“科技教程：风云防火墙采用做法详解”

现在，很多伙伴开始对如何采用风云防火墙详细解决这个问题感兴趣。 每天看起来很平静，谁都会发生各种各样的故事。 因为，大家现在想知道这样的新闻。 那么，现在大家想详细了解风云防火墙的采用方法，有兴趣的朋友请和我一起看。 我不说废话，但马上跟着小编，一起看看吧。 我希望对你有帮助。

风云1.2测试版的启动画面和功能:

一、独特的创新木马数据包特征代码拦截技术，一旦木马程序被注册到病毒库，无论怎么添加伪装都可以完全实施拦截。

二、强力密码保护功能，彻底屏蔽wh_keyboard、wh _ journal记录、wh_getmessage、sendmessage等键盘记录软件功能。

三、查询新智能的检测、拦截、添加已知shell的程序的执行功能，可以安全明确添加shell的程序软件的执行安全性。

四、简单、完善、实用的防护规则、ip端口规则、工艺规则采用基础驱动，完全有效的防护系统的安全性。

五、确认和显示方便的互联网连接远程ip地址、远程物理地址，所有互联网连接一目了然。

六、自动检测进程隐藏，并能进行进程定位、属性显示、进程结束等一系列操作。

七、自动检测隐藏服务，使隐藏服务木马随处可见，瞬间出现隐藏服务，删除隐藏木马服务。

八、防火墙本身的保护功能，如果非法终止，会自动封锁本地互联网，确保本地安全。

九、文件监控防护功能可以定制任意文件夹的新文件的一系列操作。

十、与arp欺骗包相比，arp保护功能与局域网终结器相比可以有效防御。

程序安装:

指定 文件安装目录，通常选择上图的系统默认路径即可。

虽然 安装程序要求在此对话框的界面中输入本地主机局域网的ip地址，但经过测试，可以不向内外网的客户添加局域网地址，也可以使用防火墙 对于没有互联网基本知识，不太清楚自己局域网地址的客户来说，非常方便。

风云防火墙的安装只是在注册表中添加了必要的安装，它可以卸载新闻，也可以自动加载程序互联网基础驱动程序服务的注册和密钥值，特别简洁、清晰

重新启动电脑，显示画面:

这绝对是令人瞠目结舌的新颖程序启动界面，wolf--给人以尖锐、尖锐、冰冷、勇猛、高贵---令人激动的感觉。

程序主界面:

直观、整齐、简单的设计。 现在，这个测试版只能选择5种格调的skin。 在今后的正式版中，应该会在此基础上进行大幅的丰富和改良。 请期待……。

默认情况下，主界面将打开internet状态窗口，其中可以一目了然地显示当前系统的所有internet进程，包括协议、本地端口、远程地址、远程端口、应用程序路径和名称

单击程序规则，如下图所示。

在此处，添加或删除风云防火墙上允许或禁止通信的所有进程(包括应用程序、系统服务等)，确认没有错误后，导出程序规则指定的路径进行备份 第一次启动任一应用程序尝试连接互联网时，风云防火墙上将显示以下响应消息窗口: 对于常用的受信任的互联网访问程序，请选择该程序今后也将按照本操作运行，然后单击“允许”。

在 下为手续规则窗口:

上的照片是以maxthon (自豪的浏览器)为例设定的。 通常，浏览网页的http服务只有80个端口。 为了加强安全性而这样设定了。 很多朋友可能不太理解这里的监听端口的概念。 另外，监听端口是互联网侦听服务，监视对应的端口是否收到相关服务的连接请求，并立即做出响应。 否则，由于互联网的性能大幅下降，或者切断互联网，在LAN中的监听功能(前提是具备支持upnp自动端口映射的网关)，会增加到外部网的链接 例如，在bt类下载软件中尤为重要。

然后，单击以打开ip端口规则窗口，如下图所示。

设置 ip端口规则是安全软件的重要核心部分，是允许或禁止外部ip和端口本机连接的规则的集合，如接收、发送和双向传输。 首先简要说明几个基本概念:

【网络端口---计算机“端口”是英语端口的意思，可以认为是计算机与外部交流的出口。 在此，硬件行业的端口也被称为接口，例如是usb端口、串行端口等。 软件业端口通常是指面向互联网上的连接服务和非连接服务的通信协议端口，是一种抽象的软件结构，包括数据结构和i/o (基本输入/输出)缓冲区。 例如，经常用于提供NetBIOS名称服务的137、138和139端口。 其中137、138是udp端口，通过网络上的邻居传输文件时使用这个端口。 端口139 :来自此端口的连接将尝试获取netbios/smb服务。 该协议用于windows文件和打印机的共享和samba。 还有wins regisrtation也使用那个。 在一般情况下，系统的这些端口默认是开放的，并且经常被黑客和木马病毒利用来攻击计算机系统。 设置端口规则的作用是在保证正常互联网连接的前提下，关闭系统端口漏洞并实现互联网安全的目的。 】

需要证明的是，风云防火墙的默认ip端口规则也是基于否定的，首先要采取单独的信任方法，关闭所有端口连接，以便顺利进行正常的互联网访问，切断所有非法访问 事实上，许多复杂的端口规则设置需要具备大量专业的互联网知识才能合理操作，并且只适用于特定的互联网环境。 以牺牲客户的巨大精力为代价制定规则也不是软件制造商和应用程序的初衷。 了解互联网端口常识的朋友可以很快从前面风云防火墙内置的默认ip规则中得出初步结论，具有防御所有常见网络攻击的性能。 关于这个问题将在后面叙述。 从这个意义上说，风云防火墙这一设计的易用性和可靠性一定很好。

朋友们还必须认识到对ip端口规则设置的误解。 也就是说，端口规则的设定和规则文件的软件包并不是越多越复杂越好。 据我所知，各个防火墙软件的ip规则配置文件大小达到了m的订单。 为什么会这样呢？ 因为很多客户觉得多一个规则，多一个规则是妥当的。 坦率地说，哪个规则经常适用，本质上是为了回应空这样心中的诉求，没有任何意义。 这个现象已经不仅仅是互联网技术的问题了，n (关) y肯定)开放) n否定)关) y肯定)开放)这种圆周式的重复迂回的逻辑原理理论上讲无限扩张ip端口规则的数量也没错。 此外，这也是各个防火墙软件消耗大量系统资源，降低互联网性能的首要原因。

防火墙日志记录用于记录其业务状况(包括触发时间、对方ip地址、招聘端口等详细说明、防火墙采用的防护手段)，供顾客查阅并备案，或随时留存、或 在ip端口规则的设定中，通常只需打开记录非法入侵数据的基本日志记录功能即可，对于正常且频繁的互联网访问行为无需打开该选项。

在 中，系统启动项目的常规启动项目接口:

上红框中的互联网神盗nethief服务端隐藏的自启动项目【互联网神盗nethief是一种可以对本地和远程驱动器进行的远程文件访问工具。 新建文件、新建文件夹、搜索、剪切、复制和粘贴文件包括本地文件操作、签入、下载、将文件复制和移动到远程主机、本地执行和远程执行 服务端(被控端)主动连接客户端(控制端)，为了隐蔽，通常采用提供http服务的80端口作为监听端口，随着ie浏览器的启动，可以进行远程数据传输。 另外一方面，控制侧发送到服务器侧数据在第三方的通常主页等互联网空间实现，控制侧通过ftp写入主页空间的文件，服务器侧定期 这样，即使用户使用专用的端口扫描软件检查自己的端口，也很难发现。 控制端可以穿过防火墙，也可以访问局域网内部的电脑。 】

下图是服务的启动界面。

红色图标是检查服务启动项目时发现的隐藏服务，即灰色鸽子服务器端程序。 【灰鸽木马分为两部分。 是客户和服务端。 攻击者操作客户端，利用客户端的配置生成服务器端程序。 服务器端文件的名称默认为g_server.exe。 )上面2006年最新版本的鸽子木马，病毒服务器端的名字是windows xp vista，是随着时代而进化的。 运行g_server.exe后，将自己保存在windows目录( 98/xp为系统磁盘的windows目录，2k/nt为系统磁盘的winnt目录)、 然后从体内释放g_server.dll和g_server_hook目录的g_server.exe、g_server.dll和g_server_hook.dll三个连接字段 据观察，g_server.exe这个名字不固定，可以定制。 例如，如果定制服务器端的文件名为a.exe，则生成的文件为a.exe、a.dll、a_hook.dll。 windows目录中的g_server.exe文件将自己注册为服务，9x系统写入注册表的启动条目。 每次接通电源后都可以自动执行，执行后启动g_server.dll和g_server_hook.dll后自动退出。 g_server.dll文件实现后门功能，与控制端的客户端进行通信； g_server_hook.dll通过阻止api调用来隐藏病毒。 因此，中毒后，既看不到病毒文件，也看不到病毒注册的服务项目。 根据灰色鸽子服务器端文件的设置，g_server_hook.dll可以附加在explorer.exe的进程空之间，也可以附加在所有进程中。 】

通常，大多数木马病毒都希望隐藏的服务和进程能够自动运行，以便随时启动而不被发现。 检查常规启动项目和服务启动项目时，无法准确了解随系统自动启动的所有应用程序和服务，因此无法看到这些高度隐蔽的木马病毒。 如果发现可疑项目，请单击复选标记，然后单击删除复选框将其删除。 仅从优化系统性能的角度来看，即使是安全的应用程序和服务，跟随系统启动的时间也很少。 该界面的安全优化服务功能可以用于比较安全地关闭不需要的系统服务。

这是与文件相关的接口。

许多病毒在运行时对注册表进行恶意篡改，导致默认文联错误，用户打开常规文件项目时系统直接调用，以达到加载运行的目的，导致系统无法正常工作。 发现可疑的文件关联，点击自动修复可以恢复正常的文件关联，防止该类型的文件被病毒利用。 请参见下图:

这里想提到的是，风云防火墙作为安全防护软件，目前这一实用功能只是基于系统安全防护的立场考虑的，注册表[ HKEY _ classes _ roottxtfileshelopencc

以下是特洛伊外壳检测插件的接口。

为了便于理解，shell插件是ie浏览器插件。 ie的功能更强大更完整，但不是全能的。 在许多情况下，您可能必须使用第三方软件来执行特殊任务。 如果不想为某个功能安装其他浏览器，安装合适的插件可以为浏览器锻炼身体，实现功能扩展，支持ie重新分发断点，快速搜索关键字，或创建新页面 可以完成过去不可能完成的任务，例如网络翻译，直接看exif新闻等。 此外，它还容易用于某些恶意软件和广告软件，在打开浏览器后自动加载会影响客户互联网操作和互联网性能的shell，带来了许多被称为恶意软件的安全威胁 对于已确认的恶意或无用的插件，可以在选择后立即删除。 下图是删除恶意插件后的接口。

这里需要提到的是，这个功能目前对一些顽固流氓的恶意插件，如度娘搜霸、网络实名等还没有完全清除成功，要适当考虑进一步改善，以增强广域的检测能力 省去为客户安装其他恶意软件删除工具所需的麻烦，是有好处的，不是很高兴吗？

以下是“流程”视图界面。

通过此界面，可以查看系统当前运行的所有进程及其进程路径、进程id、软件供应商、操作说明、子模块调用等详细新闻。 确定隐藏的进程，选择危险的进程后，可以单击“结束进程选择”窗口按钮强制退出。

用于防止规则的接口:

这里的防止规则是指shell程序、线程注入程序的执行中指定的特别规则。 与上述过程规则的设置基本相同，您可以选择在第一次运行过程时出现以下响应提示时允许禁止，也可以在此接口中添加或删除规则，以帮助导入导出规则。 这里也要提到一些常识性的概念。

【shell】其实是利用特殊的算法，压缩了exe、dll文件内的资源。 虽然效果类似于winzip，但压缩的文件可以独立运行，解压过程完全隐藏并在内存中进行。 解压缩的原理是shell工具将命令添加到文件头，并通知cpu运算。 ，只有你的机器配置极低，才能感受到不添加shell和添加shell后软件运行速度的差别。 你添加壳的时候，实际上是把可行的程序在内存中解开，解开后，后面的就交给真正的程序了。 因此，这些工作只是在存储器中执行，很难知道具体的执行方法。 一般来说，加密shell意味着软件被壳化为稍微专用的shell程序，基本上是程序的压缩过程。 因为程序太大，可能需要压缩。 但是，大部分程序是为了防止反向跟踪调试，防止算法被他人静态分解。 加密代码和数据，保护程序数据的完整性。 不会被篡改或偷看你程序的内幕。 根据这个原理，很多病毒为了不遭遇尸检，隐藏运行，增加壳来解决，或者使用增加不同壳的工具在几层上增加壳。 】

【线程注入】一般程序执行的特殊手段。 大多数情况下，木马服务端通过代码注入，在可以与外部合法进行互联网通信的进程(如ie、icq、oicq、iis等)的地址/(/k0/)之间注入自身，然后作为新线程， 后者的实现可能有点麻烦。 如果作为新线程运行，则可以被动调试，也可以主动连接。 在系统运行过程中，即使是普通的合法软件(大多为即时通信系统)，线程也经常注入其他系统服务和模块。 这需要自己积累一定的相关经验，正确评价。 】

以下是一组体现风云防火墙侦察壳和危险线程防注入功能的实测图像，只限于纸面部分提供。 经过各种各样的测试，表明其特色功能非常强大和完整。

最下面是文件监视窗口:

该功能的主要目的是实时监视指定文件路径、文件样式(扩展名)的所有相关文件的属性更改，以防止病毒，防止恶意软件被看到，是不正确的后台 这是风云防火墙新增的另一个实用特色功能。 在上面的界面中，客户可以点击文件监视自定义参数进行自主编辑。 用. *样式依次填写各类型的扩展名。 例如，要增加对. txt文件的监视，只需在文件监视类型框中输入. exe.dll，然后输入. txt加以明确即可。 这个设定的变更必须重新编程才能生效。 不能随意增加监视文件目录和类型。 可能会引起频繁的气泡提示、警报音、文件监视日志记录。

为了监视而记录:

返回 程序的主画面，打开复印标题栏的设定---在详细设定或图标工具栏的系统设定中，首先显示如下的监视设定画面。 的客户建议选择所有选项以实现各方面的保护目的。

朝右依次执行注入线程排除程序:

系统的默认设置中排除了xdict.exe (金山词霸)、gameclient.exe )浩方对战平台的客户端)。 在此，您可以手动添加或删除要检查其安全的注入线程程序的名称。

arp保护:

点击 选择启用arp保护功能，分别填写本地和网关的ip地址，点击“读入mac”按钮，即可得到如上图所示的两者的mac值，确认结束。 mac是媒体访问控制的简称，mac地址是数据链路层的mac子层的地址，在局域网上通信时用于明确发送源和接收源。 mac地址是网卡的硬件地址。 即，ip实际地址

/ h /】【IP数据包大多通过以太网发送。 以太网设备不识别32位的ip地址。 以太网数据包用48位以太网地址进行传输。 因此，ip驱动器必须将ip地址转换为以太网地址。 这两个地址之间存在静态或算法映射，并且经常需要显示表。 地址解析协议( address resolution协议，arp )是用于明确这些图像的协议。 arp在进行业务时，发送包含期望ip地址的以太网广播分组。 目标主机或表示该主机的另一个系统用包含ip地址-以太网地址对的包进行响应。 发送者缓存这个地址，以节省不必要的arp通信。 如果不被信任的节点对本地互联网具有写入访问权限，则也存在风险。 这样的机器可以发布虚假的arp消息，并将所有通信都指向自己。 之后，您可以扮演一些主机和服务器，也可以轻松地更改数据流。 这就是arp诈骗的简单原理。 】

其他设定:

启用声音提示、记录日志、闪烁图标、打开/关闭任务栏气泡提示的选项设置。 顺便提一下任务管理器的扩展插件。 启用此选项后，风云防火墙将直接插入到系统taskmgr (任务管理器进程)中，以实时监视系统的当前执行进程。 图中的蓝色表示系统的重要进程(系统正常工作的优先顺序高的必要进程)，不能从外部强制终止。

密码保护功能:

保护客户输入的密码，防止密码泄露。 完全阻止键盘记录软件，如wh _键盘记录、wh _日志记录、wh_getmessage和发送消息。 这里需要注意的是，不要与其他类似功能的安全软件一起启动。 防止内存溢出，引起系统错误。

打开安全功能和密码存储2006时，qq登录对话框的密码栏的红色异常警告:

网际网路中断连线:

关闭所有端口，断开所有互联网连接。 在风云防火墙上其他未知程序进程非法结束后，自动切断互联网，以保护主机安全的情况很少见，不赘述。

修复ie故障和主机文件:

网上冲浪是ie最先需要的软件，因此，很多木马病毒的恶意软件成为集中攻击的目标，只要稍一疏忽，脚的切断就会变少，从而无法正常工作，所以这个修复功能就很明显了

本文：《“科技教程：风云防火墙采用做法详解”》