荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: Mic (至酷霸王丸), 信区: Virus
标  题: [转载] Norton个人防火墙完全解析
发信站: 荔园晨风BBS站 (Wed May 23 12:32:53 2001), 站内信件

【 以下文字转载自 Security 讨论区 】
【 原文由 netlife 所发表 】
概述

  随着Internet的发展,越来越多的计算机被连接到了Internet上。与此同时,
没有安全保证的连接会使用户的计算机面对黑客的攻击、病毒的入侵和其他
Internet上的威胁束手无策。因此目前出现了大量个人防火墙(Personal
Firewall)软件。使用这些软件可以使用户的计算机在很大程度上避免受到来自
Internet的攻击,其中以Norton工作组出品的Norton个人防火墙最为有名。

  Norton个人防火墙软件由两部分组成:个人防火墙和个人隐私保护。个人防火
墙可以使用户的计算机免于受到外部攻击,提高计算机安全性;个人隐私保护可以
使用户计算机上的个人信息受到保护。

  个人防火墙在用户的计算机和Internet建立起一道屏障,即我们常说的防火墙
(Firewall)。防火墙的可以根据用户的要求隔断或连通用户的计算机与
Internet间的连接。用户可以通过设定规则(rule)来决定哪些情况下防火墙应该
隔断计算机与Internet间的数据传输,哪些情况下允许两者间的数据传输。
Norton个人防火墙可以自动为用户检测大部分用户计算机和Internet交换的数据,
并自动决定这些数据是否是需要受到保护的数据。当一个Norton个人防火墙无法识
别的应用程序试图从Internet上读入或向Internet输出数据时,个人防火墙会自动
弹出一个警告,同时规则设定向导会帮助用户为这个应用程序设定新的规则。

  当我们浏览一个网页的时候,很多情况下,浏览器中会运行一些ActiveX控件
和Java Applet程序。正常情况下,这些程序是安全的,但是在少数情况下,他们
可能会对用户的计算机产生危害。在没有用户许可的情况下,个人防火墙禁止
ActiveX控件和Java Applet程序在浏览器中运行,也可以让用户设定只有从某些用
户认为是安全的站点下载下来的ActiveX控件和Java Applet程序可以运行在用户的
浏览器上。

  如果用户的计算机上保存有一些重要资料或数据,如身份证号码,信用卡号码
等,用户不会希望这些重要信息未经加密就在Internet上传输。个人隐私保护程序
可以防止用户在不安全的网站上输入这些信息。另一方面,当浏览一个站点后,浏
览器会生成一个Cookie文件,该文件可以被网站用来跟踪用户访问的情况。个人防
火墙可以阻止Cookie文件向网站发送信息,同时也可以阻止浏览器向网站发送诸如
电子邮件地址或上一个访问的网站等信息。

  设定安全功能(Security)
  计算机连接到Internet上的时间越长,连接速度越快,受到攻击的可能性越大
。一般来说,网上的威胁有以下三种:病毒,各种Active控件和Java Applet,木
马病毒。病毒的危害大家都很清楚。Active控件和Java Applet的威胁在于它们是
在本地运行。相比之下,由于Java Applet不可以访问I/O,并且只可以连接到提供
Java Applet的IP地址,对用户可能造成的危害相对较小;而利用Active控件,黑
客就有可能获得存储在本地计算机上的文件以及盗取个人密码等。木马病毒通常会
以邮件附件和浏览器插件的形式出现,一旦侵入计算机,它们可以获得计算机的控
制权,盗取密码,向外界传输一些重要的文件。Norton个人防火墙可以使用户在享
受Internet的同时防止外界的入侵。例如当一个新的连接试图被建立时或一个
ActiveX控件在用户的计算机上运行,个人防火墙会发出警告,由用户决定如何处
理该连接或运行请求。

图表 1

  通过选择开启安全功能项(Enable Security),用户可以开启个人防火墙。
通过图1中的滚动条可以设置个人防火墙的安全功能。安全功能的设置包括高级(
High),中级(Medium)和低级(Minimal)。下面列出了各种设置的具体含义:


  高级:所有网络连接都需要用户的许可,在运行ActiveX控件和Java Applet前
会要求用户的许可。
  中级:所有网络连接都需要用户的许可,在运行ActiveX控件和Java Applet时
不弹出提示要求用户的许可。
  低级:仅阻止已知的不安全网络连接,在运行ActiveX控件和Java Applet时不
弹出提示要求用户的许可。

  对于上网的朋友,可以使用中级选项。如果用户对缺省设置不满意,用户也可
以改变防火墙的设置。点击Custom Level按钮后,程序会弹出一个对话框。

图表 2

  在这个对话框中,有三个列表框:个人防火墙项(Personal Firewall)指定
防火墙如何应用规则,选项包括高级(High,所有网络连接都需要用户的许可)、
中级(Medium,仅阻止已知的不安全网络连接)和无规则(None,允许所有网络连
接);Java Applet和Active控件安全项可以控制当浏览器从网络中下载Java
Applet和Active控件后如何处理它们,选项包括高级(High,禁止所有Java
Applet和Active控件在本地运行)、中级(Java Applet和Active控件在运行前需
要获得用户许可)和无规则(None,允许所有Java Applet和Active控件在本地运
行)。

  对话框中还包括了两个选择框:允许防火墙发出警告(Enable Personal
Firewall Alerts)和隐藏未使用的端口(Silently Stealth Unused Prots)。当
一个连接试图连接到一个特定端口,并且该端口上没有服务程序监听,选择隐藏未
使用的端口项可以禁止防火墙发出不必要的警告。因为该端口上没有服务程序监听
,所以这个连接不会成功,就无法对用户的计算机造成伤害。当一个应用程序试图
连接到网络上,并且没有相应的规则适用于这个应用程序,如果允许防火墙发出警
告项,防火墙程序会弹出一个对话框。用户可以在该对话框中设定暂时允许或禁止
该连接,也可以为该应用程序设定一个规则。如果没有选择该框,所有没有设定规
则的应用程序都无法建立网络连接。

  如果用户希望恢复默认设置,在设定安全功能的界面中点击恢复默认设置按钮
(Default Level),系统会把安全功能设定为中级。

  在防火墙的功能设定中,防火墙规则(rule)也起非常重要的作用。有两种创
建规则的方法:一种是让防火墙应用程序自动为用户创建规则。当用户安装
Norten个人防火墙时,安装程序会提示用户是否让安装程序自动搜索一些常见的程
序并为这些程序自动设定规则(如图3所示)。这些常见的程序包括Internet浏览
器、电子邮件程序、游戏、网络工具程序等。

图表 3

  另一种方法是使用规则向导来建立规则。当一个应用程序企图建立网络连接,
并且没有对应的规则控制这个连接,防火墙会启动规则向导帮助用户建立一个可以
供该应用程序使用的规则(规则向导如图4所示)。在向导中,用户可以知道是哪
个应用程序请求建立网络连接,什么时间该程序发出连接请求以及远端服务名称和
地址。用户可以选择禁止建立该连接(Block this network communication
this time)或允许该连接使用一次(Permit this network communication
this time)。当然用户也可以选择创建一个该应用程序可以使用的规则(
Configure a rule for the future),然后规则向导会要求用户从一系列的选择
框中进行选择,向导根据用户做的选择建立规则。第一组选择框中的选项包括:使
用自动配置功能(Use Auto Configure)、总是允许该连接(Always permit this
 network communication)、总是禁止该连接(Always block this network
communication)、允许该程序通过任何端口连接到网络(Permit application
total access to the internet on all ports)和禁止该程序通过任何端口连接
到网络(Block application total access to the internet on all ports)。
当使用自动配置功能项可用时,建议用户使用该项。如果用户选择的是总是允许该
连接或总是禁止该连接,向导会询问用户该规则适用所有端口还是特定端口,适用
的网络地址为所有网络地址还是特定网络地址。一旦规则被建立,以后该应用程序
建立的所有网络连接都会遵循该规则。

图表 4

  另一种规则是Java Applet和ActiveX控件规则,它的作用对象是Java Applet
和ActiveX控件。为了阻止一些具有攻击性的Java Applet或ActiveX控件在用户的
计算机上造成破坏,最好的方法就是阻止它们被下载到计算机上。但是,禁止下载
所有的Java Applet和ActiveX控件是不可行的,原因很简单:现在很多网站上都含
有Java Applet或ActiveX控件,禁止下载这些Java Applet和ActiveX控件会影响网
页的正常显示。Norton个人防火墙中包含了一个Java Applet和ActiveX控件规则向
导,通过设定规则,用户可以从用户信任的网站或域中下载Java Applet和
ActiveX控件,而对于用户不信任的网站,用户可以禁止计算机下载它们。Java
Applet和ActiveX控件规则向导如下图所示。在向导中,用户可以知道当前请求下
载的是Java Applet还是ActiveX控件(Execute Type项),它来自于哪个域或网站
。如果用户希望用户做的设定以后都有效,可以选择永远禁止从该域或网站下载
ActiveX控件(Always block ActiveX Controls from the domain or site)或永
远允许从该网站或域下载ActiveX控件(Always permit ActiveX Controls from
the domain or site)。如果用户希望用户的设定仅对本次下载请求有效,用户可
以选择禁止本次下载(Block this ActiveX Control)或允许本次下载(Permit
this ActiveX Control)。用户也可以自己定义规则,其方法与定义防火墙规则相
似,在此就不再累述。

  设定个人隐私保护(Privacy)
  对于计算机来说,仅仅有安全功能是不够的,因为安全功能无法保护用户的个
人信息。当用户在互联网上浏览时,一些网站会收集大量用户的个人信息。个人隐
私保护控制功能可以使保护用户保存在计算机上的一些个人信息,使它们不会被轻
易发送到互联网上去。用户可以把用户认为重要的信息输入一张列表,个人隐私保
护会禁止该表中的任何信息被发送到用户不信任的网站。如果用户认为有人会从本
地的计算机上直接窃取这些信息,用户可以只输入部分信息,如用户可以只输入用
户名或密码的一部分。

  图5是设定个人隐私保护的界面。选择开启个人隐私保护(Enable Privacy)
可以启动该功能。个人隐私保护的设置包括高级(High),中级(Medium)和低级
(Minimal)。下面列出了各种设置的具体含义:

  高级:每当重要的信息或Cookie被发送到非安全网站(non-secured web
site)前,会要求用户确认该次发送。网站无法从计算机上获取浏览器上一次访问
的网站和电子邮件地址的信息。
  中级:每当重要的信息被发送到非安全网站(non-secured web site)前,会
要求用户确认该次发送。但是发送Cookie时不要求用户确认。网站无法从计算机上
获取浏览器上一次访问的网站和电子邮件地址的信息。
  低级:发送信息前不要求用户确认。但是网站无法从计算机上获取浏览器上一
次访问的网站和电子邮件地址的信息。

图表 5

  使用中级选项可以满足大部分用户的需求。如果用户对缺省设置不满意,用户
也可以改变防火墙的设置。点击Custom Level按钮后,程序会弹出一个对话框如图
6所示。

图表 6

  在重要信息项(Confidential Information)中,用户可以选择禁止向网络传
送重要信息(High),每次传送前须获得用户许可(Medium)和不限制向网络传送
重要信息(None)。在禁止Cookie项(Cookie Blocking)中,用户可以选择禁止
使用Cookie(High),每次使用Cookie前须获得用户许可(Medium)和可以使用
Cookie(None)。选择启动浏览器隐私(Enable Browser Privacy)功能可以禁止
浏览器向网站发送上一次访问的网站和电子邮件地址的信息。选择允许安全连接功
能(Enable Secure Connections)允许用户通过HTTPS协议连接到网站。当用户浏
览一个安全网站的时候,浏览器和网站之间通过HTTPS协议建立起了一个加密连接
,在该连接上传送的所有数据都经过了加密,因此个人隐私保护无法确定其中是否
包含重要信息。如果不希望重要信息通过加密连接被传送到网络,你可以不选择该
项,个人隐私保护会禁止所有与安全网站的连接。

  在个人隐私保护禁止Cookie时,它仅禁止Cookie向外传输。在这里,有必要简
单解释一下什么是Cookie。简而言之,Cookie是网站服务器存储在用户计算机上的
一些信息,通过这些信息,网站服务器可以知道用户访问该网站的次数和每次访问
的时间,以及用户每次浏览了哪些内容。当然,有些Cookie还可以记录其它一些相
对敏感的个人信息,例如用户在网站上的登陆名称和密码。当网站服务器向用户发
送Cookie时,个人隐私保护会允许用户计算机接受该Cookie。但当同样的信息被发
送回网站服务器时,如果你没有在允许发送Cookie的网站列表中加入该网站的名称
,个人隐私保护会禁止发送该Cookie。这样做的原因是由于网站服务器向用户计算
机发送Cookie的方式是多种多样的,但是用户向网站发送Cookie的方式只有一种,
个人隐私保护截断唯一的途径,也就保护了用户的隐私。同时,个人隐私保护还会
在日志中记录禁止过或发送过哪些Cookie和禁止或发送的时间。

  在Privacy窗口中点击重要信息(Confidential Info),会弹出设置重要信息
的窗口(如图7所示)。在该窗口中列出的所有信息在没有获得用户许可的情况下
都会被禁止向网络传送。

  需要注意的是,个人隐私保护只能禁止通过HTTP协议传送的信息,并且它不能
禁止向安全站点(Secure Web Site)发送重要信息,因为安全站点使用的是
HTTPS协议。在此窗口中,你可以添加(Add)、删除(Remove)或修改(Modify)
重要信息。

图表 7

  当你点击添加或修改按钮时,会弹出添加或修改重要信息的对话框(如图8所
示)。在该对话框中,你需要设定重要信息的类型(Type of information to
protect)、名称(Descriptive name)和信息本身(Information to protect)
。如前所述,你可以只输入信息的一部分,例如你银行帐号的后四位。另一个需要
注意的问题是在列表中的信息和用户需要保护的信息具有一致性。例如用户希望保
护(021)3748629这个电话号码,可能在一些情况下,该电话号码会被输入为
021-374-8620,也可能被输入为021-3748629。因此,在列表中包含该号码的后四
位比输入所有号码要好。

图表 8

  Norton系统要求:
  133MHz或以上奔腾系列芯片
  Window 95 OS2, Windows 98, Windows 98 SE, Windows NT 4.0或Windows
 2000专业版
  24MB内存(如果操作系统是Windows NT或Windows 2000,需要32MB内存)
  10MB硬盘空间
  Microsoft Internet Explorer 4.0,Netscape Navigator 4.0及以上版本

--
                     Wellcome to my FTP FTP://192.168.48.13
                         提供光盘刻录服务
                 -----------------------------------------------
                      数据光盘  音乐光盘  视频光盘  光盘复制
                   每张15元,包括700M光盘。多刻的价格可以商量:)

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.13]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店