5.5.9诺顿防火墙的应用

5.5.9　诺顿防火墙的应用

Symantec Client Firewall也就是常说的诺顿防火墙，是 Symantec Client Security 的一个组件。

在客户端级，Symantec Client Security提供多种形式的防护，包括：病毒防护、内容过滤、防火墙、入侵检测、文件、引导和宏病毒、远程控制特洛伊木马、邮件群发病毒、活动网络传染者等。以上防护根据Symantec安全解决方案由Symantec AntiVirus客户端、Symantec Client Firewall和入侵检测（IDS）分工完成。

客户端安全策略的实施Symantec Client Security 通过集成多种技术提供客户端安全策略的实施。客户端防火墙技术和实时防病毒扫描技术将扫描所有进出远程用户计算机和联网客户端的通信。防火墙将基于防火墙规则确定传出文件的威胁级别。这时，即使实时防护已经禁用，客户端防火墙也会调用防病毒技术对传出的文件进行病毒扫描。 如果发现病毒，防火墙技术会自动提高安全标准，禁止该文件从远程客户端或联网客户端传送出去。

通过客户端防火墙和入侵检测技术集成、扫描所有传入和传出的通信并将其与已知威胁特征进行比较，可以拦截检测到的具有入侵企图的恶意 IP 地址。

Symantec Client Firewall还提供计算机网络中级保护，对所有应用程序，禁止Internet访问，直到有你的允许，在正常使用Internet时保护你的计算机，较少警报（默认级别，建议多数用户使用）。

活动快照功能能够识别正在发生的攻击尝试，并检查程序设置如何影响防护工作; 防止计算机受到Internet 黑客攻击和非法侵入。使 Internet 上的其他人无法看到你的计算机。防止远程和移动用户受到黑客攻击，并防止黑客利用这些系统通过“后门”访问企业网络; 检测和禁止恶意通信以及外部用户对你的计算机的攻击企图; 使你可以利用多种控制级别来控制用户和 Web 浏览器通过 Internet 发送多种信息，主页面如图5-143所示。

图5-143

1．客户端防火墙

Symantec Client Firewall提供3种等级的安全防护，单击“客户端防火墙”→“客户端防火墙设置”进行设置，如图5-144所示。

高级：对所有应用程序，禁止Internet访问直到有你的允许，允许当前内容运行之前先提示，使用大量警报保护你的计算机免受大多数黑客攻击。

图5-144

低级：禁止已知威胁和黑客访问端口，在正常使用Internet时保护你的计算机，无警报。

当然，对于高级用户，你也可以按自己的需要对Java程序、ActiveX控件等选项进行个性化自定义。

2．Internet访问控制

Symantec Client Firewall安装后，所提供的默认保护级别适合绝大多数用户，无须用户做太多的设置。你所需要做的就是进行Internet访问控制的应用程序扫描，Symantec Client Firewall从计算机中扫描可识别的应用程序，并允许为每个应用程序选择适当设置。

高级用户可单击“客户端防火墙” →“Internet访问控制”命令对系统范围和特洛伊木马进行自定义的设置以满足需求，如图5-145所示。

图5-145

在“配置”下拉菜单中单击“应用程序扫描”命令可以确定访问互联网的应用程序，如图5-146所示。

图5-146

单击“下一步”按钮可显示当前访问互联网的应用程序，如图5-147所示。对于扫描出的需要通过Internet访问的应用程序我们可以全部选中，并让Symantec Client Firewall自动为其配置访问规则。

图5-147

对于应用程序扫描未得到确认的应用程序，可以手动添加规则或是当应用程序第一次尝试网络连接的时候进行确认，Symantec Client Firewall会对该应用程序进行分析，便于你选择允许还是禁止该程序的访问，如图5-148所示。

当应用软件的版本发生变更时，Symantec Client Firewall会进行重新网络连接确认，这在一定程度上很好地保护本机的安全。这样在“Internet访问控制”中就会显示同一应用程序的多个访问规则，如图5-149所示。

图5-148

图5-149

3． Internet 区域控制

单击“客户端防火墙”→“Internet 区域控制”命令可打开Internet 区域控制设置页面，如图5-150所示。

图5-150

如该机处在局域网内，请将局域网内其他机器添加至信任区域。

（1）放入信任区域中的计算机将不受Symantec Client Firewall的管制

它们对你计算机的访问权限如同没有安装Symantec Client Firewall时一样。仅对局域网上需要与你共享文件和打印机的计算机使用信任区域。如果信任区域中的某个计算机受到攻击，而且攻击者控制该计算机，该攻击就会对你的计算机以及信任区域内的所有其他计算机造成危险。

（2）放入限制区域中的计算机根本无法访问你的计算机

如果某个计算机位于限制区域，该计算机与你通过Symantec Client Firewall进行保护的任何计算机之间的所有通信就会被自动禁止。

（3）在多数情况下，你需要将局域网内所有计算机添加到信任区域

只有在你知道外部计算机的用户可以倍受信任并且他们已安装防火墙软件的情况下，才将外部计算机添加到信任区域。

对于那些对本机进行恶意攻击的IP（D版软件认证的IP、3721等IP地址）可将其添加至限制区域，这样就永久限制该IP对本机的访问（可在限制区域处手动添加IP地址）。点击“添加”按钮即跳出“指定计算机”菜单，如图5-151。在这里，你可以分别设置允许访问的单台计算机或是某个网络范围的多台计算机。

图5-151

4．入侵检测

Symantec Client Firewall入侵检测会根据攻击特征里的规则，对收到的数据包使用逐个扫描和信息流监视两种方法进行检测。确认攻击则自动丢弃数据包并断开与发送该数据的计算机的连接（发出警报）。该程序还将激活“自动禁止”功能，以便允许在一段时间内自动丢弃来自攻击计算机的传入通信，即使传入通信与攻击特征不匹配时也是如此。在默认情况下，“自动禁止”功能将来自攻击计算机的所有入站通信阻挡 30 分钟。当“自动禁止”功能阻止来自远程计算机的所有入站通信时，它并不禁止你向攻击计算机发送信息。

除此之外，Symantec Client Firewall还监控本机向外发送的所有信息，这将确保本机不会用于或在你不知情的情况下攻击他人。

在一般情况下，Symantec Client Firewall不会对非活动端口或禁止的端口进行的攻击发出警报。Symantec Client Firewall不扫描来自信任区域内的信息，但会对由本机发送至信任区域内的信息进行监控。

有些正常的 Internet 活动会被 Symantec Client Firewall 反复识别为攻击。例如，有些 Internet服务供应商扫描你的计算机端口以确保它们在其服务协议范围内。为防止正常活动中断你使用 Internet，你可以将某些计算机排除在“自动禁止”的禁止范围之外。排除分为特征排除和IP地址排除（IP地址排除无需添加信任区域内的IP）。

单击“客户端防火墙”→“入侵检测”命令，打开入侵检测设置页面，如图5-152所示。

图5-152

5．隐私防护

隐私防护可防止 Web 站点发现你所使用的浏览器类型、上次访问的 Web 站点以及有关你的浏览习惯的其他信息。如果 Web 站点无法识别你所使用的浏览器类型，其中某些依赖 Java Script 的 Web站点可能无法正确工作。分高、中、低三个级别，默认级别中级，单击【隐私控制】按钮，打开如图5-153所示的界面。

图5-153

隐私防护可对诸如电话、电子邮件地址、家庭住址、密码、信用卡及银行账户等敏感信息进行防护，可在保密信息里手动添加，如图5-154所示。

图5-154

有些基于 Web 的服务可能需要访问“隐私控制”自动禁止的浏览器信息。可以禁用“隐私控制”，以使Web 站点从你的浏览器收集信息。

6．事件查看

Symantec Client Firewall提供了完善的网络访问记录，可通过“Symantec Client Firewall选项” →“查看事件日志”获得。该日志对连接、防火墙、入侵检测、隐私、系统、历史记录、警报做了详细记录，可供用户查询分析，如图5-155所示。

图5-155

7．LiveUpdate升级

在安装Symantec Client Firewall时预定和启用了大量的防火墙规则。这些规则提供基本的网络功能。LiveUpdate 提供最新的防护信息，通过 Internet 连接，LiveUpdate 将程序更新和防护更新下载到你的计算机。定期运行 LiveUpdate，以预防已知的Internet 威胁。

点击主菜单中的“LiveUpdate”按钮会出现如图5-156的升级窗口。

图5-156

像Norton AntiVirus的升级一样，一路单击“下一步”按钮，即可完成整个升级，操作非常简单，这里就不再赘述了，如图5-157所示。

图5-157

升级完成后单击“完成”按钮即可，如图5-158所示。

图5-158

8．其他设置

禁用Symantec Client Firewall，如图5-159所示。

图5-159

（1）可以将其修改为手动。

（2）禁止Symantec Client Firewall服务。