天网防火墙V2.61学习教程

keaide

FIN：结束标志

    带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。

    RST：复位标志，具体作用未知

    其他不知道了，呵呵

    第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为“继续下一规则”。

    下面举些常见典型例子来讲讲：

    记录1：[22：30：56] 202、121、0、112 尝试用PING来探测本机

          TCP标志： S

          该操作被拒绝

    该记录显示了在22：30：56时，从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息，但被拒绝了。

    人们用PING命令来确定一个合法IP是否存在，当别人用PING命令来探测你的机器时，如果你的电脑安装了TCP/IP协议，就回返回一个回音ICMP包，如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置，你的电脑就不会返回给对方这种ICMP包，这样别人就无法用PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的，，但如果在日志里显示有N个来自同一IP地址的记录，那就有鬼了，很有可能是别人用黑客工具探测你主机信息，他想干什么？谁知道？肯定是不怀好意的。

keaide

记录2：[5：29：11] 61、114、155、11试图连接本机的http[80]端口

          TCP标志：S

          该操作被拒绝

    本机的http[80]端口是HTTP协议的端口，主要用来进行HTTP协议数据交换，比如网页浏览，提供WEB服务。对于服务器，该记录表示有人通过此端口访问服务器的网页，而对于个人用户一般没这项服务，如果个人用户在日志里见到大量来自不同IP和端口号的此类记录，而TCP标志都为S（即连接请求）的话，完了，你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒，主要是攻击服务器，也会出现上面的情况。

    记录3：[5：49：55] 31、14、78、110 试图连接本机的木马冰河[7626]端口

          TCP标志：S

          该操作被拒绝

    这就是个害怕的记录啦，假如你没有中木马，也就没有打开7626端口，当然没什么事。而木马如果已植入你的机子，你已中了冰河，木马程序自动打开7626端口，迎接远方黑客的到来并控制你的机子，这时你就完了，但你装了防火墙以后，即使你中了木马，该操作也被禁止，黑客拿你也没办法。但这是常见的木马，防火墙会给出相应的木马名称，而对于不常见的木马，天网只会给出连接端口号，这时就得*你的经验和资料来分析该端口的是和哪种木马程序相关联，从而判断对方的企图，并采取相应措施，封了那个端口。

keaide

记录4：[6：12：33] 接收到 228、121、22、55的IGMP数据包

          该包被拦截

    这是日志中最常见的，也是最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于组播的一种协议，实际上是对Windows的用户是没什么用途的，但由于Windows中存在IGMP漏洞，当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则，只要选中就可以了。

    记录5：[6：14：20] 192、168、0、110 的1294端口停止对本机发送数据包

          TCP标志：F A

          继续下一规则

          [6：14：20] 本机应答192、168、0、110的1294端口

          TCP标志：A

          继续下一规则

keaide

从上面两条规则看就知道发送数据包的机子是局域网里的机子，而且本机也做出了应答，因此说明此条数据的传输是符合规则的。为何有此记录，那是你在图八里防火墙规则中选了“TCP数据包监视”，这样通过TCP传输的数据包都会被记录下来，所以大家没要以为有新的记录就是人家在攻击你，上面的日志是正常的，别怕！呵呵！

    防火墙的日志内容远不只上面几种，如果你碰到一些不正常的连接，自己手头资料和网上资料就是你寻找问题的法宝，或上防火墙主页上看看，这有助于你改进防火墙规则的设置，使你上网更安全。

    七、在线升级功能

    现在天网不断推出新的规则库，作为正式版用户当然可以享受这免费升级的待遇，只要在天网界面点击一下在线升级，不到2分钟就可以完成整个升级过程，即快捷又方便。

    此主题相关图片如下：





    点击后出现一个在线升级网络设置的提示框，如果你没有使用代理上网的就不用设置，直接下一步安装规则包，这样就完成升级了。

keaide

升级后防火墙的自定义规则就会多了很多条防御木马的规则，这下可好了不用自己乱设置，只要使用自定义级别就可以了。不过选用自定义后，记得要把自定义里的IP规则选勾保存规则，这样日志才会有记录的。

    八、总结

     给大家说了一通了，也不知道大家能不能看懂，其实防火墙的作用就是隐藏自己真实IP的同时，监控各个端口，并给出日志，让大家分析并找出相应的对策，灵活应用防火墙能给自己机子带来比较高的安全性。当然有些病毒木马是诱导用户主动访问而感染的，就要靠自己提高安全意识来防范了。总之，互联网大了，用的人多了，什么样的人都有，所以给自己机子上装个防火墙是必不可少的基本防御！

xwbest

天网已经是2.7X了。。。

yjyjyj608

防火墙的道理总之大同小异，这个说的很详细了。