20CN网络安全小组论坛 - 菜鸟乐园 - 风云防火墙使用详解

论坛: 菜鸟乐园标题: 风云防火墙使用详解

复制本贴地址

作者: w751953 [w751953]

论坛用户

[/size][size=2]风云防火墙1.1版启动画面及功能：

[/size]
[size=2]一、独特创新的木马数据包特征码拦截技术，木马程序一旦被列入病毒库,无论如何加壳伪装都能完全实施拦截;
二、强大的密码保护功能，彻底拦截WH_KEYBOARD, WH_JOURNALRECORD, WH_GETMESSAGE, SendMessage等键盘记录软件功能;
三、全新智能的侦测、拦截、询问已知加壳的程序运行功能，可安全确定加壳程序软件的运行安全性;
四、简单、完整、实用的防护规则、IP端口规则,程序规则使用底层驱动，完全有效防护系统安全;
五、便捷的网络连接查看、显示远程IP地址、远程物理地址，所有网络连接一目了然;
六、自动检测隐藏进程，同时可以对进程进行定位、查看属性、终止进程等一系列操作;
七、自动检测隐藏服务，使隐藏服务的木马无处遁形,瞬时显现隐藏服务，删除隐藏的木马服务；
八、防火墙自身保护功能，遇非法终止后自动封锁本地网络，确保本机安全。
[/size]
[size=2]风云防火墙1.2测试版启动画面及功能：

一、独特创新的木马数据包特征码拦截技术，木马程序一旦被列入病毒库,无论如何加壳伪装都能完全实施拦截。

二、强大的密码保护功能，彻底拦截WH_KEYBOARD, WH_JOURNALRECORD, WH_GETMESSAGE, SendMessage等键盘记录软件功能。

三、全新智能的侦测、拦截、询问已知加壳的程序运行功能，可安全确定加壳程序软件的运行安全性。

四、简单、完整、实用的防护规则、IP端口规则,程序规则使用底层驱动，完全有效防护系统安全。

五、便捷的网络连接查看、显示远程IP地址、远程物理地址，所有网络连接一目了然。

六、自动检测隐藏进程，同时可以对进程进行定位、查看属性、终止进程等一系列操作。

七、自动检测隐藏服务，使隐藏服务的木马无处遁形,瞬时显现隐藏服务，删除隐藏的木马服务。

八、防火墙自身保护功能，遇非法终止后自动封锁本地网络，确保本机安全。

九、文件监控防护功能，可以自定义任意文件夹的新建文件一系列操作。

十、ARP保护功能，可以针对ARP欺骗数据包，和局域网终结者进行有效防御。

不知正式版如何，期待中。。。。。。。

程序安装：

指定文件安装目录，一般选择上图系统默认路径即可。

安装程序要求要求在此对话框界面中填入当地主机局域网IP地址，但经测试发现，无论对于内外网用户，局域网地址均可不予添加，防火墙软件启动时会自动进行查找确认，对于缺乏网络基本知识不很了解自己局域网地址的用户，极为便利。

风云防火墙的安装仅仅是在注册表里增加了必要的安装，卸载信息，以及程序网络底层驱动服务的注册及自动加载键值，特别简洁清爽。

重新启动电脑，显示画面：

这绝对是一个极令人耳目一新的程序启动界面，WOLF--给人以敏锐，犀利，冷傲，勇猛、高贵--心灵为之激荡的感觉。
下为程序主界面：

直观条理，简洁分明的设计风格，该测试版本目前只提供了5种色彩格调的SKIN可供选择，在后续正式版本中应该会在此基础上有很大程度的丰富和改良，拭目以待......

主界面默认开启的是网络状态窗口，即显示当前系统所有网络进程，包括协议，本机端口，远程地址，远程端口，应用程序路径及名称，一目了然!

点击程序规则，如下图:

此处可对对风云防火墙允许或禁止通信的所有进程（包括应用程序，系统服务等）进行增删编辑修改，确认无误后可以导出程序规则指定路径保存以做备份或应用于其它网络主机。初次启动任何一个应用程序企图进行网络连接时，风云防火墙都会弹出如下应答提示窗口，对于常用信任的网络访问程序，可以选择该程序以后都按照这次的操作运行，点击允许即可!

下为程序规则编辑编辑窗口:

上图以MAXTHON（傲游浏览器）为例进行设置，一般情况下浏览网页HTTP服务只用到80端口，为了加强安全性我做了如上的设置，可能很多朋友对这里的监听端口概念不是很理解，顺便讲一下：监听端口即是一种网络等待服务，监视对应端口是否收到相关服务连接请求，然后迅速做出响应，否则会大大降低网络性能甚至阻断网络连接。在局域网中监听功能（前提是具备支持UPnP自动端口映射的网关）以使获取更多的外网链接，可以大幅提高网络传输速度，例如对于BT类下载软件，显得尤为重要。

然后点击打开IP端口规则窗口，见下图:

IP端口规则设置是任何一款防火墙作为安全防护软件的重要核心部分，它是规定了允许或禁止外来IP和端口与本机连接（包括接收，发送，双向传输）的一组规则的集合。先简述一下几个基本概念：

【网络端口--计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。例如常用的137、138、139端口，用于提供NETBIOS Name Service服务。其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。在通常状态下，系统这些端口是默认开放的，就常常会被黑客或木马病毒利用，对计算机系统进行攻击。端口规则设置的作用就在于保证正常网络连接的前提下，封闭系统端口漏洞，达到网络安全防御的目的。】

需要说明的是风云防火墙的默认IP端口规则也是基于否定在先原则的，就是首先封闭一切端口连接，在此基础上采取个别信任方式，以使正常网络访问行为能够顺利进行，屏蔽所有非法访问。事实上复杂的端口规则设置需要掌握很多的专业网络知识才能合理操作，也只适用于特定的网络环境。而以牺牲用户很大的心力为代价去编辑设置规则也绝不应当是软件厂商和应用者的初衷。了解网络端口常识的朋友从前面风云防火墙内置的默认IP规则立即可以得出初步结论，它已经具备防御所有通常性网络攻击（这个问题在后文将会重点探讨）的效能，从这个意义来讲，风云防火墙这种设计的易用性和可靠性是无疑是很出色的。

朋友们还应该认识到关于IP端口规则设置的一个误区，即端口规则的设置与规则文件包并非越复杂越优良。据我所知，个别防火墙软件的IP规则设置文件大小甚至达到了M的数量级，为什么呢？因为很多用户感觉多一条规则多一份塌实，坦白的讲，那些规则频繁无度的升级增容本质上只是用来迎合大家这种空洞的心里需求而已，并无任何实际意义！这种现象已经不只是个单纯的网络技术问题，N（关闭）→Y肯定（开放）→N否定（关闭）→Y肯定（开放）这种圆周式反复迂回的逻辑原理在理论上可以把IP端口规则的数目扩展到无穷而依然正确无误，这同时也是个别防火墙软件占用系统资源巨大，降低网络性能的一个主要原因！

防火墙日志记录是用来记录其工作状况（包括触发时间，对方IP地址，使用端口等事件详细描述，防火墙所采取的防护手段）并提供用户查阅备案的，可以随时保存或清除。在IP端口规则的设置中一般按照只需记录非法入侵数据的原则开启日志记录功能即可，对于正常而频繁的网络访问行为没有必要打开这个选项。

下为系统启动项的常规启动项界面：

上图红框中为网络神偷Nethief服务端的隐藏自启动项目【网络神偷Nethief是一个远程文件访问工具，可对本地及远程驱动器进行：新建文件、新建文件夹、查找文件、剪切、复制、粘贴包括：本地文件操作、上传、下载、同远程主机的文件复制与移动、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等操作，并且所有操作均支持多选及文件夹操作。服务端运行原理与一般的远程控制黑客程序不同，它利用“反弹端口”原理――服务端（被控制端）主动连接客户端（控制端），为了隐蔽起见，一般使用提供HTTP服务的80端口作为监听端口，随着IE浏览器的开启即可进行远程数据传输。而控制端发给服务端的数据是通过一个第三方的一般用一个主页之类的网络空间来实现，控制端通过FTP写主页空间上的一个文件，而服务端定期用HTTP协议读取这个文件的内容获取指令，当发现控制端允许连接时，就进行主动连接。这样，即使用户使用专业端口扫描软件检查自己的端口，也难以发现，控制端就可以穿过防火墙，甚至还能访问局域网内部的电脑。】

下图为服务启动项界面：

红色图示为检查服务启动项目时，找到的一个隐藏服务--灰鸽子服务端程序。【灰鸽子木马分两部分：客户端和服务端。攻击者操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe。（上面这个2006最新版本的灰鸽子木马病毒服务端名称为Windows XP Vista，可谓与时俱进）。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。】

一般来讲绝大多数的木马病毒都会寻找隐藏的服务和进程自动运行以达到随时发动而不为人察觉的目的。常规启动项和服务启动项检查可以准确了解随系统自动启动的所有应用程序及服务，令这些隐蔽性危害性极强的木马病毒无所遁形，发现可疑项目可以点击选中后后按删除选定将其删除。仅从优化系统性能的角度考虑，即使是安全的应用程序和服务在跟随系统同时启动之际的数量也是少少益善。此界面的安全优化服务功能，即可用来针对性的安全关闭多项不需要的系统服务。

这是文件关联项界面:

多种病毒会在运行时对注册表进行恶意修改，造成默认文联错误，使用户在在打开常规文件项目时系统对其直接调用，达到加载运行的目的，导致系统不能正常运行。发现可疑文件关联，点击自动修复即可恢复正常文件关联，防止该类型文件为病毒利用。请见下图：

这里要提到的是，风云防火墙作为一款安全防护软件，目前这个实用功能只是基于系统安全防护角度考虑的，它只监控修改注册表[HKEY_CLASSES_ROOT\txtfile\shell\open\command]@="NOTEPAD.EXE %1"这个关键键值，对于非安全性方面的系统文件关联错误非关键键值并未加以考虑。

以下是特洛伊检测shell插件界面：

通俗理解，shell插件就是IE浏览器插件，虽然IE的功能越来越强大完备，但并非就是全能，很多时候我们可能还是不得不借助某些第三方软件来完成一些特殊任务。如果你不想为了某一个功能安装其他浏览器的话，可以安装相应的插件，这样就可以为浏览器强身健体，实现功能扩展，从而使其完成一些过去看起来无法完成的任务，例如让IE支持断点续传、快速搜索关键词、多窗口打开新页面、自动填写表单、网页翻译、直接查看EXIF信息等。同时，这也很容易被某些恶意软件或广告程序利用，打开浏览器之后自动加载一些影响用户上网操作和网络性能的Shell，也带来很多安全方面的威胁，称为恶意插件！按照其危险破坏程度的一般分为高中低三类。对于确认的恶意或无用插件，选定后可以立即进行删除。如下图是删除恶意插件后的界面：

这里需要提到的是该功能现今对于某些顽固流氓恶意插件，例如百度搜霸，网络实名等尚不能做到彻底成功清除，可以适当考虑进一步改进，增强广谱查杀能力。为用户省却需再另外安装其他恶意流氓软件查杀工具的麻烦岂不功德圆满，皆大欢喜。

下是进程查看界面：

此界面可查看系统目前运行的所有进程及其进程路径，进程ID，软件厂商，行为描述，子模块调用等详细信息，可找出隐藏进程，并可对危险进程进行选定后，点击终止选中进程窗口按钮进行强制性终止。

下为防范规则界面：

这里所指的防范规则就是对加壳程序，线程注入程序运行所指定的特殊规则。与前面讲到的程序规则设置基本相同，可以在程序初次运行时出现如下应答提示窗口时选择允许禁止，也可在这个界面中进行规则的增删修改，同样支持导入导出规则。这里还要提到几个常识性概念。

【加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，通知CPU进行运算。，只有你机器配置极低，才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时，其实就是令可执行的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些工作只是在内存中运行的，难于了解具体运行的指令方式。通常说的对外壳加密，都是指软件被一些专门的加壳程序加壳，基本上是对程序的压缩过程。因为有的时候程序过大，需要压缩。但是大部分的程序是因为防止反跟踪调试，防止算法被别人静态分析。加密代码和数据，保护你的程序数据的完整性。不被修改或者窥视你程序的内幕。鉴于这个原理，很多病毒为了防止遭遇查杀，隐藏运行，都会进行加壳处理，甚至使用不同的加壳工具层层加壳。】

【线程注入：一种常见的程序运行特殊手段，往往木马服务端通过代码注入，将自己注入到一个可以合法的与外界进行网络通讯的进程(比如 IE, ICQ, OICQ, IIS等）的地址空间中，然后或者可以以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网络系统调用(WinSock)。后者的实现可能要麻烦一些。如果是以新线程的形式运行，那么然后或者可以被动侦听，或者可以主动连接。在系统运行过程中，一些正常合法软件（大多是即时通信类）也往往会有线程注入其他系统服务或模块的行为，这需要自己积累一定的相关经验，加以正确判断。】

下面是体现风云防火墙侦壳与防止危险线程注入功能的一组实测图片（限于篇幅只能部分提供），经过多种类型的测试足以表明它的这个特色功能是很强大完善的。

最下是文件监控窗口：

这个功能是实时监控指定文件路径，文件格式（扩展名）所有相关文件的属性变更，它的主要作用在于防止病毒，恶意软件隐形进行非法的后台安装，扫描用户文件被未经授权的更改。这是风云防火墙新增的另一个很实用的特色功能。在上面的界面中用户可以点击文件监控自定义参数进行自主修改，各类型的扩展名以".*"格式依次填入，例如要增加对.txt文件的监控在文件监控类型框里.EXE.DLL紧跟输入.TXT按确定即可。这个设置的变更需要重新程序方可生效。不宜随意增加监控文件目录或类型否则会触发频繁气泡提示或声音报警以及文件监控日志记录。

下为监控事件记录：

再返回程序主界面，打开文字标题栏设置--详细设置或图标工具栏系统设置，首先出现如下监控设置界面，建议普通用户全部选择开启以达到全方位的保护目的。

向右依次是注入线程排除程序：

系统默认设置里排除了XDICT.EXE（金山词霸），GAMECLIENT.EXE（浩方对战平台客户端）。在这里你可以手动增加确认安全的注入线程程序名称或进行删除。

ARP保护：

点击选择启用ARP保护功能，将本地及网关IP地址分别填入，按“读取MAC”按钮得到如上图二者MAC值，确认退出即可。（MAC是媒体存取控制的简称，MAC地址是数据链路层的MAC子层的地址，用于在局域网上通讯时确定发送方和接收方。MAC地址即是网卡的硬件地址。也就是IP实际地址，）

【IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些主机或服务器，或对数据流进行简单的修改。这就是ARP欺骗的简单原理。】

其他设置：

对启用声音提示，日志记录，图标闪烁，任务栏气泡提示开启关闭的选项设置。顺便提一下任务管理器增强插件。在打开此选项后，风云防火墙会直接插入系统TASKMGR（任务管理器进程）对系统当前运行进程实时监控。图中蓝色标识的是系统关键进程（系统正常运行的高优先级必要进程），不可被外部强行终止。

密码保护功能：

对用户输入的密码提供保护，防止密码泄露。彻底拦截WH_KEYBOARD,WH_JOURNALRECORD,WH_GETMESSAGE, SendMessage等键盘记录软件.这里需要注意的是不可与其他类似功能安全防护软件同时开启。防止内存溢出，造成系统错误。

密保功能和密码记忆2006同时开启的情况下，QQ登录对话框密码栏的红色异常警示：

断开网络功能：

关闭所有端口，切断一切网络连接。在风云防火墙遇到其他不明程序进程非法终止后会自动断开网络，保护主机安全，这种情况比较罕见，不做赘述。

修复IE故障与Hosts文件编辑:

上网冲浪，IE是最首当其冲的必要软件，也正因为如此，使它成为众多木马病毒恶意软件集中攻击下手的目标，稍有不慎即会少腿断脚面目全非，无法正常运行，所以这个修复功能就显的很有必要了。

【以下着重介绍一下Hosts文件编辑。Window系统中有个Hosts文件（无扩展名），在Windows 98系统下该文件在Windows目录，在Windows 2000/XP系统中位于C:\Windows\System32\Drivers\Etc目录中。该文件其实是一个纯文本的文件，用普通的文本编辑软件如记事本等都能打开。在上方窗口点击Hosts文件编辑打开hosts文件，这个文件是根据TCP/IP for Windows 的标准来工作的，它的作用是包含IP地址和Host name主机名的映射关系，是一个映射IP地址和Host name主机名的规定，规定要求每段只能包括一个映射关系，IP地址要放在每段的最前面，空格后再写上映射的Host name主机名��。对于这段的映射说明用“#”分割后用文字说明。

Hosts工作原理：我们知道在网络上访问网站，要首先通过DNS服务器把网络域名（ http://bbs.218.cc ）解析成61.152.248.9的IP地址后，我们的计算机才能访问。要是对于每个域名请求我们都要等待域名服务器解析后返回IP信息，这样访问网络的效率就会降低，而Hosts文件就能提高解析效率。根据Windows系统规定，在进行DNS请求以前，Windows系统会先检查自己的Hosts文件中是否有这个地址映射关系，如果有则调用这个IP地址映射，如果没有再向已知的DNS服务器提出域名解析。也就是说Hosts的请求级别比DNS高。
知道了Hosts文件的工作方式，那在具体使用中它有哪些作用呢?
对于要经常访问的网站，我们可以通过在Hosts中配置域名和IP的映射关系，这样当我们输入域名计算机就能很快解析出IP，而不用请求网络上的DNS服务器。在很多的局域网中，会有服务器提供给用户使用。但由于局域网中一般很少架设DNS服务器，访问这些服务要输入难记的IP地址，对不少人来说相当麻烦。现在可以分别给这些服务器取个容易记住的名字，然后在Hosts中建立IP映射，这样以后访问的时候我们输入这个服务器的名字就行了。

现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中，有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或自己计算机的IP，这样就不用访问了。比如不想访问 http://www.XXX.com ，那我们在Hosts写上以下内容：
127.0.0.1 http://www.XXX.com# 屏蔽的网站
0.0.0.0 http://www.YYY.com# 屏蔽的网站
这样计算机解析域名就解析到本机或错误的IP，达到了屏蔽的目的。

对于Lotus的服务器以及一些数据库服务器，在访问时如果直接输入IP地址那是不能访问的，只能输入服务器名称才能访问。那么我们配置好Hosts文件，这样输入服务器名就能顺利连接了。最后要指出的是，Hosts文件配置的映射是静态的，如果网络上的计算机变更了IP地址请在Hosts文件内及时修改，否则将导致不能访问。】

风云防火墙内存和CPU资源占用情况以及对网络性能的影响：

正常状态下（普通网页浏览，运行即时通讯工具软件）内存使用206-786K，网络防御触发警报状态下1856-3562K，CPU占用通常为0，偶尔1-2%，在打开主界面进行各种操作设置时，峰值最高达41%，但在＜1-2秒的短暂时间内迅速回复弹至正常范围。未观察到对网络性能的影响。

注册：

由于本版属于内部测试版，并没有注册窗口。实际上，风云的注册版誉为注册版在功能上没有差别，注册码只用于升级，大家可以在新版本发布之后重新下载安装。（注册社区有机会获得注册码的）

官方下载

[size=4]风云社区[/color]

地主发表时间: 06-10-04 02:22

论坛: 菜鸟乐园