由“沖擊波”聯(lián)想到的Windows系統(tǒng)網(wǎng)絡(luò)安全防護(hù)若干問(wèn)題及對(duì)策

這一陣子的MSBlaster蠕蟲(即“沖擊波”病毒)著實(shí)讓全球網(wǎng)絡(luò)管理員和用戶忙了一陣子，大量的使用Windows 2000 Professional/Server/Advanced Server、Windows XP Home Edition/Professional的個(gè)人計(jì)算機(jī)或者網(wǎng)絡(luò)服務(wù)器因此而出現(xiàn)循環(huán)的關(guān)機(jī)過(guò)程、擴(kuò)展命令菜單的異常等問(wèn)題。MSBlaster的破壞原理就是利用了基于Windows NT內(nèi)核的操作系統(tǒng)的RPC DCOM漏洞，通過(guò)向漏洞計(jì)算機(jī)的TCP 135端口發(fā)送異常的數(shù)據(jù)包而達(dá)到讓目標(biāo)計(jì)算機(jī)RPC服務(wù)出錯(cuò)的目的。

這次蠕蟲爆發(fā)來(lái)勢(shì)如此兇猛，以致于讓很多使用Windows平臺(tái)服務(wù)器的管理員和NT架構(gòu)操作系統(tǒng)的個(gè)人用戶大亂陣腳，一時(shí)間各大論壇關(guān)于此蠕蟲帶來(lái)的操作系統(tǒng)故障的帖子紛至沓來(lái)，國(guó)內(nèi)幾個(gè)安全軟件生產(chǎn)商的論壇人氣更是急速上升。伴隨這股浪潮而來(lái)的，就是反病毒軟件和個(gè)人防火墻產(chǎn)品的銷量大增，國(guó)內(nèi)幾大個(gè)人安全產(chǎn)品生產(chǎn)商均是以能夠殺除或者抵御Worm_MSBlaster作為產(chǎn)品宣傳的重點(diǎn)。那么，究竟是不是非得要因?yàn)槿绱艘粋�(gè)蠕蟲而去花一兩百塊錢采購(gòu)新的安全產(chǎn)品？我的回答是NO！我們完全可以通過(guò)Windows系統(tǒng)自帶的功能實(shí)現(xiàn)對(duì)此蠕蟲的防御。下面我將具體敘述（注意：下文中假定讀者的機(jī)器并未感染W(wǎng)orm_MSBlaster，如果業(yè)已感染，應(yīng)該下載一個(gè)安全廠商提供的免費(fèi)清除工具，斷開網(wǎng)絡(luò)連接并重新啟動(dòng)到安全模式對(duì)此病毒進(jìn)行查殺后，再參照下文進(jìn)行操作）

首先，我將針對(duì)Windows XP系列的防護(hù)進(jìn)行敘述。Windows XP相比前幾代的版本，除了操作界面的極大提升以外，安全性有了很大的提升，特別是提供了一個(gè)應(yīng)用層防火墻ICF(Internet Connection Firewall)，這就讓擔(dān)心網(wǎng)絡(luò)攻擊的用戶擁有了一個(gè)無(wú)需付費(fèi)的安全防護(hù)（當(dāng)然，操作系統(tǒng)要錢）。這樣一來(lái)，Worm_MSBlaster就容易防護(hù)了，只需要：1、到“控制面板”中打開“網(wǎng)絡(luò)連接”；2、找到你所使用的那個(gè)連接，并用右鍵單擊那個(gè)連接；3、選擇“屬性”，在彈出來(lái)的窗口中轉(zhuǎn)到“高級(jí)”選項(xiàng)卡，將“通過(guò)限制或阻止來(lái)自Internet的對(duì)此計(jì)算機(jī)的訪問(wèn)來(lái)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”前面的多選框選中；4、確定退出。這樣就可以使用ICF來(lái)阻止Worm_Blaster或者其他大部分來(lái)自外界的攻擊了。這里需要注意一點(diǎn)：使用QQ的用戶可能會(huì)因?yàn)镮CF而無(wú)法聯(lián)機(jī)聊天了，因?yàn)镮CF丟棄掉了來(lái)自服務(wù)器或者對(duì)方QQ向己方UDP 8000端口的數(shù)據(jù)包，這就需要特別配置一條ICF規(guī)則來(lái)使用QQ，具體方法是：在前述步驟的第3步中，選中那個(gè)復(fù)選框以后，單擊窗口下部隨后立即由不可用變?yōu)榭捎玫摹霸O(shè)置”按鈕，隨后將彈出“高級(jí)設(shè)置”窗口，在“服務(wù)”選項(xiàng)卡的下部單擊“添加”按鈕，將會(huì)彈出如圖窗口

此時(shí)，在“服務(wù)描述”輸入欄中填入你喜歡的任意文字描述，然后在“在您的網(wǎng)絡(luò)上主持此服務(wù)的計(jì)算機(jī)名稱或IP地址”輸入框中填入你自己的IP地址或者計(jì)算機(jī)名稱，如果你都不知道，就填入127.0.0.1就行了；接下來(lái)在“此服務(wù)的外部端口號(hào)”和“此服務(wù)的內(nèi)部端口號(hào)”兩個(gè)輸入框中都填入8000（雖然QQ在操作系統(tǒng)中使用的外部端口是4000，但是都設(shè)定為8000并沒(méi)有問(wèn)題）將旁邊的協(xié)議單選框選擇為UDP，然后單擊確定退出“高級(jí)設(shè)置”窗口。然后就是前面所述的第4步了。

這里需要特別注意一點(diǎn)：如果你的機(jī)器是作為ICS（Internet Connection Share）網(wǎng)關(guān)使用，那么就不能使用ICF，在作為ICS gateway的機(jī)器上啟用ICF將會(huì)導(dǎo)致所有連接到此計(jì)算機(jī)上的客戶機(jī)無(wú)法上網(wǎng)。這樣就需要另尋途徑解決問(wèn)題，同樣，從Windows 系統(tǒng)自帶的解決方案入手，不求助第三方廠商，這個(gè)方法就是我第二步要敘述的Windows 2000和Windows XP通用的方法：利用Windows 2000/XP中的IP安全策略（IPSec）提供對(duì)端口的通訊控制，下面將詳細(xì)敘述。（注意！如果沒(méi)有使用ICS，還是要首選ICF）

先進(jìn)行前期工作說(shuō)明。調(diào)用方法：在Windows 2000 Professional/Server/Advanced Server和Windows XP Professional中，進(jìn)入控制面板，選擇管理工具，然后雙擊“本地安全策略”，進(jìn)入本地安全策略窗口后，選擇“IP安全策略”目錄樹；需要特別分開說(shuō)明的是，Windows XP Home Edition這個(gè)版本的管理工具中沒(méi)有“本地安全策略”一項(xiàng)，這并不意味著Windows XP Home Edition用戶無(wú)法使用IPSec保護(hù)計(jì)算機(jī)，要調(diào)用IPSec控制臺(tái)需要繞一些彎子：打開位于開始菜單的運(yùn)行，輸入“mmc”，并回車確定，將會(huì)打開一個(gè)全新的控制臺(tái)。選擇頂部的“文件”菜單，在彈出的下拉菜單中選擇“添加/刪除管理單元”菜單項(xiàng)，會(huì)彈出如圖窗口

單擊“添加”按鈕，然后在隨后彈出窗口的列表框中選擇第二項(xiàng)“IP安全策略管理”，并且單擊添加（只需要單擊一次），然后按“關(guān)閉”返回“添加/刪除管理單元”窗口，并單擊確定關(guān)閉此窗口返回控制臺(tái)，這樣就可以在左邊看到了剛剛添加的IP安全策略管理單元了。
好了，準(zhǔn)備工作做完，開始具體操作。在控制臺(tái)窗口的右邊窗格中單擊鼠標(biāo)右鍵，選中“管理IP篩選器表和IP篩選器操作”，在隨后彈出的對(duì)話框中選擇“管理篩選器操作”選項(xiàng)卡，如圖，單擊“添加”按鈕

隨后將會(huì)彈出篩選器操作向?qū)В瑔螕粝乱徊健Ｔ凇懊�稱”輸入框中輸入“拒絕”或者其他你覺(jué)得方便的文字，單擊下一步。然后進(jìn)行如圖操作

接著就可以單擊“完成”退出篩選器操作向?qū)АＬ砑右粭l篩選器以后會(huì)回到“管理IP篩選器表和IP篩選器操作”對(duì)話框，這時(shí)選擇“管理IP篩選器列表”選項(xiàng)卡，單擊下部的“添加”按鈕，將會(huì)彈出如圖對(duì)話框，請(qǐng)按照?qǐng)D上所示操作

之后彈出“IP篩選器向?qū)А保瑔螕粝乱徊健Ｔ凇霸吹刂贰毕吕�列表中選擇“任何IP地址”，然后單擊下一步，在“目標(biāo)地址”下拉列表中選擇“我的IP地址”，單擊下一步。在隨后的IP協(xié)議類型選擇中，在“選擇協(xié)議類型”下拉列表內(nèi)選擇TCP，然后單擊下一步，在接下來(lái)的對(duì)話框中，請(qǐng)按圖操作

隨后，單擊完成。

這樣，一條針對(duì)TCP135端口的數(shù)據(jù)包的IP過(guò)濾規(guī)則就定義下來(lái)的了，完成以后會(huì)回到“管理IP篩選器列表”選項(xiàng)卡，此時(shí)請(qǐng)單擊下部的“關(guān)閉”。
雙擊“客戶端（僅響應(yīng)）”圖標(biāo)，將會(huì)彈出如圖窗口。

請(qǐng)單擊下部的“添加”按鈕，將會(huì)彈出“安全規(guī)則向?qū)А保瑔螕粝乱徊剑�隨后選擇“此規(guī)則不指定隧道”；再單擊下一步，在“網(wǎng)絡(luò)類型”選擇窗口中，選擇“所有網(wǎng)絡(luò)連接”單選鈕，單擊下一步；隨后的操作請(qǐng)注意操作，如圖指示

注意：如果你的計(jì)算機(jī)不是一個(gè)域成員，就要按照?qǐng)D上所示操作（當(dāng)然，如果你有CA頒發(fā)的證書的話，可以選擇第二項(xiàng)，按照提示操作，這里不作敘述），如果你的計(jì)算機(jī)是域成員計(jì)算機(jī)，請(qǐng)選擇第一項(xiàng)“Active Directory默認(rèn)值”，再單擊下一步。

然后在“IP篩選器列表”中選擇剛才創(chuàng)建的IP篩選器（這里前文定義的名稱是135），如圖