如果你希望从本版中学到知识的话,请进来(防火墙)

二 攻击包过滤防火墙

包过滤防火墙是最简单的一种了，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。他根据数据包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口来过滤！！很容易受到如下攻击：

1 ip 欺骗攻击：

这种攻击，主要是修改数据包的源，目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。如：外部攻击者，将他的数据报源地址改为内部网络地址，防火墙看到是合法地址就放行了：）。可是，如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了：（

2 d.o.s拒绝服务攻击

简单的包过滤防火墙不能跟踪 tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到d.o.s攻击，他可能会忙于处理，而忘记了他自己的过滤功能。：）你就可以饶过了，不过这样攻击还很少的。！

3 分片攻击

这种攻击的原理是：在IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的Tcp信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。

这样，攻击者就可以通过先发送第一个合法的IP分片，骗过防火墙的检测，接着封装了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机，从而威胁网络和主机的安全。

4 木马攻击

对于包过滤防火墙最有效的攻击就是木马了，一但你在内部网络安装了木马，防火墙基本上是无能为力的。

原因是：包过滤防火墙一般只过滤低端口（1-1024），而高端口他不可能过滤的（因为，一些服务要用到高端口，因此防火墙不能关闭高端口的），所以很多的木马都在高端口打开等待，如冰河，subseven等。。。

但是木马攻击的前提是必须先上传，运行木马，对于简单的包过滤防火墙来说，是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。

早期的防火墙都是这种简单的包过滤型的，到现在已很少了，不过也有。现在的包过滤采用的是状态检测技术，下面谈谈状态检测的包过滤防火墙。

三 攻击状态检测的包过滤

状态检测技术最早是checkpoint提出的，在国内的许多防火墙都声称实现了状态检测技术。

可是：）很多是没有实现的。到底什么是状态检测？

一句话，状态检测就是从tcp连接的建立到终止都跟踪检测的技术。

原先的包过滤，是拿一个一个单独的数据包来匹配规则的。可是我们知道，同一个tcp连接，他的数据包是前后关联的，先是syn包，-》数据包=》fin包。数据包的前后序列号是相关的。

如果割裂这些关系，单独的过滤数据包，很容易被精心够造的攻击数据包欺骗！！！如nmap的攻击扫描，就有利用syn包，fin包，reset包来探测防火墙后面的网络。！

相反，一个完全的状态检测防火墙，他在发起连接就判断，如果符合规则，就在内存登记了这个连接的状态信息（地址，port，选项。。）,后续的属于同一个连接的数据包，就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息，都被丢弃了。这样这些攻击数据包，就不能饶过防火墙了。

说状态检测必须提到动态规则技术。在状态检测里，采用动态规则技术，原先高端口的问题就可以解决了。实现原理是：平时，防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点，可是为了不影响正常的服务，防火墙一但检测到服务必须开放高端口时，如（ftp协议，irc等），防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后，这条规则就又被防火墙删除。这样，既保障了安全，又不影响正常服务，速度也快。！

一般来说，完全实现了状态检测技术防火墙，智能性都比较高，一些扫描攻击还能自动的反应，因此，攻击者要很小心才不会被发现。

但是，也有不少的攻击手段对付这种防火墙的。

1 协议隧道攻击

协议隧道的攻击思想类似与VPN的实现原理，攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙系统对内部网络进行攻击。

例如，许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid（攻击的客户端和服务端）是实施这种攻击的有效的工具。在实际攻击中，攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端，而后攻击者就可以通过loki客户端将希望远程执行的攻击命令（对应IP分组）嵌入在ICMP或UDP包头部，再发送给内部网络服务端lokid，由它执行其中的命令，并以同样的方式返回结果。由

于许多防火墙允许ICMP和UDP分组自由出入，因此攻击者的恶意数据就能附带在正常的分组，绕过防火墙的认证，顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序：

lokid-p–I–vl

loki客户程序则如下启动：

loki–d172.29.11.191(攻击目标主机)-p–I–v1–t3

这样，lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。

2 利用FTP-pasv绕过防火墙认证的攻击

FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1，在监视FTP服务器发送给客户端的包的过程中，它在每个包中寻找"227"这个字符串。如果发现这种包，将从中提取目标地址和端口，并对目标地址加以验证，通过后，将允许建立到该地址的TCP连接。

攻击者通过这个特性，可以设法连接受防火墙保护的服务器和服务。详细的描述可见：http://www.checkpoint.com/techsuppor...asvftp.html。

3 反弹木马攻击

反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机，由于连接是从内部发起的，防火墙（任何的防火墙）都认为是一个合法的连接，因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

但是这种攻击的局限是：必须首先安装这个木马！！！所有的木马的第一步都是关键！！！

四 攻击代理

代理是运行在应用层的防火墙，他实质是启动两个连接，一个是客户到代理，另一个是代理到目的服务器。

实现上比较简单，和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢/1

攻击代理的方法很多。

这里就以wingate为例，简单说说了。（太累了）

WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件，内部用户可以通过一台安装有WinGate的主机访问外部网络，但是它也存在着几个安全脆弱点。

黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问，从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此，这种攻击非常难于被跟踪和记录。

导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置，只是简单地从缺省设置安装完毕后就让软件运行，这就给攻击者可乘之机。

1 非授权Web访问

某些WinGate版本（如运行在NT系统下的2.1d版本）在误配置情况下，允许外部主机完全匿名地访问因特网。因此，外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击（ 如CGI的漏洞攻击等），同时由于Web攻击的所有报文都是从80号Tcp端口穿过的，因此，很难追踪到攻击者的来源。

检测

检测WinGate主机是否有这种安全漏洞的方法如下：

1) 以一个不会被过滤掉的连接（譬如说拨号连接）连接到因特网上。

2) 把浏览器的代理服务器地址指向待测试的WinGate主机。

如果浏览器能访问到因特网，则WinGate主机存在着非授权Web访问漏洞。


2 非授权Socks访问

在WinGate的缺省配置中，Socks代理（1080号Tcp端口）同样是存在安全漏洞。与打开的Web代理（80号Tcp端口）一样，外部攻击者可以利用Socks代理访问因特网。


防范

要防止攻击WinGate的这个安全脆弱点，管理员可以限制特定服务的捆绑。在多宿主（multi homed）系统上，执行以下步骤以限定如何提供代理服务。

1选择Socks或WWWProxyServer属性。

2选择Bindings标签。

3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮，并指定本WinGate服务器的内部接口。

非授权Telnet访问

它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务，攻击者可以使用别人的主机隐藏自己的踪迹，随意地发动攻击。

检测

检测WinGate主机是否有这种安全漏洞的方法如下：

1使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris‘^]’.

Wingate>10.50.21.5


2如果接受到如上的响应文本，那就输入待连接到的网站。


3如果看到了该新系统的登录提示符，那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

对策

防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。一般来说，在多宿主（multihomed）系统管理员可以通过执行以下步骤来完成：

1选择TelnetSever属性。

2选择Bindings标签。

3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按钮，并指定本WinGate服务器的内部接口。

五 后话

有防火墙的攻击不单是上面的一点，我有什么写的不对的，大家指正。

一直以来，黑客都在研究攻击防火墙的技术和手段，攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看，大概可以分为三类攻击。

第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。

第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制，从而 对防火墙和内部网络破坏。

第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性地发动攻击。这种攻击难度比较大，可是破坏性很大。

Windows XP SP2在安全方面做了重大的调整，安全设计融合到整个操作系统中，防火墙屏障、操作系统补丁和更新病毒库等理念形成一个安全体系，而防火墙是这个安全体系的第一道屏障，它提供了一个强大的保护层，可以阻止恶意用户和程序依*未经请求的传入流量攻击计算机。Windows XP SP2防火墙又称ICF（Internet Connection frewall），已经具备个人防火墙的基本功能，它是一种能够阻截所有传入的未经请求的流量的状态防火墙。这些流量既不是响应计算机请求而发送的流量（请求流量），也不是事先指定允许传入的未经请求的流量（异常流量）。这有助于使计算机更加安全，使您可以更好地控制计算机上的数据。和Windows良好的兼容性及可*性是其它个人防火墙所不能比拟的。
　　注：此文只探讨Windows 防火墙原理、功能变化以及应用过程中可能遇到问题和解决办法，不描述怎样设置Windows 防火墙，如果未特别说明，本文所提到的Windows 防火墙指Windows XP SP2防火墙。

一、使用个人防火墙还是使用Windows 防火墙

　　仅就防火墙功能而言，个人防火墙对双向流量都进行审核，拥有更复杂的控制列表，但是，Windows 防火墙只阻截所有传入的未经请求的流量，对主动请求传出的流量不作理会，这一点是它们之间最大的区别。绝大多数商业防火墙都提供了应用程序过滤功能，这一功能可以阻止未通过认证的应用程序向外发送报文，这样就可以防止病毒或木马等恶意代码同外部建立未认证的连接，同时也可以防止用户的计算机被黑客用做分布式攻击的跳板。然而，WindowsXP SP2所带的防火墙却只能对进入计算机的报文进行过滤，而不对计算机向外发出的报文进行过滤，它不对应用程序向外发送报文做任何限制。 事物有其两面性，这些个人防火墙产品依据的防黑客原理通常不一样，例如Norton的Personal Firewall(个人防火墙)是基于应用程序的（Application Level）。基于应用程序的防火墙在使用上相当麻烦，因为你必须要为每一个访问Internet的程序设置策略。而随着策略的增多，防火墙的效率也逐步下降，况且过多的策略也会相互矛盾、影响，给系统安全带来漏洞。更糟糕的是，这些个人防火墙产品都非常占用系统资源。

　　比如接入网络游戏联众世界的时候，本地计算机请求连接远程服务器，这时，个人防火墙立即提示是否允许此连接通过，而Windows 防火墙对这个主动出站请求不做任何处理，也不做任何提示，好像防火墙不存在似的，所以如果入侵已经发生或间谍软件已经安装，并主动连接到外部网络，那么防火墙束手无策；如果Windows 间谍软件开放端口等待外部请求连接，那么Windows 防火墙立刻阻断连接并弹出安全警告。但这不表示Windows防火墙不安全，因为攻击多来自外部，而且如果间谍软件开放端口等待外部连接的时候，Windows防火墙立即阻断连接，并且作出提示，关于这一点在下面的文章中还会提到。

　　对来自外部的请求连接的控制，Windows防火墙和个人防火墙在功能上区别不大。而且Windows防火墙有其独特的特性，包括：计算机的所有连接默认启用ICF、人性化的屏蔽模式－充分考虑到了计算机使用环境的变化和及时阻断攻击和恢复正常使用的情况、智能应用程序异常流量管理、对于 IPv6 ICF 内建支持等功能。比如在启动安全性功能上，有一个可以执行状态数据包过滤的启动策略。该策略允许计算机使用动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）和域名系统（Domain Name System，DNS）执行基本网络启动任务，并与域控制器进行通信，以更新组策略。避免计算机在网络上进入活动状态的时间与 ICF 开始保护连接的时间之间的延迟中被未经请求的流量在启动期间攻击计算机留下了可乘之机。

　　遗憾的是Windows防火墙并不提供报警和入侵检测。虽然Windows防火墙可以防止对系统的入侵。而且，其他的一些个人防火墙产品还有更好的诊断和报告功能（Windows防火墙没有报告功能，仅仅有个日志）。所以，当选择使用哪个防火墙产品时，你应该考虑这些因素。如果你选择Windows防火墙，你应该确定自己明白它的有限的能力，虽然Windows 防火墙对个人用户而言已经不在是鸡肋。

二、Windows XP SP2防火墙工作原理

　　Windows 防火墙使用的全状态数据包监测技术会把所有由本机发起的网络连接生成一张表，并用这张表跟所有的入站数据包作对比，如果入站的数据包是为了响应本机的请求，那么就被允许进入。除非有实施专门的过滤器以允许特定的非主动请求数据包，否则所有其他数据包都会被阻挡。

“例外”选项卡使您可以添加程序和端口例外，以允许特定类型的传入通信。您可以为每个例外设置范围。如果开放了某个端口，那么对这个端口的访问将被允许通过。端口或者服务可以在“例外”选项中设置或者通过指定应用程序的方法设置，如QQ等，如果开放端口的服务不是一个应用程序如IIS服务，可以直接设置开放的协议和端口号。对于只使用网络浏览、电子邮件、共享文件夹、进行普通处理的客户端和服务器型应用程序的用户，Windows防火墙根本不会产生影响。

　　三、Windows 防火墙设置中几个重要选项

　　单击“开始”，单击“运行”，键入 wscui.cpl，然后单击“确定”，在“Windows 全中心”内单击“Windows 防火墙”。

对于“不允许例外”

当您单击选中“不允许例外”时，Windows 防火墙将阻止所有连接到您的计算机的请求，即使请求来自“例外”选项卡上列出的程序或服务也是如此。防火墙还会阻止发现网络设备、文件共享和打印机共享。当您连接到公用网络（例如，与机场或旅馆相关的网络）时，“不允许例外”选项十分有用。此设置可以阻止所有连接到您的计算机的尝试，因而有助于保护您的计算机。当您使用 Windows 防火墙并启用了“不允许例外”选项时，您仍然可以查看网页，收发电子邮件或使用即时消息传递程序。

针对“例外”的说明

“例外”选项卡使您可以添加程序和端口例外，以允许特定类型的传入通信。您可以为每个例外设置范围。
对于家庭和小型办公室网络，我们建议您在可能的条件下，将范围设定为仅限局域网内部。这样配置可以使同一个子网上的计算机可以与此计算机上的程序连接，但拒绝源自远程网络的通信。

四、Windows XP SP2的防火墙真的安全吗？

　　Windows防火墙在原则上是对由外向内的通信(inbound)全部进行限制，而由内向外的通信(outbound)及其应答则完全不加限制。Windows防火墙只在像服务器那样运行的应用程序开始通信时才会发出警告。以登录联众世界为例：在所有网络链接上打开防火墙，现在，登陆联众世界试试，一样登陆，根本不需要通过防火墙允许。选择了“不允许例外”，结果还是一样。而用zonealarm的时候，任何程序都得经过防火墙的允许。这是为什么？

　　前面已经提到了Windows防火墙的特点“只阻截所有传入的未经请求的流量”也就是说，Windows防火墙对主动出站流量不作处理，所以登陆联众世界/IE等没有安全提示，而zonealarm等个人防火墙对所有出、入站流量都作审查，所以有安全提示（除非设置审查但不提示）。但是，为什么QQ/MSN/MYIE2等又有安全提示呢？这是因为QQ/MSN/MYIE2等试图在本地开后门--端口等待远程请求连接，显然这种不安全行为被Windows防火墙拦截并作出安全提示，这相当于QQ/MSN/MYIE2等作为提供某种服务的服务器端。如图所示，MYIE2在本开了1067端口，QQ使6000和6001处在监听状态，而联众世界却没有开放任何端口。

取消通知的方法是：防火墙设置-例外-取消选择“Windows防火墙组织程序时通知我”。



五、Windows XP SP2的防火墙可以限制某个应用程序访问网络吗？

　　Windows XP SP2的防火墙置不适用于不对特定 UDP 或 TCP 端口集合进行监听的应用程序，不能限制某个应用程序访问网络，但是，却可以限制对谁提供哪些服务，这一点也不同于早期版本的Windows防火墙。

　　虽然Windows防火墙不可以限制出站通讯，但是Windows XP内置的Internet Protocol security (IPSec)却可以提供这种保护，使用IPSec规则，可以指定通讯是被阻断（丢弃数据）还是被放行（允许），同时能保护加密的入站和出站通讯。在这三种情况下（阻断、允许、保护），IPSec能够配置原地址和目标地址范围。同时使用IPSec规则和Windows防火墙可以给网络提供更强大的安全保护。

　　对早期Windows防火墙而言，如果开启了某些服务，它将允许所有人访问这些服务，但是SP2的防火墙却可以精确的设置是对某台计算机或者某些子网允许连接；如果没有开启服务，则所有连接都将被拒绝。设置方法：安全中心-防火墙设置-例外-编辑（某个服务）-更改范围-自定义列表。自定义列表的说明，如果对某个IP提供服务，设置子网掩码为全1，例如192.168.0.3/255.255.255.255；如果针对某个子网提供服务，设置正确的子网掩码，如192.168.0.1/255.255.255.128，多个项目之间用“,”号隔离。

如上所述，ICF和基于应用程序的个人防火墙产品是不一样的。基于应用程序的个人防火墙可以控制每一个访问Internet的程序，但是不能限制某个应用程序访问网络，使用使用IPSec规则可以提供对计算机向外发出的报文进行过滤的功能。

六、部署文件和打印共享、网上邻居不再困难

　　网络资源共享的一个重要应用是文件和打印共享，如果启用了防火墙是不是象2003或XPSP1中的防火墙一样，阻止了文件和打印共享服务呢？在Windows XP SP22的防火墙下部署文件和打印共享服务非常简单，不必担心出现早期版本遇到的难堪的困难，如上图在“例外”选项上“程序和服务”列表中选择“文件及打印机共享”就可以了。曾几何时，在XPSP1防火墙中如果要让防火墙和网上邻居共存需要映射多个端口，现在，如果在Windows XP SP2防火墙启用了“文件及打印机共享”，网上邻居不能正确显示的问题也迎刃而解。

这样可能带来新问题！如果企业网络同时连接外部网络，比如INTERNET，对外开放这些端口是不安全的。Windows XP SP2防火墙考虑到了这个安全问题，在“编辑服务”选项中点击“更改范围”，在弹出的对话框中选择“仅我的网络（子网）”，这样设置后，文件和打印共享服务只对内部提供提供，而对外而言服务是不可见的，这样就安全多了

七、没有人能PING到我的计算机

　　在检查网络故障的使用通常用PING命令工具，PING一个IP确认该计算机是否存在，当你PING的时候，发送的是ICMP（Internet 控制消息协议 ，此通信用于错误和状态信息的传递） Echo messag信号，获得的回应是ICMP Echo Reply message信号。在默认情况下，indows xp p2防火墙不允许ICMP Echo messages 入站数据进入，所以也就不会回复ICMP Echo Reply message数据报文了。

如果启用了TCP端口445（比如在“例外”中启用了“文件和打印机共享”），那么别人是可以PING到你的IP的。另外，在防火墙的高级选项卡中选择ICMP设置，并且选择了“允许传入回现请求”也可以使别人能够PING到你的IP。

八、关于远程协作和远程桌面







　　通过Windows XP SP2防火墙实现远程协作的方法很简单，虽然远程协作使用的是动态端口。在防火墙设置对话框中的“例外”选项卡上“程序和服务”列表中选择“远程协作”项目，这样Windows自动监视并正确处理来自sessmgr.exe应用程序的所有通讯请求完成连接。

　　Windows NetMeeting 的远程桌面要复杂一些，尽管在例外选项卡中有“远程桌面”选项，但是如果你选择这个选项，实际是开放了TCP的端口3389，也可能无法完成远程桌面连接，正确的方法是：在 Windows 防火墙打开的情况下，在可以使用 Windows NetMeeting 的远程桌面共享功能之前，必须向 Windows 防火墙的“例外”选项卡上“程序和服务”列表中分别为 Windows NetMeeting 和 Mnmsrvc.exe（ Drive:\Windows\System32 目录中）文件和conf.exe（Drive:\Program Files\NetMeeting 文件夹中）文件分别添加一个条目。

九、Windows XP SP2的防火墙日志的妙用

日志记录可以帮助确定入站通信的来源，并提供有关被阻止的通信的详细信息。%Windir%\pfirewall.log 是默认的日志文件，这里记录的是成功的连接，看看都暴露了哪些信息，其中中文是作者说明文字。

pfirewall.log

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
表头：日期 时间 状态 协议 原IP 目标IP 原端口 目标端口 数据包大小 TCP 控制标志 确认 其他数据 推入功能 重置连接 同步序列号 紧急指针字段有效 序列号 确认号 窗口大小 ICMP类型 ICMP代码 信息条目
2004-09-08 00:55:39 OPEN UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查询DNS服务器，DNS服务器地址是202.102.224.68
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ开放UDP端口6001，目标地址219.133.40.157
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 202.104.129.254 4000 8000 - - - - - - - - -
QQ开放UDP端口4000，目标地址202.104.129.254
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ开放UDP端口6001，目标地址219.133.38.21
2004-09-08 00:55:53 OPEN UDP 219.154.214.145 61.172.249.139 4000 8000 - - - - - - - - -
QQ开放UDP端口6001，目标地址61.172.249.139
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查询DNS服务器，DNS服务器地址是202.102.224.68
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ通过UDP端口6001和目标地址219.133.40.157建立的通讯
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ通过UDP端口6001和目标地址219.133.38.21建立的通讯

从中可以看出，通过分析日志可以搜集某项应用软件服务端（如QQ服务器）的IP地址，检查是否有木马悄悄开放了后门，确定某个软件建立连接时所需要的端口号，还可以查询攻击者的来源地址。下面附录详细解释了日志表头信息。

注意：连字符 (-) 用于其中没有条目信息的字段。

　十、谁关闭了防火墙

　　大多数第三方防火墙软件提供商如Zone Labs、McAfee和Symantec公司都将在近期提供和SP2兼容的新版本防火墙软件。这些新版软件在安装的时候会自动禁用Windows防火墙，而在卸载时又会自动启用Windows防火墙。第三方厂商通过调用Windows Firewall API来实现这一功能。然而，既然防火墙软件可以这么做，其他病毒或木马等恶意代码就同样也可以。病毒或木马可以修改Windows防火墙程序，甚至干脆关闭它。而Zone Labs公司声明，他们采取了一些锁定技术来保证他们的防火墙软件不会被其他第三方软件关闭，除非你将整个防火墙卸载掉。

　　以下命令显示防火墙状态和配置信息

　　Netsh firewall show state
　　Netsh firewall show config

　　另外，如果防火墙被关闭，安全中心会显示安全警告！

　　总结

　　总的来看，相对于以前的Windows自带的防火墙SP2的防火墙拥有更高的防范性能，几乎拥有了其它个人防火墙的优点，所以Win XP SP2的防火墙是值得一试的，特别是针对个人用户而言。