您现在的位置是:首页 > IT基础架构 > 网络与安全 >

善用防火墙 拒绝内网入侵

2008-10-15 18:15:00作者:帷幄来源:

摘要不少单位都搭建了局域网网络,以便员工们相互之间能通过网络协同工作、访问共享资源。相信多数网络管理员在防范外部入侵方面做了大量的工作,不过在将注意力集中到防范外网入侵后,来自内网的入侵却成了疏漏之处,这也是内网多次受到成功攻击的主要原因所在。...

不少单位都搭建了局域网网络,以便员工们相互之间能通过网络协同工作、访问共享资源。相信多数网络管理员在防范外部入侵方面做了大量的工作,不过在将注意力集中到防范外网入侵后,来自内网的入侵却成了疏漏之处,这也是内网多次受到成功攻击的主要原因所在。那么,非法用户究竟采用什么方法来攻击内网呢?我们又该如何拒绝来自内网的入侵呢?事实上,非法用户攻击内网的手段多种多样,不同的攻击手段需要使用不同的应对办法!不过,很多时候,我们只要巧妙地使用好身旁的防火墙程序,就能有效拒绝来自内网的多种非法入侵!

拒绝非法FTP攻击

在局域网内网中,通过FTP方式访问服务器中的重要资源是常有的事情,不过在局域网服务器中如果没有采取安全措施保护FTP连接,那么服务器就很容易遭遇到非法FTP攻击。现在笔者就将自己在单位局域网中测试通过的FTP攻击过程贡献出来,并且对这种类型的非法攻击提出防范措施。

在实施FTP攻击时,笔者先在自己的计算机系统中依次单击“开始”/“运行”命令,在弹出的系统运行文本框中输入字符串命令“cmd”,单击回车键后,将系统屏幕切换到MS-DOS命令行工作状态,在命令行提示符下输入字符串命令“ipconfig /all”,单击回车键后,我们可以从如图1所示的结果界面中看到本地计算机使用的内网IP地址;其中10.176.6.168就是本地计算机使用的内网 IP地址,而10.176.6.1是本地内网的网关地址;

接着笔者使用了外力工具SuperScan来扫描了一下本地内网,看看本地局域网网络中究竟有哪些工作站或服务器可以进行连接。运行超级扫描程序SuperScan,在对应程序界面的“起始”设置项处输入本地内网的开始IP地址“10.176.6.2”,在“结束”设置项处输入本地内网的结尾 IP地址“10.176.6.254”,再单击对应界面中的“开始”按钮,随后超级扫描程序SuperScan就会自动尝试对本地内网的所有计算机进行网络连接;要不了多长时间,我们就能从SuperScan程序界面的底部看到扫描结果,其中能够被有效连接访问的计算机IP地址前有绿色勾号标志,不能被连接访问的计算机IP地址前有红色叉号标志,假设笔者在这里找到了可以被有效连接访问的目标计算机IP地址为10.176.6.16;

寻找到被攻击的目标计算机后,笔者又使用了xsniff这样的嗅探工具来对目标计算机进行嗅探监听,以便获取目标计算机的FTP访问帐号。在使用xsniff工具进行嗅探监听时,笔者先是按照前面的操作步骤将系统工作状态切换到MS-DOS命令行状态,然后通过执行cd命令来将命令行目录切换到 xsniff工具的安装目录,之后在命令行提示符下输入字符串命令“xsinff -tcp -pass -addr 10.176.6.16 -port 21 -asc -log aaa.txt”,单击回车键后xsniff工具就能对IP地址为10.176.6.16的目标计算机进行自动嗅探监听了,而嗅探监听获取的结果信息也会被自动保存在xsniff安装目录下面的“aaa.txt”文本文件中的。

打开“aaa.txt”文本文件,笔者果然发现IP地址为10.176.6.16的目标计算机FTP密码被嗅探监听到了;之后笔者使用专业的 FTP工具与IP地址为10.176.6.16的目标计算机建立了FTP连接,在正确输入嗅探监听到的FTP帐号与密码后,目标计算机中的所有内容全部呈现在笔者的眼前了,此时笔者想对目标计算机进行破坏就怎么破坏。通过上面的FTP攻击过程,我们不难发现在内网中对目标FTP服务器进行非法攻击是非常简单的事情,如果我们不对FTP服务器进行安全保护的话,那么目标FTP服务器遭受非法攻击的可能性很大。

其实保护FTP服务器不受非法攻击的方法很简单,我们只要在目标FTP服务器中安装启用防火墙程序,来阻止各种扫描工具的非法扫描就可以了。例如,笔者在单位的FTP服务器中安装启用了瑞星防火墙程序后,不需要进行任何设置,就能拒绝超级扫描程序SuperScan对FTP服务器进行非法扫描了。一旦无法扫描到FTP服务器,那么任何嗅探工具都不能嗅探监听到FTP服务器的有效访问密码,这样一来FTP服务器遭遇非法攻击的可能性就大大下降了。

拒绝非法Ping攻击

我们知道使用Windows系统自带的Ping命令,可以测试目标计算机的网络连通性,不过也有一些非法用户常常利用该命令不停地向局域网中重要的计算机发送Ping测试信息,例如只要在MS-DOS窗口的命令行提示符下执行字符串命令“ping -1 65500 -t xx.xx.xx.xx”(其中xx.xx.xx.xx为局域网服务器的IP地址),那么本地计算机就会不停地向局域网目标服务器发送大量的数据测试信息;倘若非法攻击者在局域网中的多台计算机中同时执行“ping -1 65500 -t xx.xx.xx.xx”字符串命令,那么目标服务器系统的CPU资源以及内存资源将会很快被消耗殆尽,最终会导致服务器系统无法及时回应而发生死机现象。

要想拒绝非法Ping命令攻击,我们只要在局域网目标服务器系统中安装类似天网防火墙之类的安全保护工具,并进入到对应程序的安全设置界面,从中将“不允许别人用Ping命令探测本机”功能选项选中就可以了。当然我们手头要是没有专业的防火墙程序时,也可以利用Windows服务器系统自带的防火墙程序来防止非法Ping命令攻击。例如,本文现在就以 Windows Server 2008服务器系统自带防火墙为操作蓝本,向各位朋友详细介绍一下拒绝非法Ping攻击的设置步骤:

首先以系统管理员身份进入Windows Server 2008服务器系统,在该系统桌面中依次点选“开始”、“所有程序”、“管理工具”菜单选项,从弹出的管理工具列表窗口中双击“高级安全Windows防火墙”图标,进入Windows Server 2008服务器系统的高级安全Windows防火墙程序界面(如图2所示);

其次单击该程序界面左侧子窗格中的“入站规则”选项,之后单击操作列表子窗格中的“新规则”选项,随后屏幕上将会自动出现新建入站规则向导对话框;根据向导对话框的提示,我们先将新建防火墙的规则类型选择为“自定义”选项,之后当屏幕要求我们指定与该防火墙规则保持匹配的应用程序完整路径时,我们应该将“所有程序”项目选中,下面还要将该新建防火墙规则的协议类型选择为“ICMPv4”,同时从地端口下拉列表以及远程端口下拉列表选中“所有端口 ”,再将这个新创建的防火墙规则调整为匹配所有IP地址,最后选中“阻止连接”选项,并且单击“确定”按钮保存好上述设置操作,这样的话Windows Server 2008服务器系统就会对Ping命令测试拒绝作出应答,那样一来即使非法攻击者执行“ping -1 65500 -t xx.xx.xx.xx”字符串命令来攻击Windows Server 2008服务器系统,Windows Server 2008服务器系统工作状态也不会受到任何影响。

 

拒绝程序漏洞攻击

为了有效保护自己的计算机系统不遭遇网络病毒的攻击,不少朋友都养成了定期更新Windows系统补丁程序的好习惯,确保不给非法攻击者留下任何系统攻击漏洞。不过即使我们天天更新补丁程序保证系统没有任何漏洞,但是要是本地计算机中的应用程序自身存在安全漏洞,我们是没有任何办法进行防范的。所以,为了防止非法用户通过内网应用程序漏洞来攻击自己的计算机系统,我们同样需要“请”防火墙程序来帮忙,因为利用防火墙程序我们可以轻易地指定那些存在安全漏洞的应用程序禁止进行网络连接,以有效避免木马或其他恶意程序通过应用程序漏洞攻击自己。现在,本文就以Windows XP系统环境下的内置防火墙程序为例,来向各位朋友详细介绍一下设置防火墙程序拒绝程序漏洞攻击的操作步骤:

首先在自己的计算机系统桌面中依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,用鼠标双击Windows防火墙图标,打开系统自带防火墙程序的基本配置窗口;

其次在该基本配置窗口的“常规”标签页面中,选中“启用”选项,再单击“例外”标签,打开如图3所示的标签设置页面;单击该设置页面中的“添加程序”按钮,在其后出现的设置对话框中,将存在安全漏洞的应用程序选中并添加进来,之后取消目标漏洞应用程序的选中状态,再单击“确定”按钮保存好上述设置操作,如此一来指定的漏洞程序日后就不能通过网络进行对外访问连接了,那么非法攻击者自然就无法利用该应用程序漏洞对本地计算机系统进行非法攻击了。

小提示:

通常情况下,启用Windows系统内置防火墙是一件十分简单的事情,只要先打开Windows防火墙的基本配置窗口,进入其中的常规标签设置页面,选中“启用”选项并单击“确定”按钮就可以了。但事实上,我们有时会遇到常规标签设置页面中的“启用”选项处于灰色不可选状态,如此一来我们就无法使用常规方法来启用Windows系统内置防火墙了。其实,常规标签设置页面中的“启用”选项之所以会处于灰色不可选状态,很有可能是本地计算机中与防火墙相关的系统服务被意外关闭运行了。这个时候,我们可以尝试按照如下步骤来强行启用系统自带防火墙程序:

首先在本地计算机系统中依次单击系统桌面中的“开始”/“运行”命令,从其后出现的系统运行框中执行“compmgmt.msc”字符串命令,单击回车键后,进入对应系统的计算机管理窗口,依次点选该管理窗口左侧显示区域中的“服务和应用程序”、“服务”选项,在对应“服务”选项的右侧列表区域中双击系统服务“Windows Firewall/Internet Connection Sharing(ICS)”,打开目标系统服务的属性设置对话框;

其次单击该设置对话框中的“常规”标签,在对应标签页面中我们就能非常直观地看到“Windows Firewall/Internet Connection Sharing(ICS)”系统服务此时此刻的工作状态;要是看到“Windows Firewall/Internet Connection Sharing(ICS)”系统服务工作状态不正常的话,那我们只要单击对应标签页面中的“启动”按钮,先将目标系统服务成功启动起来,之后再将该服务的启动类型参数设置为“自动”,最后单击“确定”按钮保存设置操作;

这么一来,当我们再次打开Windows防火墙的基本配置窗口时,就可以发现常规标签设置页面中的“启用”选项又能被正常点选了,此时只要重新选中“启用”选项,再单击“确定”按钮Windows系统内置防火墙就可以被成功启用起来了。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们