【转帖】抛弃占用资源的防火墙，自己做好防护工作

小涛999

抛弃占用资源的防火墙，自己做好防护工作  


     我相信大家总有这种感觉，总是怕别人入侵自己的电脑，但是用了防火墙又影响了自己的电脑的性能，很希望能由一个比较完美的解决方案。而我作为一个网络管理员，在实践中也积累了一定的经验，希望在这里和大家交流一下，怎么样才能舍弃浪费系统资源的防火墙，自己解决系统防护问题。
我管理的网络是以WIN2000 SERVER为基础的P2P+P2S的混合路由网络，所以必须注重外来和内在的攻击威胁。而我的做法通常如下：（WIN2000）

1、安装系统过程中，明确分区的职能，必须使用NTFS分区，软件与系统的分区不能混淆，而且要考虑临时文件的存放分区，举个例子，DELL POWEREDGE S4400服务器，实行RAID 0配置，共60G容量，容错，分成C\\D\\E\\F共四个区域，其中C:作为系统分区，除此之外皆免，D:作为软件分区，顾名思义，只作服务器软件安装用途，E:可以考虑作为WEB\\FTP\\SMTP服务之用，F:纯粹的临时文件分区，就是在安装系统之后，通过我的电脑---〉单击右键，选择属性---〉高级---〉环境变量中设定用户临时变量存放路径以及系统临时变量存放路径为F:\\TEMP，加上在INTERNET选项中把其中的临时文件夹移动到F:。

2、设置各分区的用户权限，把EVERYONE权限级别降低，使其与USER或GUEST用户组的权限相当。然后加入ADMINISTRATOR用户组，赋予全权。

3、进入管理工具，配置用户，把默认配置的用户（除ADMINISTRATOR）全部停权，对ADMINISTRATOR用户更名，配备超级密码（例如：hfxe2771016&&）*@!），然后新增用户，赋予全权并配备超级密码，作为admin的后备账号，然后新增用户，更名为ADMINISTRATOR，赋予最低权限并配备超级密码，作为入侵陷阱。

4、服务配置。
关闭不需要的服务，例如Fax Service、Indexing Service、Messenger、Task Scheduler等等，对其进行停用及禁止配置。
每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
（1）关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
（2）关闭80口：关掉WWW服务。在“服务”中显示名称为\"World Wide Web Publishing Service\"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。
（3）关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。
（4）关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
（5）关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。
（6）还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。
（7）还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

5、本地安全策略配置
（1）账户策略。
A、密码策略。设定为必须符合复杂性要求、长度最小值为8位等等。
B、账户锁定策略。设定为5分钟的复位账户锁定计数、30分钟的锁定时间、3次无效登陆的锁定阙值。
（2）本地策略。
其中的审核策略和用户权利指派，我个人认为，每台电脑的情况都不一样，需要自己去了解和理解的，所以不做说明。
A、安全选项。其中的关闭时清除虚拟内存页面文件、只有本地用户才能使用CDROM和软驱的选项一定要启动，其他的视实际情况自己斟酌。
（3）公钥策略（不作说明）
（4）本地IP安全策略
这才是电脑防护的重要一项，其中包括端口的禁止、协议的通讯阻止。在这里不可能详细说明，就简单举几个常用例子说一下，有什么不明白再发贴咨询。
A、关闭ICMP协议。先建立新IP 安全策略-----〉进入管理IP筛选器表和筛选器操作-----〉添加新 IP 筛选器列表-----〉设置为：源地址是任何IP、目标地址是本机IP、选择ICMP协议，确定保存-----〉进入管理筛选器操作，建立新的阻止动作-----〉回到刚才新建的IP安全策略选项，添加刚才新设立的IP安全规则，选定阻止动作-----〉对IP安全策略进行指定生效。
B、特定关闭139端口。与上同理，设置为源地址是任何IP、目标地址是本机IP、选择TCP协议，从任何端口到139端口，确定后添加规则，指定策略生效。

6、关闭默认共享。
（1）建立BAT文件，输入以下内容：
NET SHARE C$ /DEL
NET SHARE D$ /DEL
NET SHARE E$ /DEL
NET SHARE F$ /DEL
NET SHARE IPC$ /DEL
NET SHARE ADMIN$ /DEL
输入后保存，配置到启动目录，使其启动后自动执行，达到预期目的。
（2）可在注册表的以下位置： HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters 新建名称主键名autoshareserver，类型为REG_DWORD ，然后赋值为0就可以了。
[HKEY_LOCAL _MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters]把AutoShareServer = DWORD的键值改为:00000000。

7、安装其他软件包。
（1）安装微软高级加密包（Microsoft High Encryption Pack），将服务器升级为128位加密。默认状态下，服务器软件的加密状态处于较低级别，我们必须手工将其配置为128位加密。而且，这项工作应该在创建帐号和组之前进行，这样就可以保证在服务器上创建的所有项目都是128位加密级别的。
（2）安装最新的SP软件包和Hotfixes 。微软的产品是老裁缝做的，不打补丁不漂亮的，所以管理员们要经常访问以下地址看看是否又有新补丁面世： http://www.microsoft.com/windows2000/downloads/default.sap 。这个地址包含了大量关于Win2K的信息，对日常管理Win2K服务器非常有参考价值。关于HotFixes有一点需要注意：只在系统需要的时候才安装相应HotFix。因为，并不是每个服务器都需要所有的HotFix，其中有一些hotfix修复的漏洞只存在于某些特定配置中。

8、安装杀毒软件，推荐诺顿的企业版本8.0，要经常升级

最后，建议大家还是再用X-SCAN等扫描工具进行本机的全面扫描，及时发现漏洞，及时修补，这样就算不安装防火墙也能达到一定的防护水准了，当然，除非你自己随便的下载不知来路的东西，自毁长城，那我也没有办法了。上述的办法中，最主要的就是封闭ICMP协议，以达到阻止PING和扫描的目的，但又不会妨碍你的网络活动。