《中南民族大学管理学院实验报告.docx》由会员分享,可在线阅读,更多相关《中南民族大学管理学院实验报告.docx(97页珍藏版)》请在三一办公上搜索。
1、中南民族大学管理学院学生实验报告中南民族大学管理学院学生实验报告课程名称:电子商务安全 年 级:10级 专 业: 电子商务 姓 名:星存田 学 号: 10058048 2011学年至2012学年度 第1学期目 录实验一 利用PGP加密、解密和数字签名 实验二 PGP实现电子邮件安全 实验三 在Windows 2000/XP下加密文件和文件夹实验四 数字证书签发安全电子邮件操作指导书 实验五 防火墙的设置 实验六 口令破解软件使用 实验七 网络监听 实验八 打造你的安全个人电脑 实验(一) 利用PGP加密、解密和数字签名 实验时间:2012.11.12同组人员: 实验目的掌握对文件加密和数字签名
2、的方法,对加密理论知识加深理解。实验内容在网上查找“PGP教程”,先认识PGP软件的安装和使用;然后查找“PGP加密原理”,认识PGP的加密原理。关于PGP的加密原理以及其他的信息可以参见下面这些网页: 太平洋网 天极网 中国IT认证实验室 不过这些网页介绍的PGP软件是PGP6.5版本甚至更早的版本,截止到撰写该上机实验时PGP已经升级到版本8了,因此在某些方面会有一些不同。PGP8.02版本可以通过下面地址下载: 太平洋网站; 这是PGP网站上提供的。实验步骤下载软件后,运行pgp8.exe文件开始安装,安装的过程很简单,依次按“next”按钮就可以了,安装过程见图1、图2、图3、图4和图
3、5。图1安装欢迎界面图2接受PGP公司的协议图3安装时对PGP8.1.0Windows版本的介绍图4选择用户类型图5选择安装路径 接下来选择要安装的组件,其中,第一个选项是关于磁盘加密的功能;第二个选项是ICQ的邮件加密功能;第三四个选项是关于OUTLOOK或者OTLOOKEXPRESS邮件加密的功能;最后一个选项适用于群发邮件的加密。用户可以根据自己的需要进行组件选择,一般情况下,默认安装就可以了。见图6、图7。图6选择要安装的PGP组件,一般按默认的选择即可图7安装正在进行中 三、生成密钥 安装完毕后,运行PGP程序。从“开始”菜单中选择“PGP”中的“PGPKeys”。要使用该软件进行加
4、密的话,首先要生成一对密钥。也就是一个公钥和一个私钥。其中公钥是发送给别人用来加密钥发送给自己的文件的,私钥是自己保存,用于解密别人用公钥加密的文件,或者起数字签名的作用。 在PGPKeys的窗口中,选择Keys菜单下的NewKey选项。见图8。图8PGPKeys的工作窗口 PGP有很好的创建密钥对的向导,跟着向导很容易生成一对密钥。见图9。图9PGP密钥对的生成向导 每一对密钥都对应着一个确定的用户。用户名不一定要真实,但是要方便通信者看到该用户名能知道这个用户名对应的真实的人;邮件地址也是一样不需要真实,但是要能方便与你通信的人在多个公钥中快速的找出你的公钥。例如,大家都熟悉你的名字叫张三
5、,那你的用户名和地址都含有张三的名字,就很容易让别人知道这个公钥是你的;如果你起了一个其他的名字,类似“天天下雨”或者“五月的海”,那其他与你通信的人很容易不记得这个名字到底是谁,因此在选择公钥的时候,自然很难找出你的公钥。见图10。图10输入姓名和Email地址以方便他人识别你的公钥 密钥对的私钥还必须进一步用密码加密,这个加密是对你的私钥加密。这个密码非常重要,切记不要泄漏了,为安全起见,密码长度至少8位,而且应该包含非字母的字符。见图11。图11为私钥设置密码 接下来,软件生成密钥对。见图12。图12生成密钥对 至此,密钥对生成完毕。 四、导出并发送公钥 见图13。接着导出公钥,把公钥作
6、为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全通信的联系人。见图14。 图14导出公钥 公钥导出之后,接下来就发送给需要跟你进行安全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过,由于在传送的过程公钥是没有采用安全机制传送,因此存在公钥被人窃取的可能。为了更加安全,双方可以根据环境选择一个比较安全的环境来传送公钥。在此实验过程中,实验者互相通过Email传送公钥,例如,用户A和用户B要互相通信,则A需要把自己的公钥传递给B,而B需要把自己的公钥传递给A。图14导出公钥 公钥导出之后,接下来就发送给需要跟你进行安
7、全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过,由于在传送的过程公钥是没有采用安全机制传送,因此存在公钥被人窃取的可能。为了更加安全,双方可以根据环境选择一个比较安全的环境来传送公钥。在此实验过程中,实验者互相通过Email传送公钥,例如,用户A和用户B要互相通信,则A需要把自己的公钥传递给B,而B需要把自己的公钥传递给A。 五、文件加密与解密 有了对方的公钥之后就可以用对方公钥对文件进行加密,然后再传送给对方。具体操作如下:选中要加密的文件,右键,然后选择“PGP”-“Encrypt”。见图15。 图15选择“Enc
8、rypt”对文件加密 然后在密钥选择对话框中,选择要接受文件的接收者。注意,用户所持有的密钥全部列出在对话框的上部分,选择要接收文件人的公钥,将其公钥拖到对话框的下部分(recipients),点击“OK”,并且为加密文件设置保存路径和文件名。选择需要用来加密的公钥图17为加密文件设置保存路径和文件名 此时,你就可以把该加密文件传送给对方。对方接收到该加密文件后,选中该文件,右键,选择“Decrypt&verify”,见图18。 图18解密文件的菜单 此时,要求输入私钥的密码,输入完后,按“OK”即可。见图19。图19输入密码,用私钥解密文件 接下来,要为已经解密的明文文件设置保存路径文件名。
9、见图。保存后,明文就可以被直接查看了。见图20。图20为明文文件设置保存路经和文件名 六、数字签名 由于公钥是发放给其他人使用的,那么在公钥发放的过程中,存在公钥被人替换的可能。此时,若有一个人对此公钥是否真正属于某个用户的公钥做出证明,那么该公钥的可信任度就比较高。如果A很熟悉B,并且能断定某公钥是B的,并没有人把该公钥替换或者篡改的话,那么可以对B的公钥进行数字签名,以自己的名义保证B的公钥的真实性。具体操作为:运行“开始”“PGP”“PGPKeys”,选中要进行签名的公钥,然后右键,选择“Sign”进行签名。见图21。 图21对某公钥进行数字签名 此时,选择该用户的公钥,并且选中“All
10、owsignaturetobeexported.Othersmayrelyuponyoursignature(允许该签名被导出,其他人可以信任你的签名的真实性)”,点击“OK”。见图22。图22选中下方的选项以便该被签字的公钥可以导出 输入私钥的密码,点击“OK”。这样,对公钥的签字就完成了。值得提醒的是,公钥和私钥都可以实现加密的功能,但是当要进行数字签名的时候,就只能使用私钥而不能用公钥。因为私钥只为用户一个人掌握,所以,该私钥能表明他的身份,确定该信息只有他一个人才能发出。见图23。图23输入密码进行数字签名 我们也可以对文件进行签名和加密。操作如下:选择要进行签名的文件,点击右键,选择
11、“sign”,见图。要注意的是,对文件签名只能证明是你发出该文件,但是文件的内容并没有被加密,同时,进行数字签名时,在意的是表明该文件是从自己这里发出,因此对于文件的内容并不在意被别人看到,经过数字签名的文件要同原明文文件一同发送给对方,对方才能验证数字签名是否有效。如果同时要表明文件从自己这里发出,同时又要对文件的信息保密,那么就选择“签名与加密”选项Encrypt&sign。见图24。图24对文件进行签名或签名和加密 同样的,在选择密钥的对话框中,从对话框上部的密钥列表中,选择接收文件的用户拖到对话框的下部,点击“OK”。见图25。图25选择文件的接收者 确定接收人后,输入私钥的密码,进行
12、数字签名或数字签名和加密。见图26。图26输入密码用私钥签名或加密 以上介绍的是关于PGP的简单使用,供大家学习,另外由于篇幅和时间的限制,关于PGP软件还有很多功能和设置没有介绍。实验者若有兴趣的话,可以实验完后自己多加使用,并参考PGP公司编写的用户手册,见开始菜单中PGP里的“DOCUMENTATION”中的“USERSGUIDE”。实验报告要求: 1、列出PGP的功能;并说出PGP满足了电子商务中信息安全性要素的哪些要求? 2、你知道PGP使用了那些加密算法吗?每一种算法的思路是什么? 3、简要阐述PGP主要加密原理; 4、简要叙述使用PGP软件如何对文件加密; 5、简要叙述使用PGP
13、软件如何对文件解密; 6、简要叙述使用PGP软件如何对文件数字签名; 7、在对文件进行数字签名时,为什么一定要将文件的明文也一同发送给对方?请用数字签名的原理进行解释; 8、思考PGP存在哪些方面的安全隐患;实验结果分析指导教师评阅1、 实验态度:不认真(),较认真(),认真()2、 实验目的:不明确(),较明确(),明确()3、 实验内容:不完整(),较完整(),完整()4、 实验步骤:混乱(),较清晰(),清晰()5、 实验结果:错误(),基本正确(),正确()6、 实验结果分析:无(),不充分(),较充分(),充分()7、 其它补充:总评成绩:评阅教师(签字):评阅时间:实验(二) PG
14、P实现电子邮件安全 实验时间:2012.11.12同组人员: 实验目的了解基本原理,学会基本操作,并能熟练使用实验内容1、创建一私钥和公钥对使用PGPtray之前,需要用PGPkeys生成一对密钥,包括私有密钥(只有自身可以访问)和一个公有密钥(可以让交换email的人自由使用)。2、与别人交换公钥创建了密钥对之后,就可以同其它PGP用户进行通信。要想使用加密通信,那么需要有他们的公钥。而且如果他们想同你通信他们也将需要你的公钥。公钥是一个信息块,发布公钥:可以将公钥放到密钥服务器上,也可以将公钥贴到文件或Email中发给你想与交换Email的人。3、对公钥进行验证并使之有效当你获取某人的公钥
15、时,将它添加到你的公开密钥环中。首先确定公钥的准确性。当你确定这是个有效的公钥时,你可以签名来表明你认为这个密钥可以安全使用。另外,你可以给这个公钥的拥有者一定的信任度表明4、对E_mail进行加密和数字签名当你生成密钥对而且已经交换了密钥之后,就可以对email信息和文件进行加密和数字签名。如果使用的email应用程序支持plug_ins,选择适当的选项进行加密;如果email应用程序不支持plug_ins,就可以将email信息发送到剪贴板上从那儿进行加密。若还想包括一些文件,可以从Windows Exporer上进行加密和数字签名。然后再挂到email上进行发送。5、对E_mail进行解
16、密和验证当某人给你发送了加密的email时,将内容进行分解,同时验证附加的签名来确定数据是从确定的发送者发送过来的并且没有被修改。如果使用的email应用程序支持plug_ins,选择适当的选项进行加密;如果email应用程序不支持plug_ins,就可以将email信息发送到剪贴板上从那儿进行加密。将信息拷贝到剪贴板上,并进行解密工作。若还想包括一些文件,可以从Windows Exporer上进行解密。实验步骤1、 创建一个私钥和公钥对:私钥导出公钥:2、 与别人交换公钥3、对公钥进行验证使之有效3、 文本文件加密解密4、解密文件5、用PGPtray的剪切板加密功能加密邮件对E_mail进行
17、加密和数字签名6、发送加密邮件7、收到后解密过程8、解密结果实验结果分析指导教师评阅1、实验态度:不认真(),较认真(),认真()2、实验目的:不明确(),较明确(),明确()3、实验内容:不完整(),较完整(),完整()4、实验步骤:混乱(),较清晰(),清晰()5、实验结果:错误(),基本正确(),正确()6、实验结果分析:无(),不充分(),较充分(),充分()7、其它补充:总评成绩:评阅教师(签字):评阅时间:实验(三) 在Windows 2000/XP下加密文件和文件夹 实验时间:2012.11.12同组人员: 实验目的通过在Windows 2000/XP下加密文件和文件夹的操作,掌
18、握一些数据、信息、文件保护的简单方法,并且能够做到举一反三,逐渐掌握利用专业工具保护数据的完整性、机密性的各种方法。实验内容在Windows 2000资源管理器中,选中待设置加密属性的文件或文件夹进行加密操作。实验步骤1) 在D盘中选择名为“xingcuntian”的文件夹,单击鼠标右键,在快捷菜单中选择【属性】选项。如图7.7所示2) 在【属性】对话框窗口中,单击“常规”选项卡中的【高级】按钮,如图7.8所示。启动“高级属性”对话框。3) 选择【加密内容以便保护数据】复选框,单击【确定】按钮,如图7.9所示,可完成文件夹的加密。加密后观察文件夹名字的颜色发生变化,这意味着非授权用户将无法访问
19、此文件夹。4) 系统将进一步弹出“确认属性更改”对话框。要求确认是加密选中的文件夹,还是加密选中的文件夹的子文件夹以及其中的文件。文件的加密步骤同上1)到3)步。5)补充压缩文件加密设置密码输入密码实验结果分析指导教师评阅1、实验态度:不认真(),较认真(),认真()2、实验目的:不明确(),较明确(),明确()3、实验内容:不完整(),较完整(),完整()4、实验步骤:混乱(),较清晰(),清晰()5、实验结果:错误(),基本正确(),正确()6、实验结果分析:无(),不充分(),较充分(),充分()7、其它补充:总评成绩:评阅教师(签字):评阅时间:实验(四)数字证书签发安全电子邮件操作指
20、导书实验时间:2012.11.12同组人员: 实验目的数字证书签发安全电子邮件实验内容(1)掌握免费个人数字证书申请、安装、导入和导出。(2)掌握Outlook Express的配置。 (3)掌握使用数字证书签发安全电子邮件的流程。实验步骤(一)免费数字证书的申请安装操作1、访问中国数字认证网()()主页,选择“免费证书”栏目的“根CA证书”。如果是第一次使用他们的个人证书需要先下载并安装根CA证书。2、下载并安装根证书。只有安装了根证书链的计算机,才能完成网上申请的步骤和证书的正常使用。出现“下载文件-安全警告”对话框,点击选择打开“rootFree.cer”。在弹出的对话框中点击“安装证书
21、”按钮,根据证书导入向导提示,完成导入操作。3、在线填写并提交申请表。选择“免费证书”栏目的“用表格申请证书”,填写申请表。用户填写的基本信息包括名称(要求使用用户真实姓名)、公司、部门、城市、省份、国家地区、电子邮箱(要求邮件系统能够支持邮件客户端工具,不能填写错误,否则会影响安全电子邮件的使用)、证书期限、证书用途(本实验要求选择“电子邮件保护证书”)、密钥选项(可以选择“Microsoft Strong Cryptgraphic Provider”)、密钥用法(可以选择“两者”)、密钥大小(填写“1024”)等,其他项目默认。注意要勾上“标记密钥为可导出”、“启用严格密钥保护”、“创建新
22、密钥对”三项,“Hash算法”(可以选择“SHA-1”)。提交申请表后,出现“正在创建新的RSA交换密钥”的提示框,确认将私钥的安全级别设为中级。4、下载安装数字证书。提交申请表后,证书服务器系统将立即自动签发证书。用户点击“下载并安装数字证书”按钮开始下载安装证书,直到出现“安装成功!”的提示。5、数字证书的查看在微软IE 6.0浏览器的菜单栏“工具”-“Internet选项”-“内容”-“证书”中,可以看到证书已经被安装地成功。双击证书查看证书内容。(如图所示)(二)数字证书的导出和导入操作指导 为了保护数字证书及私钥的安全,需要进行证书及私钥的备份工作。如果需要在不同的电脑上使用同一张数
23、字证书或者重新安装电脑系统,就需要重新安装根证书、导入个人证书及私钥。具体步骤如下:1、备份证书和私钥的操作步骤。打开一个IE浏览器,工具Internet选项内容证书(如图5)。选择一个数字证书,点击“导出”按钮,此时会弹出证书导出向导。(如图6)点击“下一步”,可以选择是否将秘钥和证书一起导出(如图7)因导出的证书按文件存放,故选择导出文件的格式(如图8)指定证书导出后文件的文件名和路径(如图9)此时显示前面你所选择的所有设置,如果觉得完全正确则点击“完成”,如有错误则点击“上一步”(如图10)。2、导入证书及私钥的操作步骤。打开一个IE 浏览器,工具Internet 选项内容证书(如图11
24、)。或者,开始设置控制面板Internet 选项内容证书(如图11)。点击“导入”按钮,此时会弹出证书导入向导(如图12)点击“下一步”,根据向导提示选择导入证书的文件名和路径(如图13)。选择好以后点击“下一步”,此时为保护你的私钥需要为你导入的证书的私钥键入一个密码(如图14)。此时需要选择导入证书的存储区,可以由系统自动选择也可以由用户指定(如图15),系统默认该证书是用户自己的证书而存入“个人证书”之中,而如果你要导入对方的证书(这主要发生在你要利用对方证书给对方发送加密邮件的时候),则应该自己指定位置并选择“其他人”。此时显示前面你所选择的所有设置,如果觉得完全正确则点击“完成”,如
25、有错误则点击“上一步”(如图16)(三)、利用数字证书对电子邮件进行数字签名和加密使用Outlook Express 可以对电子邮件进行加密和数字签名。对电子邮件进行签名需要一个属于你自己的数字证书,而要对电子邮件进行加密则需要拥有对方的数字证书。1、配置Outlook,建立你自己的账号(1)在Outlook Express中单击菜单上的“工具”“账号”(2)点击“添加”“邮件”(3)输入显示名称(4)输入电子邮件地址(5)设置接收邮件服务器和发送邮件服务器(6)输入电子邮箱的帐户名称和登录密码。单击“下一步”,邮件设置成功。(7)在Outlook Express中,单击“工具”菜单中的“帐户
26、”。(8)选取“邮件”选项卡中用于发送安全邮件的帐号,然后单击“属性”。在属性设置窗口中,选择“服务器”选项卡,勾选“我的服务器要求身份验证”。选取安全选项卡,选择签名证书和加密证书及算法。实验结果分析指导教师评阅1、实验态度:不认真(),较认真(),认真()2、实验目的:不明确(),较明确(),明确()3、实验内容:不完整(),较完整(),完整()4、实验步骤:混乱(),较清晰(),清晰()5、实验结果:错误(),基本正确(),正确()6、实验结果分析:无(),不充分(),较充分(),充分()7、其它补充:总评成绩:评阅教师(签字):评阅时间:实验(五) 防火墙的设置 实验时间:2012.1
27、1.19同组人员: 实验目的1. 了解防火墙的原理和功能;2. 能够用某种防火墙来防护计算机;3. 能根据自身的需求对防火墙进行合适的设置。实验内容1实训环境:Windows 2000/XP主机。有Internet的上网环境作为测试参考。2实训工具:LooknStop (或其他免费个人防火墙)3、以学习 LooknStop防火墙的规则设置为例实验步骤1. 安装LooknStop 软件(安装工具见压缩包)运行looknstop_setup_206.exe即可!注意:安装过程中会弹出一个未通过windows徽标测试的提示窗口,点击仍然继续即可!在最后提示重启的时候先别重启,把dll_cn 文件夹内
28、的所有文件复制到C:Program FilesSoft4Everlooknstop,实现汉化,然后点击此文件夹中的looknstop.exe,打开软件,2. 了解LooknStopLooknStop作为一款强大的防火墙,其采用的原型是非常严格的,首先,LooknStop先禁止所有本地和远程的网络访问操作,然后才逐项允许,在初始时不信任任何程序和网络操作,正是因为这过于严厉的策略原型,LooknStop才能成为一堵树立在系统和网络之间的“墙”,而也正是因为这样的模型,LooknStop也造成了一部分用户安装完毕后无法连接网络的问题它把所有数据包都拦截了。所以我们首先要解决的就是大部分用户面对Lo
29、oknStop时吃的第一个下马威:无法连接网络。LooknStop的主界面并不难理解,从左到右分别为“欢迎”、“应用程序过滤”、“互联网过滤”、“日志”、“选项”和“注册”,欢迎界面主要用于显示一些概要信息如连接状态、IP地址、数据包情况等。我们先解决第一个燃眉之急(此点仅针对ADSL拨号上网用户,在此介绍给同学们作为参考):如果你不幸成为安装LooknStop后无法成功进行ADSL拨号的用户,请先进入“互联网过滤”界面,然后双击最后一条规则“Allotherpackets”,它就是罪魁祸首,选择“以太网类型”为IP,保存应用即可。这一故障是LooknStop默认的严格规则造成的,它把所有未在
30、规则里定义的数据包都过滤了,于是计算机向远程MODEM设备发送的PPPoE协议包全部被扼杀在了系统的门口里由此可见,与某些防火墙比起来,LooknStop是多么的严格!解决这个问题后,我们回到正题。3.基于界面的设置既然LooknStop的规则如此严格,我们也遵循它的规则,严格依照从左到右的顺序讲解吧:首先是“欢迎”界面,这里是作为快捷数据统计而设的,用户可以在这个界面看到基本的数据流量情况以及网络信息,如果网络已经连通,LooknStop会报告你的计算机IP地址,如果这里为0.0.0.0,则说明没有连接网络或者LooknStop没能检测出活动的连接,用户必须自己到“选项”的“网络接口”里手工
31、选择一个作为LooknStop的监控对象。其次,是众多软件防火墙都会提供的“应用程序过滤”功能(专门对程序进行设定,决定应用程序行为的设置),LooknStop“不信任任何人”的思想在这里又一次得到了发挥,每个程序第一次启动的时候都会被拦截询问,用户允许通过的程序都在里面列举出来,并且在左边出现一个活动列表,可是即使这样,LooknStop仍然为每个程序列表设置了四个不同性质的可以随时中断该程序访问的按钮,分别为“过滤激活”、“过滤类型”、“进程调用”、“连接记录”。此部分功能由于电脑没有重启,在机房无法实现相应功能设置,建议有兴趣的同学在寝室电脑实现相应功能,具体详细说明可参考LnS中级使用
32、指南电子书。在“过滤激活”里可以选择两种状态,分别为“启用”和“禁止”,用于告诉防火墙是否允许该应用程序按照后面的规则运行,如果状态为“禁止”,则后面设置的独立应用程序规则不起作用,但是这并不意味着程序能摆脱防火墙的限制每次这个程序访问网络的时候,防火墙都会再次询问你是否允许这个程序访问网络。“过滤类型”里提供了3种类型选择,分别为“允许”、“自定义”和“禁止”,如果用户没有为这个程序设置特殊规则,则只会在“允许”和“禁止”两种类型之间选择,否则为三种。直接双击程序名字就可以设置“过滤类型”,里面分别提供了TCP和UDP协议的端口和IP设置,LooknStop强大的灵活设置性能再次体现了出来:
33、单独输入IP或端口,则规定这个程序只能访问用户指定的IP或端口,多个端口之间用分号“;”分隔,IP同上。看到这里,一些用户可能会想,是不是只能设置允许访问的地址呀?其实不然,LooknStop的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作要设置程序禁止访问的IP,只需要在同样的设置对话框里设定IP或端口时在前面加一个感叹号“!”即可,可以说,LooknStop把“简洁就是美”的信奉发挥到了极致!现在让我们来看看“进程调用”,首先简单介绍一下“进程调用”的概念,有时候,一个程序要访问网络并不是通过它自身实现的,而是调用了外置的DLL函数,这样的话,最终访问网络的程序就是那个DLL文件而
34、不是程序本身,许多防火墙都认为,通过程序宿主进程启动进而访问网络的模块也是符合条件的,因此不会做任何阻拦,但是LooknStop仍然不信任任何模块,它会忠实的报告并控制每个子进程DLL的网络连接并提示用户,在如今这个“代码插上翅膀”(线程注射)越来越猖獗的年代里,这样的限制是十分有必要的,很多防火墙正因为过于信任程序调用的进程模块,导致一些DLL类型的木马得以搭载顺风车,给用户的系统安全带来威胁。针对这种情况,LooknStop提供了“进程调用”的控制功能,分别为“允许”(双箭头标志)和“禁止”(红色停止标志),一旦某个程序的“进程调用”被设置为禁止,该程序就只能通过自身访问网络了,所有通过它
35、调用的模块都无法突破限制,这个设置对一些经常被后门搭顺风车的系统程序是很有用的,设置禁止后,我们就不用再怕灰鸽子之流通过IEXPLORE.EXE、Svchost.exe等程序突破传统意义的防火墙连接了。最后,是一个标示为感叹号的设置项,它代表“连接记录”:灰色的点表示不记录,两个感叹号表示记录该程序的所有连接,而单独一个感叹号则是与“过滤激活”配合使用的,如果你把一个程序的“过滤激活”设置为“禁止”,以后这个程序再次请求访问网络的时候就会被LooknStop记录下来,如果一个奇怪的程序频频要求连接网络,那么它是木马的可能性将会很大!从“应用程序过滤”这一部分就可以看出,LooknStop对程序
36、的控制非常灵活和精巧,仅使用一个界面和一个对话框就能完成对4种程序控制方式,包括多达10个属性36种不同组合的控制能力,其对程序的控制能力可见一斑。那么,LooknStop对网络协议的控制功能又如何呢?让我们进入“互联网过滤”,这里正是用户噩梦开始的地方。(这部分功能机房可以实现,请大家仔细阅读)这里同样是简洁而复杂的界面,简洁在于按钮的稀少,复杂在于太多列表控制的项目,一眼看去,几乎能让人摸不到头脑,但是这里正是所有防火墙思维的起点:防火墙规则集合。从左到右依次为“启用规则”、“规则模式”、“匹配时记录”、“匹配规则后是否执行后续规则”、“匹配规则时声音或警报提示”。第一列“启用规则”里提供
37、了3种类型选择,分别为“默认方式启用规则”、“自定义方式启用规则”和“不启用规则”,如果用户没有设置自定义规则,则只能在“默认方式启用规则”和“不启用规则”之间切换。 “自定义方式启用规则”取决于规则里定义的“应用程序”项目,表示该规则只对特定的应用程序起作用,当符合条件的程序启动后,这个暗红色带绿勾标志变为绿色带红勾标志,代表程序已经启动并处于防火墙规则控制之下。第二列 “规则模式”允许两种选择:“拦截”和“允许”,LooknStop通过这里的标识决定符合该规则的程序是该允许访问网络还是被阻止访问网络,与其它防火墙产品对比,这样的设置方法是非常方便的,用户不需要重新进入规则设置便能直接修改规
38、则行为。红色禁止标志,此标志表示,当某个连接请求或者操作与此规则匹配时,则禁止该连接请求或者操作。如果是灰色圆点标志,则表示此允许此连接请求或者操作。此属性的好处是,相同的规则内容可以在需要时通行,在另一种情况下禁止。第三列 “匹配时记录”提供了两个选项,“记录”和“不记录”,顾名思义,当一个满足规则设定的操作发生时,防火墙会根据这里的设置决定是否在日志里记录下这次操作信息。第四列 “匹配规则后是否执行后续规则”(不重启电脑,看不到此列)是一个非常重要的规则行为标志,它提供两种选择,分别为“不匹配下一规则”和“匹配下一规则”,前面说过LooknStop的思想是阻止所有连接,而这里的规则设定就是
39、其思想的具体实施方案,为了让程序能正常连接网络,同时也为了提高自身的执行效率,LooknStop提出了这个选项,它决定当一个符合防火墙设定的规则被执行后,是否要继续匹配下一条相同性质的规则,在这里我们可以方便的设置一些复杂的规则,例如我们需要增加一条允许本机打开80端口的规则,但是又不想为此开放所有低端口连接,那么就可以添加一条允许80端口的规则,并设置其“后续规则”为“不匹配”,那么就可以在保留原规则不变的同时增加本机开放80端口的功能了。第五列“匹配规则时声音或警报提示” (不重启电脑,看不到此列)有3种类型选择,分别为“声音报警”、“可视报警”和“不报警”,这个选项要与选项里的“声音”和
40、“消息框”配合使用,第一种表示规则匹配时发出声音报警,第二种表示规则匹配时弹出消息框并同时发出声音报警,如果你觉得噪音扰民,可以设置为最后一种,还你一个安静的环境。4.防火墙的灵魂规则设置任何防火墙都在各种规则的引导下运行,LooknStop也不会例外,而其恰恰正是因为规则难以配置而“闻名”的,要真正驯服这个强悍的小家伙,就必须理解并解决规则设置,在“互联网过滤”界面里点击“添加”,会弹出一个略显复杂的对话框出来。相对于大部分国内防火墙产品而言,LooknStop提供的可供设置的数据类型和模式多了不少,如果用户对各种协议的概念不是很了解,在面对这部分的时候就会很头痛了,LooknStop在这个
41、设置对话框里提供了8大类设置,分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“TCP“规则名称”很容易理解,用户就是在这里设置特定规则名称的,“规则说明”则是为了描述这条规则的功能和用途,除了这两个选项不需要特别讲解以外,其他部分请仔细听好!在开始动手之前,首先了解一件LooknStop特有的事情,这款防火墙在编辑规则时是中性的,我们不能从这个界面里设置某条规则是给予通行还是拦截,一旦你保存这条规则,LooknStop则默认了此规则是“允许通行”的,要设置为“拦截”的话必须在保存后自行到主界面上相应的“规则模式”里设置为“拦截”。其次,LooknStop的信任关系是基于IP
42、地址和MAC地址双重检测的,这是一种理想的信任关系模式,IP地址和MAC地址分别都是可以欺骗的,但是如果IP和MAC结合起来,就很难实施欺骗了,而且也正是这种信任模式,它的规则设置才容易让人迷惑,其实只要理解了其思想,对这款防火墙的规则设置就不复杂了。明白这两个基本概念后,我们正式开始。首先是“以太网:类型”区,这部分到底表达了什么,这里其实是让防火墙知道你的机器环境是在局域网内还是互联网中的独立机器,或者说,控制某条规则是适合在局域网中使用还是在单机环境中使用。这个区域里提供了4种选择,分别是“全部”、“IP”、“ARP”和“其它”,“全部”表示包含后面三种类型的协议,一般很少用到,除非你的
43、机器所处的网络环境非常复杂,有多种系统一起运作,否则只需要选择“IP”类型即可,这是一种最兼容最常用的类型。“ARP”类型只能在局域网内使用,也就是专为局域网环境设定的,由于它涉及MAC地址,故脱离了局域网环境就无效了,除非你是在局域网内使用机器,否则不要选择这个类型。其次是“IP”区,这里又分为3个小区,最左边的“协议”用于为当前规则指定协议,LooknStop提供了9种选择,除了“全部”以外,几乎包含了各种常见协议类型,一般只需要设置TCP、UDP或ICMP其中之一即可,虽然曾经有过IGMPNuke,可是现在也基本上没有人用Windows98作为工作环境了吧,所以连IGMP防御都可以免了右
44、侧的“碎片偏移”和“碎片标志”分别用于更详细的检测过滤IP头部的偏移位和标志位,可以用于防止特定标志位的碎片数据报攻击,不过对于普通用户来说,我们并不需要特别指定这里的内容,一般选择“全部”即可。然后到“TCP标识”区,这里其实不是只有一个功能设定的,它还可以变为“ICMP”区或“IGMP”区,视前一个“IP”区的协议类型而定,用户只有选择了TCP协议以后才能进入TCP标识里设置要具体控制的TCP标志位,里面一共有URG、ACK、PSH、RST、SYN和FIN这6种标志位供用户选择,主要针对一些有特殊TCP要求的用户,例如某台机器被用作Internet网关时,如果想阻止局域网内的某台机器通过TCP协议连接某个外部端口,则可把TCP标志位设置为ACK,阻止远程连接传回的应答请求,该连接自然就无法成功建立,最终达到拦截的目的。接着到“来源”区,许多人觉得LooknStop难以配置,除了“以太网类型”难以理解以外,最容易混淆的就是“来源”区和旁边的“目标”区,要成功配置LooknStop,首先要弄清楚一件事情:在LooknStop的规则设置里,“来源”完全表示本地,“目标”则表示远程,而不管实际的连接请求或者
