阿多

對于本本用戶來說，使用本本可以隨時上網(wǎng)沖浪。但是，如何保證本本上網(wǎng)安全，避免遭遇不必要的風險，是其不得不考慮的問題。除了使用各種安全工具保護本本安全外，其實還使用系統(tǒng)內(nèi)置的防火墻，無須進行復雜的配置，就可以讓本本安全地連接外部網(wǎng)絡。這里就使用具體的實例，來說明實現(xiàn)的方法。

將惡意網(wǎng)站拒之門外

在上網(wǎng)瀏覽時，經(jīng)常有一些惡意或者自己不喜歡的頁面不請自來。為了避免騷擾，可以利用防火墻規(guī)則將其拒之門外。例如，不管是電信寬帶，還是聯(lián)通寬帶，運行商都會自作聰明地配置錯誤網(wǎng)頁提示功能。當您訪問并不存在網(wǎng)址時，會自動被定向到ISP默認的錯誤頁面中。例如對于某型寬帶來說，當訪問錯誤網(wǎng)址時，會進入某個特定錯誤處理網(wǎng)頁，其中還會夾雜著廣告，讓人不勝其煩。

在CMD窗口中利用Ping命令對“xxxxxxxxxxx.xx.com.cn”網(wǎng)址進行探測（X代表具體網(wǎng)址），得到其真實的IP地址，例如“218.xx.xxx.xx”。在Windows防火墻管理窗口左側(cè)點擊“高級設置”項，在高級安全Windows防火墻窗口左側(cè)點擊“入站規(guī)則”項，在窗口右側(cè)的“操作”欄中點擊“新建規(guī)則”項，在規(guī)則創(chuàng)建向?qū)Ы缑嬷羞x擇“自定義”項，在下一步窗口左側(cè)點擊“作用域”項，在窗口右側(cè)的“此規(guī)則應用于哪些本地IP地址”欄中選擇“任何IP地址”項。在“此規(guī)則應用于哪些遠程IP地址”欄中選擇“下列IP地址”項，點擊“添加”按鈕，在彈出窗口（圖1）中選擇“此IP地址或子網(wǎng)”項，輸入上述IP地址。在下一步窗口中選擇“阻止連接”項，點擊左側(cè)的“配置文件”項，在右側(cè)選擇所有項目，包括域、專用、公用等。在下一步窗口中為本規(guī)則設置名稱，輸入描述信息。點擊“完成”按鈕，完成本規(guī)則創(chuàng)建操作。這樣，當系統(tǒng)試圖訪問禁用的IP后，就會遭到防火墻的攔截，進而避開錯誤網(wǎng)頁的騷擾。當然，按照這種方法，可以限制針對任何IP或者IP地址群的訪問，靈活的避開各種惡意網(wǎng)頁的侵襲。

攔截非法網(wǎng)絡連接

Windows防火墻不僅可以攔截對特定網(wǎng)站的訪問，還可以封鎖任意程序的上網(wǎng)通道，讓其無法連接外部網(wǎng)絡。例如當您發(fā)現(xiàn)木馬潛入本機，而殺毒軟件并沒有對其清除，那么該木馬程序很可能經(jīng)過了免殺處理。為了防止其非法連接外部主機，泄露本機數(shù)據(jù)，最直接的方法就是切斷其連接的網(wǎng)絡通道。比如您發(fā)現(xiàn)名稱為“xxx.exe”的程序藏身到系統(tǒng)目錄中，非法打開了后門，試圖和遠方的黑客建立聯(lián)系，就可以按照上述方法，建立一條安全規(guī)則。

注意應該選擇“出站規(guī)則”項。在規(guī)則創(chuàng)建窗口中選擇“自定義”項，在窗口左側(cè)選擇“程序”項，在右側(cè)窗口中選擇“此程序路徑”項，點擊“瀏覽”按鈕，選擇該木馬程序，例如“c：＼windows＼system32＼xxx.exe”。在下一步窗口左側(cè)點擊“操作”項，在右側(cè)窗口選擇“阻止連接”項。按照上述方法，選擇所有作用域?qū)ο?。接著輸入該?guī)則名稱和描述信息，完成該規(guī)則的創(chuàng)建操作。這樣，該木馬程序就無法連接外部網(wǎng)絡了。當然，您可以靈活地使用上述方法，對任何程序進行限制，防止其和外界建立網(wǎng)絡通道。

完全掌控本本聯(lián)網(wǎng)權限

在高級安全Windows防火墻窗口右側(cè)打開“本地計算機上的高級安全Windows防火墻”項，在其下點擊“屬性”項，在彈出窗口（圖2）中的“域配置文件”面板中的“防火墻狀態(tài)”列表中選擇“啟用（推薦）”項，在“入站連接”列表中選擇“阻止所有連接”項，在“出站連接”列表中選擇“阻止”項，之后點擊確定按鈕，就可以切斷進出本機的所有連接，將本機徹底和外界隔離開來。順帶說一句，在這種情況下，即使病毒或者木馬潛入系統(tǒng)，也無法和Internet建立任何連接，接下來您就可以使用安全工具圍捕病毒了。當然，為了僅僅讓指定的程序連接網(wǎng)絡，我們必須在此基礎上對System和DNS兩大系統(tǒng)對象開放網(wǎng)絡連接才行。

按照上述方法，在“出站規(guī)則”模塊中新建一個新規(guī)則，在規(guī)則創(chuàng)建向?qū)Т翱谥羞x擇“程序”項，在下一步窗口中選擇“此程序路徑”項，在其下直接輸入“System”，在下一步窗口中選擇“允許連接”項，之后輸入該規(guī)則名稱和描述信息，完成規(guī)則創(chuàng)建操作。

提起DNS，大家都不會陌生，利用DNS域名解析功能，可以輕松完成域名和IP的轉(zhuǎn)換，加快網(wǎng)絡訪問速度。因為DNS是網(wǎng)絡訪問的基石，所以應該放行DNS服務?？梢园凑丈鲜龇椒?，在“出站規(guī)則”模塊中新建一個新規(guī)則，在規(guī)則創(chuàng)建向?qū)Т翱谥羞x擇“自定義”項，在下一步窗口中選擇“此程序路徑”項，在其下點擊“瀏覽”按鈕，選擇“C：＼Windows＼System32＼Svchost.exe”程序。在下一步窗口中的“協(xié)議類型”列表中選擇“UDP”項，在“本地端口”列表中選擇“特定端口”項，在其下輸入“1024～65536”。表示允許其使用本地端口的范圍為1024～65536。在“遠程端口”列表中選擇“特定端口”項，在其下輸入端口號53。依次點擊下一步按鈕，配置均采用默認設置。注意，在“配置文件”窗口中可以根據(jù)實際需要，選擇公用或者專用類型。輸入規(guī)則名稱和描述信息，來創(chuàng)建該規(guī)則。

完成以上操作后，本本就不再處于網(wǎng)絡孤島狀態(tài)，具有了最基本的網(wǎng)絡連接能力。接下來就可以為特定的程序開放網(wǎng)絡連接特權了。這里以開放IE瀏覽器網(wǎng)絡訪問特權為例，介紹具體的實現(xiàn)方法。按照上述方法，在“出站規(guī)則”模塊中創(chuàng)建一條新規(guī)則，在向?qū)Ы缑嬷羞x擇“自定義”項，在下一步窗口（圖3）中選擇“此路徑程序”項，點擊“瀏覽”按鈕，選擇IE主程序路徑，例如“C：＼Program？Files＼InternetExplorer＼iexplorer.exe”。

在下一步窗口中的“協(xié)議類型”列表中選擇“TCP”項，在“本地端口”列表中選擇“特定端口”項，在其下輸入“1024～65536”。在“遠程端口”列表中選擇“特定端口”項，在其下輸入端口號53。這表示允許IE使用本機的TCP端口（范圍為1024～65536）訪問任意目標主機的80端口，實現(xiàn)正常的網(wǎng)頁瀏覽操作。依次點擊“下一步”按鈕，使用默認的配置參數(shù)即可。在“配置文件”窗口中可以根據(jù)實際需要，選擇公用或者專用類型，之后輸入本規(guī)則的名稱和描述信息，完成規(guī)則創(chuàng)建操作。使用了該規(guī)則后，IE就可以自動訪問網(wǎng)絡了。當然，您可以根據(jù)實際需要，有選擇地開放所需程序的網(wǎng)絡訪問權限，創(chuàng)建相應規(guī)則的方法與上述完全相同。