工具材料:電腦一台、WINDOWS系統
WINDOWS防火牆解除阻止的網路連接的方法:
找到電腦左下角的開始圖標,找到控制面板並打開:
這個列表沒有的話,點那個允許另外一個程序,找到自己想要的程序的運行文件,加上就好了,不會阻止了。
以上就是WINDOWS防火牆解除阻止的網路連接的操作方法。
『貳』 計算機防火牆的主要作用是什麼
一、防火牆能夠作到些什麼?
1.包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連接的方式,都算防火牆。早期的防火牆一般就是利用設置的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連接數。
2.包的透明轉發
事實上,由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息,都需要經過防火牆的轉發,因此,很多防火牆具備網關的能力。
3.阻擋外部攻擊
如果用戶發送的信息是防火牆設置所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。
4.記錄攻擊
如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。
以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。
二、防火牆有哪些缺點和不足?
1.防火牆可以阻斷攻擊,但不能消滅攻擊源。
「各掃自家門前雪,不管他人瓦上霜」,就是目前網路安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火牆能夠阻擋他們,但是無法清除攻擊源。即使防火牆進行了良好的設置,使得攻擊無法穿透防火牆,但各種攻擊仍然會源源不斷地向防火牆發出嘗試。例如接主幹網10M網路帶寬的某站點,其日常流量中平均有512K左右是攻擊行為。那麼,即使成功設置了防火牆後,這512K的攻擊流量依然不會有絲毫減少。
2.防火牆不能抵抗最新的未設置策略的攻擊漏洞
就如殺毒軟體與病毒一樣,總是先出現病毒,殺毒軟體經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略,也是在該攻擊方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網路,那麼防火牆也沒有辦法幫到您的。
3.防火牆的並發連接數限制容易導致擁塞或者溢出
由於要判斷、處理流經防火牆的每一個包,因此防火牆在某些流量大、並發請求多的情況下,很容易導致擁塞,成為整個網路的瓶頸影響性能。而當防火牆溢出的時候,整個防線就如同虛設,原本被禁止的連接也能從容通過了。
4.防火牆對伺服器合法開放的埠的攻擊大多無法阻止
某些情況下,攻擊者利用伺服器提供的服務進行缺陷攻擊。例如利用開放了3389埠取得沒打過sp補丁的win2k的超級許可權、利用asp程序進行腳本攻擊等。由於其行為在防火牆一級看來是「合理」和「合法」的,因此就被簡單地放行了。
5.防火牆對待內部主動發起連接的攻擊一般無法阻止
「外緊內松」是一般區域網絡的特點。或許一道嚴密防守的防火牆內部的網路是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式,然後由中木馬的機器主動對攻擊者連接,將鐵壁一樣的防火牆瞬間破壞掉。另外,防火牆內部各主機間的攻擊行為,防火牆也只有如旁觀者一樣冷視而愛莫能助。
6.防火牆本身也會出現問題和受到攻擊
防火牆也是一個os,也有著其硬體系統和軟體,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。
7.防火牆不處理病毒
不管是funlove病毒也好,還是CIH也好。在內部網路用戶下載外網的帶毒文件的時候,防火牆是不為所動的(這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能,雖然它們不少都叫「病毒防火牆」)。
看到這里,或許您原本心目中的防火牆已經被我拉下了神台。是的,防火牆是網路安全的重要一環,但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識,而非技術!」請牢記這句話。
不管怎麼樣,防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時,除了物理上的隔離和目前新近提出的網閘概念外,首要的選擇絕對是防火牆。那麼,怎麼選擇需要的防火牆呢?
防火牆的分類
首先大概說一下防火牆的分類。就防火牆(本文的防火牆都指商業用途的網路版防火牆,非個人使用的那種)的組成結構而言,可分為以下三種:
第一種:軟體防火牆
軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。軟體防火牆就象其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。
第二種:硬體防火牆
這里說的硬體防火牆是指所謂的硬體防火牆。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到os本身的安全性影響。國內的許多防火牆產品就屬於此類,因為採用的是經過裁減內核和定製組件的平台,因此國內防火牆的某些銷售人員常常吹噓其產品是「專用的os」等等,其實是一個概念誤導,下面我們提到的第三種防火牆才是真正的os專用。
第三種:晶元級防火牆
它們基於專門的硬體平台,沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠商莫過於NetScreen.其他的品牌還有FortiNet,算是後起之秀了。這類防火牆由於是專用OS,因此防火牆本身的漏洞比較少,不過價格相對比較高昂,所以一般只有在「確實需要」的情況下才考慮。
在這里,特別糾正幾個不正確的觀念:
1.在性能上,晶元級防火牆>硬體防火牆>軟體防火牆。
在價格上看來,的確倒是如此的關系。但是性能上卻未必。防火牆的「好」,是看其支持的並發數、最大流量等等性能,而不是用軟體硬體來區分的。事實上除了晶元級防火牆外,軟體防火牆與硬體防火牆在硬體上基本是完全一樣的。目前國內的防火牆廠商由於大多採用硬體防火牆而不是軟體防火牆,原因1是考慮到用戶網路管理員的素質等原因,還有就是基於我國大多數民眾對「看得見的硬體值錢,看不到的軟體不值錢」這樣一種錯誤觀點的迎合。不少硬體防火牆廠商大肆詆毀軟體防火牆性能,不外是為了讓自己那加上了外殼的普通pc+一個被修改後的內核+一套防火牆軟體能夠賣出一個好價錢來而已。而為什麼不作晶元級防火牆呢?坦白說,國內沒有公司有技術實力。而且在中國市場上來看,某些國內的所謂硬體防火牆的硬體質量連diy的兼容機都比不上。看看國內XX的硬體防火牆那拙劣的硬碟和網卡,使用過的人都能猜到是哪家,我就不點名了。真正看防火牆,應該看其穩定性和性能,而不是用軟、硬來區分的。至少,如果筆者自己選購,我會選擇購買CheckPoint而非某些所謂的硬體防火牆的。
2.在效果上,晶元防火牆比其他兩種防火牆好
這同樣也是一種有失公允的觀點。事實上晶元防火牆由於硬體的獨立,的確在OS本身出漏洞的機會上比較少,但是由於其固化,導致在面對新興的一些攻擊方式時,無法及時應對;而另外兩種防火牆,則可以簡單地通過升級os的內核來獲取系統新特性,通過靈活地策略設置來滿足不斷變化的要求,不過其OS出現漏洞的概率相對高一些。
3.唯技術指標論
請以「防火牆買來是使用的」為第一前提進行購買。防火牆本身的質量如何是一回事,是否習慣使用又是另一回事。如果對一款產品的界面不熟悉,策略設置方式不理解,那麼即使用世界最頂級的防火牆也沒有多大作用。就如小說中武林中人無不嚮往的「倚天劍」、「屠龍刀」被我拿到,肯定也敵不過喬峰赤手的少林長拳是一般道理。防火牆技術發展至今,市場已經很成熟了,各類產品的存在,自然有其生存於市場的理由。如何把產品用好,遠比盲目地比較各類產品好。
IDS
什麼是IDS呢?早期的IDS僅僅是一個監聽系統,在這里,你可以把監聽理解成竊聽的意思。基於目前局網的工作方式,IDS可以將用戶對位於與IDS同一交換機/HuB的伺服器的訪問、操作全部記錄下來以供分析使用,跟我們常用的widnows操作系統的事件查看器類似。再後來,由於IDS的記錄太多了,所以新一代的IDS提供了將記錄的數據進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審核上很象;目前新一代的IDS,更是增加了分析應用層數據的功能,使得其能力大大增加;而更新一代的IDS,就頗有「路見不平,拔刀相助」的味道了,配合上防火牆進行聯動,將IDS分析出有敵意的地址阻止其訪問。
就如理論與實際的區別一樣,IDS雖然具有上面所說的眾多特性,但在實際的使用中,目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網路上的數據流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發阻斷數據包來阻斷當前行為,並且IDS的阻斷范圍也很小,只能阻斷建立在TCP基礎之上的一些行為,如Telnet、FTP、HTTP等,而對於一些建立在UDP基礎之上就無能為力了。因為防火牆的策略都是事先設置好的,無法動態設置策略,缺少針對攻擊的必要的靈活性,不能更好的保護網路的安全,所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件,從而使網路隱患降至較低限度。
接下來,我簡單介紹一下IDS與防火牆聯動工作原理
入侵檢測系統在捕捉到某一攻擊事件後,按策略進行檢查,如果策略中對該攻擊事件設置了防火牆阻斷,那麼入侵檢測系統就會發給防火牆一個相應的動態阻斷策略,防火牆根據該動態策略中的設置進行相應的阻斷,阻斷的時間、阻斷時間間隔、源埠、目的埠、源IP和目的IP等信息,完全依照入侵檢測系統發出的動態策略來執行。一般來說,很多情況下,不少用戶的防火牆與IDS並不是同一家的產品,因此在聯動的協議上面大都遵從 opsec 或者 topsec協議進行通信,不過也有某些廠家自己開發相應的通信規范的。目前總得來說,聯動有一定效果,但是穩定性不理想,特別是攻擊者利用偽造的包信息,讓IDS錯誤判斷,進而錯誤指揮防火牆將合法的地址無辜屏蔽掉。
因為諸多不足,在目前而言,IDS主要起的還是監聽記錄的作用。用個比喻來形容:網路就好比一片黑暗,到處充滿著危險,冥冥中只有一個出口;IDS就象一支手電筒,雖然手電筒不一定能照到正確的出口,但至少有總比沒有要好一些。稱職的網管,可以從IDS中得到一些關於網路使用者的來源和訪問方式,進而依據自己的經驗進行主觀判斷(注意,的確是主觀判斷。例如用戶連續ping了伺服器半個小時,到底是意圖攻擊,還是無意中的行為?這都依據網路管理員的主觀判斷和網路對安全性的要求來確定對應方式。)對IDS的選擇,跟上面談到的防火牆的選擇類似,根據自己的實際要求和使用習慣,選擇一個自己夠用的,會使用的就足夠了。
最後,要說的依然是那句「世界上沒有一種技術能真正保證絕對地安全。」安全問題,是從設備到人,從伺服器上的每個服務程序到防火牆、IDS等安全產品的綜合問題;任何一個環節工作,只是邁向安全的步驟。
參考資料:TechTarget中文網
『叄』 出現網路被阻止怎麼弄
1、手動設置IP:方法是打開「控制面板」——「網路連接」,找到當前的本地連接,右擊它,選「屬性」,在「常規」選項卡中雙擊「Internet協議 (TCP/IP)」,選擇「使用下面的IP地址」,在「IP地址」中填寫「192.168.0.1」,在「子網掩碼」中填寫「255.255.255.0」,其他不用填寫,然後點「確定」即可解決該問題。(如果當前計算機加入工作組或域,就要根據情況而設置),用指定IP的方法解決,但是用這種方法有時也無法解決問題(表現為「連接限制」的提示會消失,本地連接正常,但是不能上網)。
2、設置網卡:
1)、把網卡禁用一下,再啟用。
2)、將機箱電源拔掉,機箱的那頭,還有小貓或陸游器的電源.全部關閉斷電並拔出電源線,然後把機箱打開,把網卡拔出,然後按原來位置插好!將機箱安裝好,裝上電源,連接好網路線!其餘的線都連好,啟動電腦!進入XP故障排除。
3、關閉防火牆。
4、本地連接屬性中有一選項為「在連接受限制或無連接時不要通知我」在它的前面打上勾。
5、命令提示符(運行cmd)處鍵入 netsh winsock reset,然後按 Enter。運行此命令後重新啟動計算機。
6、在「網路連接」中,用滑鼠右鍵單擊「本地連接」,在彈出菜單中選擇「屬性」,而後在彈出對話框中查看「常規」標簽頁中的「此連接使用下列項目」列表,去除其中默認的「Internet協議」對話框中的對號。確認操作後,網路連接受限的提示就會消失,此時看看是否能夠上網。如果還是無法上網,則再次調出「本地連接 屬性」對話框,在「常規」標簽頁中點擊「按鈕」按鈕,彈出「選項網路組件類型」對話框,在其中的列表中選擇「協議」,再點擊「添加」按鈕,彈出「選擇網路協議」對話框,選擇「廠商」為「Microsoft」,「網路協議」為「Microsoft TCP/IP版本6」,逐層確認操作後,即可解決問題。
『肆』 你當前沒有上網許可權,路由器系統自動對你阻止上網 怎麼解決
可以採取以下步驟解決:
1. 取消簡單文件共享。
打開「我的電腦」,在菜單上選擇「工具」->「文件夾選項」->「查看」,清除「使用簡單文件共享(推薦)」的選擇。
2. 啟用guest賬戶。
右鍵點擊「我的電腦」,選擇「管理」,選擇「本地用戶和組」->「用戶」,右鍵點擊Guest用戶,選「屬性」,清除「帳戶已停用」的選擇。
3. 在組策略中設置,安全策略。
開始--運行--gpedit.msc--計算機配置--windows設置--安全設置--本地策略--「用戶權力指派」,雙擊右邊的「從網路訪問此計算機」,保證其中有Everyone,雙擊左邊的「拒絕從網路訪問此計算機」,保證其是空的。
4. 選擇左邊的「本地策略」->「安全選項」,
a.確認右邊的「網路訪問:本地帳戶的共享與安全模式」為「經典」;
b.確認右邊的「Microsoft網路客戶:為通訊啟用數字簽名(總是)」為「已停用」;
c.確認右邊的「Microsoft網路客戶:為通訊啟用數字簽名(如果伺服器允許)」為「已啟用」;
d.確認右邊的「Microsoft網路伺服器:為通訊啟用數字簽名(總是)」為「已停用」;
e.確認右邊的「Microsoft網路伺服器:為通訊啟用數字簽名(如果伺服器允許)」為「已啟用」。
5.正確配置網路防火牆
1>很多機器安裝了網路防火牆,它的設置不當,同樣導致用戶無法訪問本機的共享資源,這時就要開放本機共享資源所需的NetBIOS埠。筆者以天網防火牆為例,在「自定義IP規則」窗口中選中「允許區域網的機器使用我的共享資源」規則,最後點擊「保存」按鈕,這樣就開放了NetBIOS埠 。
2>關閉windows自帶防火牆。
6.合理設置用戶訪問許可權
網路中很多機器使用 NTFS文件系統,它的ACL功能(訪問控制列表)可以對用戶的訪問許可權進行控制,用戶要訪問這些機器的共享資源,必須賦予相應的許可權才行。如使用Guest賬號訪問該機器的CPCW共享文件夾,右鍵點擊該共享目錄,選擇「屬性」,切換到「安全」標簽頁,然後將Guest賬號添加到用戶列表中,接著指定Guest的訪問許可權,至少要賦予「讀取」和「列出文件夾目錄」許可權。如果想讓多個用戶賬號能訪問該共享目錄,只需要添加Eeryone賬號,然後賦予「讀取」和「列出文件夾?..
7、網路協議配置問題,
A、網路協議的安裝和設置
1.在WinXP中安裝NetBEUI協議
對的,你沒有看錯,就是要在WinXP中安裝NetBEUI協議。微軟在WinXP中只支持TCP/IP協議和NWLink IPX/SPX/NetBIOS兼容協議,正式宣布不再支持NetBEUI協議。但是在建立小型區域網的實際使用中,使用微軟支持的兩種協議並不盡如人意。比如,在解決網上鄰居慢問題的過程中,筆者採用了諸多方法後網上鄰居的速度雖然好一點,但還是慢如蝸牛;另外,在設置多塊網卡的協議、客戶和服務綁定時,這兩種協議還存在BUG,多塊網卡必須同時綁定所有的協議(除NWLink NetBIOS)、客戶和服務,即使你取消某些綁定重啟後系統又會自動加上,這顯然不能很好地滿足網路建設中的實際需要。而當筆者在WinXP中安裝好NetBEUI協議後,以上兩個問題都得到圓滿的解決。
在WinXP安裝光碟的「\valueADD\MSFT\NET\NETBEUI」目錄下有3個文件,其中「NETBEUI.TXT」是安裝說明,另外兩個是安裝NetBEUI協議所需的文件。安裝的具體步驟如下:
復制「NBF.SYS」到「%SYSTEMROOT%\SYSTEM32\DRIVERS\」目錄;
復制「NETNBF.INF」到「%SYSTEMROOT%\INF\」目錄;
在網路連接屬性中單擊「安裝」按鈕來安裝NetBEUI協議。
註:%SYSTEMROOT%是WinXP的安裝目錄,比如筆者的WinXP安裝在F:\Windows目錄下,就應該用F:\Windows來替換%SYSTEMROOT%。
2.在WinXP中設置好其它網路協議
建議,如果你的區域網不用上Internet便只需要安裝NetBEUI協議就行了。在小型區域網(擁有200台左右電腦的網路)中NetBEUI是佔用內存最少、速度最快的一種協議,NWLink IPX/SPX/NetBIOS兼容協議則應當刪除掉。
如果你的區域網要上Internet則必須安裝TCP/IP協議。但為了網路的快速訪問,建議指定每台工作站的IP地址(除非網路中有DHCP伺服器),否則工作站總是不斷查找DHCP伺服器使網速變慢。
當然,如果網路中只安裝TCP/IP協議也能夠實現區域網中的互訪,但是在網上鄰居中要直接看到其它機器就比較困難,必須先搜索到某台機器後才能訪問它,這在許多實際網路運用中顯得很不方便。
3.其它Windows計算機網路協議的設置
細心的用戶可能已經發現,在WinXP的網上鄰居中多了一項「設置家庭或小型辦公網路」向導,利用該向導可以方便地設置區域網共享、Internet連接和小型區域網。該向導還為連接WinXP的其它Windows電腦提供了一張網路安裝軟盤。
但是,筆者並不提倡使用這張網路安裝軟盤。在連接WinXP的其它Windows電腦上,只要安裝好NetBEUI協議並設置好網路標志就行了;若要連接Internet則只需安裝好TCP/IP協議並指定好IP地址就可以了。這和傳統區域網的設置完全一樣,建議少使用IPX/SPX兼容協議。
B、徹底禁用WinXP的計劃任務
在WinXP和Win2000中瀏覽網上鄰居時系統默認會延遲30秒,Windows將使用這段時間去搜尋遠程計算機是否有指定的計劃任務(甚至有可能到Internet中搜尋)。如果搜尋時網路時沒有反應便會陷入無限制的等待,那麼10多分鍾的延遲甚至報錯就不足為奇了。下面是具體的解決方法。
1.關掉WinXP的計劃任務服務(Task Scheler)
可以到「控制面板/管理工具/服務」中打開「Task Scheler」的屬性對話框,單擊「停止」按鈕停止該項服務,再將啟動類型設為「手動」,這樣下次啟動時便不會自動啟動該項服務了。
2.刪除注冊表中的兩個子鍵
到注冊表中找到主鍵「
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\ NameSpace」
刪除下面的兩個子健
{2227A280-3AEA-1069-A2DE-08002B30309D}
{D6277990-4C6A-11CF-87-00AA0060F5BF}
『伍』 怎麼在本地電腦設置禁止上外網
本地電腦設置禁止上外網操作步驟如下:
1、打開Internet選項,切換到「內容」選項卡,點擊「家庭安全」按鈕;
『陸』 電腦的網路連接已阻止是什麼意思
1、打開開始菜單,然後打開控制面板,也可以直接通過 系統托盤區的網路連接圖標直接找到網路適配器的設置。右鍵點擊此圖標即可。
2、在控制面板中,點擊這個 查看網路狀態和任務選項,打開網路設置中心。
3、在網路設置中心中點擊更改適配器設置選項,
4、然後我們可以看到裡面有很多的網路連接選項,其中有一個即是本地連接,如果你的本地連接如圖所示的是顯示已禁用,那麼就是因為這個原因導致無法連接網路。
5、我們在這個本地連接上面點擊滑鼠右鍵,然後選擇啟用選項,如圖所示,只要重新啟用這個本地連接就可以正常連接網路。
6、點擊啟用後會出現一個正在啟用的小窗口,然後會顯示已經啟用,現在本地連接上面已經顯示正在識別了,說明現在我們就可以進行網路連接了。
7、現在我們可以再次連接網路試一下,我們可以發現已經可以正常連接了。
『柒』 電腦上出現網路受阻怎麼解決
寬頻連接沒有成功,檢查線路和接入設備
『捌』 學生電腦怎樣阻止上網
如果是學校的計算機房的話,可以用一台主機控制學生使用的電腦,切斷子網路就可以了,現在的學校一般都採用的是這種方式,會用主機控制其他的電腦
『玖』 路由器系統自動對你進行阻止上網僅限
打開無線網路屬性,然後把「當前網路在范圍內時自動連接(M)」前面的勾去掉。差不多是這樣的。
刪除注冊表中的兩個子鍵
到注冊表中找到主鍵「
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\ NameSpace」
刪除下面的兩個子健
{2227A280-3AEA-1069-A2DE-08002B30309D}
{D6277990-4C6A-11CF-87-00AA0060F5BF}