“安全防火墻報警了，我是不是受到******了？是否***已經***了我的電腦啊？”、

“快來看!天網防火墻怎么出現紅色驚嘆號了？”。

? ? ? 不要急，這證明咱們的防火墻發揮了作用，它把不合規則的數據包攔截下來了。要知道誰在做壞事，打開主界面上的“日志”按鈕（點擊主界面像“鉛筆”一樣的按鈕即進入日志界面）便一目了然，在日志中我們能很清楚地發現***者的IP地址、***時間、試圖***的端口號等詳細信息。

　　防火墻日志簡明而又全面。防火墻日志一向是天書：TCP、UDP，再加上TCP SYN……明白的看得簡直頭暈，不明白的看起來心慌。其實日志是防火墻很重要的功能，但很多人卻不重視，也未仔細研究過日志內容。日志記錄看似枯燥的數據，其實提供了大量寶貴的第一手資料，幫助我們更好地管理和維護網絡。

? ? ? 因此我來說明常見的天網防火墻日志，都表示些什么。點擊天網主界面右上方的“日志”按鈕，會看到如下信息：

? ? ? 一般日志分為三行：

? ? ? 第一行：?

? ? ? 反映了數據包的發送、接受時間、發送者IP地址、對方通訊端口、數據包類型、本機通訊端口等等情況；

? ? ? 第二行：：

? ? ? 為TCP數據包的標志位，共有六位標志位，分別是：URG、ACK、PSH、RST、SYN、FIN，天網在顯示標志位時取這六個標志位的第一個字母即A代表ASK、S代表SYN等 ，其中標志位ACK、SYN和FIN比較常用，簡單含義如下：

? ? ? ACK：確認標志?

　　提示遠端系統已經成功接收所有數據?

　　SYN：同步標志?

　　該標志僅在建立TCP連接時有效，它提示TCP連接的服務端檢查序列編號?

　　FIN：結束標志?

　　帶有該標志位的數據包用來結束一個TCP會話，但對應端口還處于開放狀態，準備接收后續數據。?

? ? ? RST：復位標志，具體作用未知

　　 第三行：

? ? ? 對數據包的處理方法：

? ? ? 對于不符合規則的數據包會攔截或拒絕，顯示為：“該操作被拒絕”，意思是，此操作被天網防火墻攔截了！也就是對方根本不知道你的存在！

? ? ? 對符合規則的但被設為監視的數據包會顯示為“繼續下一規則”。?




[10:41:30] 接收到218.2.140.13的IGMP數據包，
? ? ? ? 該包被攔截。

? ? ? 這條日志出現的頻率很高。IGMP的全稱是internet組管理協議，它是IP協議的擴展，主要用于IP主機向它鄰近主機通知組成員身份。通常出現這條日志并不表明電腦受到***，不過***可以通過編寫***程序，利用windows本身的BUG，采用特殊格式數據包向目標電腦發動***，使被***電腦的操作系統藍屏、死機。藍屏×××一般用的就是IGMP協議。

? ? ? 一般形成IGMP***時，會在日志中顯示為大量來自于同一IP地址的IGMP數據包。

? ? ? 不過，有時收到這樣的提示信息也并不一定是***或病毒在***，在局域網中也會常收到來自網關的類似數據包；再有一些有視頻廣播服務的機器也會對用戶發送這樣的數據包，因此不用過于驚慌。?


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[7:11:04] 接收到 61.132.112.236 的 UDP 數據包，
? ? 本機端口: 47624 ，
? ? 對方端口: 40627?
? ? 該包被攔截。

? ? ? 沒有什么好擔心的，這是有人在用掃ＩＰ的軟件在掃ＩＰ地址而正好掃到你的ＩＰ地址段,此類軟件對被***主機的不同端口發送TCP或UDP連接請求，探測被***對象運行的服務類型。特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求。所以天網防火會報警,而且會攔截對方的IP，如果實在太煩，你可以把你的那個端口關掉。?



－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[9:04:18] 218.2.140.13試圖連接本機的Http【80】端口，
? ? ? TCP標志：S，
? ? ? 該操作被拒絕。

? ? ? 如果你安裝了IIS來建立自己的個人網站，開放了WEB服務，即會開放80端口。因此***掃描判斷你是否開放了WEB服務，尋找相應的漏洞來進行***。一般我們所遇到的大都是別人的掃描行為，不需要過于擔心了。

? ? 如果經常收到來自外部IP高端口（大于1024）發起的類似TCP的連接請求，你得小心對方電腦是否中了“紅色代碼”，并試圖***你（也有可能是人為使用軟件***）。由于此病毒只傳染裝有IIS服務的系統，所以普通用戶不需擔心。

? ? 若發現本機試圖訪問其他主機的80端口，則應檢查自己系統中是否有此病毒了。?


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－


[9:04:18] 218.2.140.13試圖連接本機的FTP Open Server【21】端口，
? ? ? TCP標志：S，
? ? ? 該操作被拒絕。

? ? ? 21端口是FTP服務所開放的端口，導致這條記錄出現的大部分原因是一些網蟲在使用ftp搜索軟件看哪些電腦開放了FTP，以尋求軟件、電影的下載。?


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－


[8:39:42] 192.168.0.123 嘗試用Ping 來探測本機，
? ? ? 該操作被拒絕。

? ? ? 對于這條日志的理解應該不困難。我們知道PING命令可以用來測試兩臺電腦之間是否可以進行通訊，***在***前首先要確定目標是否連接了網絡。但安裝防火墻之后，即使電腦連接了網絡，***PING的結果也會顯示數據包無法到達，這樣就會起到迷惑***的作用。出現這條日志說明可能有人用PING命令發送數據包來探測你是否開機并連在網絡上，不必擔心，防火墻已攔截了數據包。?


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－


[14:00:24] 10.100.2.246 嘗試用Ping來探測本機，
? ? ? 該操作被拒絕。

[14:01:09] 10.100.10.72 嘗試用Ping來探測本機，
? ? ? 該操作被拒絕。

[14:01:20] 10.100.2.101 嘗試用Ping 來探測本機，
? ? ? 該操作被拒絕。

　　特征：多臺不同IP的計算機試圖利用Ping的方式來探測本機。

　　日志中所列機器感染了沖擊波類病毒。感染了“沖擊波殺手”的機器會通過Ping網內其他機器的方式來尋找RPC漏洞，一旦發現，即把病毒傳播到這些機器上。

? ? ? 在排除了人為進行的ping之外，要注意可能是來自于源地址機器中有類似于“沖擊波”等病毒在作怪。因此，對于本機來講，刻不容緩的事情就是要安裝微軟的“沖擊波”補丁。?


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[14:01:28] 221.200.49.89試圖連接本機的【135】端口，
? ? ? ? TCP標志：S，
? ? ? ? 該操作被拒絕。

? ? ? 同上，是利用RPC服務漏洞的沖擊波類的蠕蟲病毒，該病毒主要***手段就是掃描計算機的135端口進行***。更新微軟的補丁還是必要的。?

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－


[11:58:08] 10.100.2.68試圖連接本機的NetBios-SSN【139】端口，
? ? ? TCP標志：S，
? ? ? 該操作被拒絕。

　　 特征：某一IP連續多次連接本機的NetBios-SSN[139]端口，表現為時間間隔短，連接頻繁。

　　 日志中所列IP的計算機可能感染了“尼姆達病毒”。感染“尼姆達”的計算機有個特點，會搜尋局域網內一切可用的共享資源，并會將病毒復制到取得完全控制權限的共享文件夾內，達到病毒傳播目的。?

? ? ? 139端口是NetBIOS協議所使用的端口，在安裝TCP/IP 協議的同時，NetBIOS也會被作為默認設置安裝到系統中。139端口的開放意味著硬盤可能會在網絡中共享；網上***也可通過NetBIOS知道你的電腦中的一切!

? ? ? 盡管在天網防火墻的監控下，此隱患沒有被利用。但不能無動于衷，應把這漏洞補上。對于連接到互聯網上的機器，NetBIOS完全沒用，可將它去掉。


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－


[10:42:27] 10.126.10.66試圖連接本機的CIFS【445】端口，
? ? ? ? TCP標志：S，
? ? ? ? 該操作被拒絕。

? ? ? 445端口，一個既讓人愛，又招人恨的端口，有了它，網民們可以在局域網中輕松訪問各種共享文件夾或共享打印機，但正因為有了它，Internet上的“惡人”們才有了“可乘之機”，他們能躲在Internet上的“陰暗角落”里，偷偷共享你的硬盤，甚至會在悄無聲息中，將你的硬盤格式化掉！

? ? ? SMB： Windows協議族，用于文件和打印共享服務。?
? ? ? NBT： 使用137(UDP), 138(UDP) and 139 (TCP）來實現基于TCP/IP的NETBIOS網際互聯。

? ? ? 在Windows NT中SMB基于NBT實現。 而在WinXP中，SMB除了基于NBT的實現，還有直接通過445端口實現。 當WinXP（允許NBT)作為client來連接SMB服務器時，它會同時嘗試連接139和445端口，如果445端口有響應，那么就發送RST包給139端口斷開連接，以455端口通訊來繼續.當445端口無響應時，才使用139端口。?


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－


[5:49:55] 61.114.78.110 試圖連接本機的***冰河【7626】端口
? ? ? TCP標志：S
? ? ? 該操作被拒絕

? ? ? 這條記錄就要注意一下啦，假如你沒有中***，也就沒有打開7626端口，當然沒什么事。而***如果已植入你的機子，你已中了冰河，***程序自動打開7626端口，迎接遠方***的到來并控制你的機子，這時你就完了，但你裝了防火墻以后，即使你中了***，該操作也被禁止，***拿你也沒辦法。但這是常見的***，防火墻會給出相應的***名稱，而對于不常見的***，天網只會給出連接端口號，這時就得*你的經驗和資料來分析該端口的是和哪種***程序相關聯，從而判斷對方的企圖，并采取相應措施，封了那個端口。?



[6:14:20] 192、168、0、110 的【1294】端口停止對本機發送數據包
? ? ? TCP標志：F A
? ? ? 繼續下一規則

[6:14:20] 本機應答192、168、0、110的【1294】端口
? ? ? TCP標志：A
? ? ? 繼續下一規則

? ? ? 從上面兩條規則看就知道發送數據包的機子是局域網里的機子，而且本機也做出了應答，因此說明此條數據的傳輸是符合規則的。為何有此記錄，那是你在天網防火墻規則中選了“TCP數據包監視”，這樣通過TCP傳輸的數據包都會被記錄下來，所以大家沒必要以為有新的記錄就是人家在***你，上面的日志是正常的，別怕！呵呵！


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

? ? ? 要特別說明的是，不是所有被攔截的數據包都意味著有人在***你，有些正常的數據包會由于你設置的安全級別過高而不符合安全規則，也會被攔截下來并報警，如你設置了禁止別人Ping你的主機，如果有人向你的主機發送Ping命令，天網也會把這些發來的數據攔截下來記錄在日志上并報警。

? ? ? 如果你選擇了監視TCP和UDP數據包，那你發送和接受的每個數據包也將被記錄下來。

? ? 一個定義不好的規則加上記錄功能,會產生大量沒有任何意義的日志,并浪費大量的內存。?

? ? ? 給大家說了一通了，也不知道大家能不能看懂，其實防火墻的作用就是隱藏自己真實IP的同時，監控各個端口，并給出日志，讓大家分析并找出相應的對策，靈活應用防火墻能給自己機子帶來比較高的安全性。當然有些病毒***是誘導用戶主動訪問而感染的，就要靠自己提高安全意識來防范了。總之，互聯網大了，用的人多了，什么樣的人都有，所以給自己機子上裝個防火墻是必不可少的基本防御！

? ? ? 大家千萬不要嫌天網防火墻：“煩”，天網是有些像大話西游中的唐僧，但你既然選擇了它，就要忍受它的“羅嗦”，其實所謂的“羅嗦”正是天網在不厭其煩的提醒你、保護你，所以要看仔細了，到底是什么程序要連線運行。

? ? ? 本人能力有限，錯漏難免，望指正！也歡迎高手們進來補充！！

轉載于:https://blog.51cto.com/hanbing/17260

總結

以上是生活随笔為你收集整理的天网防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。