝。

　　 特征：某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁。

　　 日志中所列IP的计算机可能感染了“尼姆达病毒”。感染“尼姆达”的计算机有个特点，会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，达到病毒传播目的。 

      139端口是NetBIOS协议所使用的端口，在安装TCP/IP 协议的同时，NetBIOS也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上***也可通过NetBIOS知道你的电脑中的一切!

      尽管在天网防火墙的监控下，此隐患没有被利用。但不能无动于衷，应把这漏洞补上。对于连接到互联网上的机器，NetBIOS完全没用，可将它去掉。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[10:42:27] 10.126.10.66试图连接本机的CIFS【445】端口，

        TCP标志：S，

        该操作被拒绝。

      445端口，一个既让人爱，又招人恨的端口，有了它，网民们可以在局域网中轻松访问各种共享文件夹或共享打印机，但正因为有了它，Internet上的“恶人”们才有了“可乘之机”，他们能躲在Internet上的“阴暗角落”里，偷偷共享你的硬盘，甚至会在悄无声息中，将你的硬盘格式化掉！

      SMB： Windows协议族，用于文件和打印共享服务。 

      NBT： 使用137(UDP), 138(UDP) and 139 (TCP）来实现基于TCP/IP的NETBIOS网际互联。

      在Windows NT中SMB基于NBT实现。 而在WinXP中，SMB除了基于NBT的实现，还有直接通过445端口实现。 当WinXP（允许NBT)作为client来连接SMB服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，以455端口通讯来继续.当445端口无响应时，才使用139端口。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[5:49:55] 61.114.78.110 试图连接本机的***冰河【7626】端口

      TCP标志：S

      该操作被拒绝

      这条记录就要注意一下啦，假如你没有中***，也就没有打开7626端口，当然没什么事。而***如果已植入你的机子，你已中了冰河，***程序自动打开7626端口，迎接远方***的到来并控制你的机子，这时你就完了，但你装了防火墙以后，即使你中了***，该操作也被禁止，***拿你也没办法。但这是常见的***，防火墙会给出相应的***名称，而对于不常见的***，天网只会给出连接端口号，这时就得*你的经验和资料来分析该端口的是和哪种***程序相关联，从而判断对方的企图，并采取相应措施，封了那个端口。 

[6:14:20] 192、168、0、110 的【1294】端口停止对本机发送数据包

      TCP标志：F A

      继续下一规则

[6:14:20] 本机应答192、168、0、110的【1294】端口

      TCP标志：A

      继续下一规则

      从上面两条规则看就知道发送数据包的机子是局域网里的机子，而且本机也做出了应答，因此说明此条数据的传输是符合规则的。为何有此记录，那是你在天网防火墙规则中选了“TCP数据包监视”，这样通过TCP传输的数据包都会被记录下来，所以大家没必要以为有新的记录就是人家在***你，上面的日志是正常的，别怕！呵呵！

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

      要特别说明的是，不是所有被拦截的数据包都意味着有人在***你，有些正常的数据包会由于你设置的安全级别过高而不符合安全规则，也会被拦截下来并报警，如你设置了禁止别人Ping你的主机，如果有人向你的主机发送Ping命令，天网也会把这些发来的数据拦截下来记录在日志上并报警。

      如果你选择了监视TCP和UDP数据包，那你发送和接受的每个数据包也将被记录下来。

    一个定义不好的规则加上记录功能,会产生大量没有任何意义的日志,并浪费大量的内存。 

      给大家说了一通了，也不知道大家能不能看懂，其实防火墙的作用就是隐藏自己真实IP的同时，监控各个端口，并给出日志，让大家分析并找出相应的对策，灵活应用防火墙能给自己机子带来比较高的安全性。当然有些病毒***是诱导用户主动访问而感染的，就要靠自己提高安全意识来防范了。总之，互联网大了，用的人多了，什么样的人都有，所以给自己机子上装个防火墙是必不可少的基本防御！

      大家千万不要嫌天网防火墙：“烦”，天网是有些像大话西游中的唐僧，但你既然选择了它，就要忍受它的“罗嗦”，其实所谓的“罗嗦”正是天网在不厌其烦的提醒你、保护你，所以要看仔细了，到底是什么程序要连线运行。

      本人能力有限，错漏难免，望指正！也欢迎高手们进来补充！！

转载于:https://blog.51cto.com/hanbing/17260