防火墻有助于提高計(jì)算機(jī)的安全性。Windows 防火墻能夠限制從其他計(jì)算機(jī)發(fā)送到用戶計(jì)算機(jī)上的信息，這使得用戶可以更好地控制其計(jì)算機(jī)上的數(shù)據(jù)，并針對(duì)那些未經(jīng)邀請(qǐng)而嘗試連接到其計(jì)算機(jī)的用戶或程序（包括病毒和蠕蟲(chóng)）提供了一條防御陣線。 如果您苦于在由于啟用防火而增強(qiáng)的安全性與維持系統(tǒng)的效率之間謀求一個(gè)平衡點(diǎn),那么筆者推薦您讀一下大師Michael Howard先生的一篇文章來(lái)了解一些具體細(xì)節(jié)信息。Michael向我們展示了您的本地配置和設(shè)置的任何組策略是如何影響防火墻，“netsh命令是怎樣用于精確揭示防火墻的內(nèi)部機(jī)理。 Netsh 是一個(gè)命令行腳本實(shí)用程序，可讓用戶從本地或遠(yuǎn)程顯示或修改當(dāng)前運(yùn)行的計(jì)算機(jī)的網(wǎng)絡(luò)配置。Netsh 還提供了允許用戶使用批處理模式對(duì)指定的計(jì)算機(jī)運(yùn)行一組命令的腳本功能。Netsh 實(shí)用程序也可以將配置腳本以文本文件保存，以便存檔或幫助配置其他服務(wù)器。 Netsh實(shí)用程序在Windows XP Service Pack 2中得到了極大的增強(qiáng)，包含了新選項(xiàng)的所有運(yùn)行方式。通過(guò)在筆者計(jì)算機(jī)上的命令運(yùn)行結(jié)果可以看出，Netsh命令相當(dāng)友好。 如何啟動(dòng)這個(gè)命令就不用說(shuō)了吧。 C:> netsh firewall show? 下面的命令您是可以用于查看防火墻的的配置情況： show allowedprogram –顯示被允許的程序配置 show config - 顯示防火墻的配置 show currentprofile -顯示 Windows 防火墻的當(dāng)前配置文件. show icmpsetting -顯示 Windows 防火墻中的 ICMP 配置 show logging -顯示 Windows 防火墻中的日志記錄配置 show multicastbroadcastresponse –顯示防火墻的組播/廣播響應(yīng)配置 show notifications -顯示 Windows 防火墻中的通知配置 show opmode -顯示 Windows 防火墻中的操作配置 show portopening -顯示 Windows 防火墻中的端口配置 show service -顯示 Windows 防火墻中的服務(wù)配置 show state -顯示 Windows 防火墻的當(dāng)前狀態(tài) 當(dāng)然，如果想精確配置防火墻，請(qǐng)使用如下的命令： netsh firewall set allowedprogram 編輯 Windows 防火墻中的允許程序配置 netsh firewall set icmpsettings 編輯 Windows 防火墻中的 ICMP 配置 netsh firewall set logging 編輯 Windows 防火墻中的日志記錄配置 netsh firewall set notifications 編輯 Windows 防火墻中的通知配置 netsh firewall set opmode 編輯 Windows 防火墻中的操作配置 netsh firewall set portopening 編輯 Windows 防火墻中的端口配置 netsh firewall set service 編輯 Windows 防火墻中的服務(wù)配置 掌握了這些強(qiáng)大的工具，我們?cè)倥渲闷鸱阑饓?lái)就輕松多了。

隨著防火墻技術(shù)的成熟和發(fā)展，防火墻已成為阻擋黑客攻擊銀行計(jì)算機(jī)網(wǎng)絡(luò)的城墻。在計(jì)算機(jī)網(wǎng)絡(luò)上安裝防火墻，建立更加堅(jiān)實(shí)的安全體系結(jié)構(gòu)是銀行業(yè)安全的重要事件。 一 銀行對(duì)防火墻的要求 用于銀行計(jì)算機(jī)網(wǎng)絡(luò)的防火墻產(chǎn)品，根據(jù)使用位置不同，性能、功能、防護(hù)強(qiáng)度的要求也不盡相同。鑒于銀行計(jì)算機(jī)網(wǎng)絡(luò)的安全需求，防火墻產(chǎn)品至少應(yīng)能滿足以下要求。 1． 功能要求 具有訪問(wèn)控制功能，包括對(duì)Http、FTP、SMTP、Telnet、NNTP等服務(wù)類型的訪問(wèn)控制，可以通過(guò)制定策略來(lái)進(jìn)行訪問(wèn)控制，確保只允許符合網(wǎng)絡(luò)安全策略的訪問(wèn)和服務(wù)才能進(jìn)出銀行內(nèi)聯(lián)網(wǎng)。具有抗攻擊性，包括對(duì)防火墻本身和受保護(hù)網(wǎng)段的攻擊抵抗能力，能有效防止拒絕服務(wù)攻擊，保證銀行計(jì)算機(jī)網(wǎng)絡(luò)上運(yùn)行信息的可用性、可靠性，能夠識(shí)別一些常用的攻擊手段如端口掃描等。支持地址轉(zhuǎn)換功能，不僅要支持靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換還要支持IP地址與TCP/UDP端口的轉(zhuǎn)換，能夠屏蔽被保護(hù)網(wǎng)絡(luò)的細(xì)節(jié)。支持DMZ的連接方式，可以按照需要設(shè)置DMZ分區(qū)，防止IP地址欺騙。防火墻要適合銀行的網(wǎng)絡(luò)接入模式、接口規(guī)范要求。防火墻要具有很高的可靠性，不應(yīng)降低銀行計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)有的可靠性。支持透明接入和透明連接，不影響原有網(wǎng)絡(luò)設(shè)計(jì)和配置。 2． 性能要求 防火墻要適合銀行計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)帶寬、性能指標(biāo)等要求，不能成為網(wǎng)絡(luò)瓶頸，或明顯影響網(wǎng)絡(luò)工作效率；要求時(shí)延小、時(shí)延抖動(dòng)小；吞吐量滿足網(wǎng)絡(luò)帶寬需求；包轉(zhuǎn)發(fā)率達(dá)到網(wǎng)絡(luò)要求；并發(fā)連接數(shù)不應(yīng)限制系統(tǒng)的正常使用。 3． 其他要求 支持本地和遠(yuǎn)程集中管理兩種管理方式功能，以便于網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的管理；審計(jì)日志功能，按事先規(guī)定的方式進(jìn)行記錄，支持對(duì)日志的統(tǒng)計(jì)分析，提供多種統(tǒng)計(jì)分析手段；實(shí)時(shí)告警功能，對(duì)防火墻本身或受保護(hù)網(wǎng)段的非法攻擊支持多種告警方式（如聲光告警、Email告警、日志告警等）；用戶管理界面簡(jiǎn)單友好等。 防火墻的功能是相互影響的，有些功能能增強(qiáng)網(wǎng)絡(luò)的安全性，但卻以網(wǎng)絡(luò)的性能為代價(jià)；有些功能能增加網(wǎng)絡(luò)的易用性，但卻以網(wǎng)絡(luò)的安全性為代價(jià)。防火墻必須按實(shí)際應(yīng)用合理配置，然后在安全、易用、性能等各個(gè)方面進(jìn)行平衡。不正確的配置會(huì)導(dǎo)致安全漏洞，而過(guò)于嚴(yán)格的配置則會(huì)導(dǎo)致用戶使用不便。

使用U盤、移動(dòng)硬盤加密工具加密文件夾后，我用文件嗅探器工具也看不到加密后真實(shí)的文件，當(dāng)用金山毒霸掃描發(fā)現(xiàn)，好像這些文件被隱藏保存在/Thumbs.dn/7./中（其中那個(gè)7.中的7有時(shí)是其他的數(shù)字），但是我直接這樣還是不能進(jìn)入，所以我就特意對(duì)這款加密工具研究了一下，下面說(shuō)下我的一點(diǎn)心得。 我們先在D盤新建個(gè)文件夾如lskr，即地址為D:/lskr，在里面隨便放些文件，我放了大小分別為168KB和681KB的exe文件lskr1.exe和lskr2.exe，再將U盤加密工具綠色版（文件名為addpass.exe）放進(jìn)去，運(yùn)行這個(gè)addpass.exe，用密碼為123456加密后，前面兩個(gè)文件消失，只剩下addpass.exe這一個(gè)文件。 我們?cè)?ldquo;我的電腦－工具－文件夾選項(xiàng)－查看中勾選“顯示所有文件和文件夾，又把“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）前的勾去掉，勾上“顯示系統(tǒng)文件夾的內(nèi)容，這時(shí)顯示出另兩個(gè)隱藏文件Thumbs.dn和desktop.ini，在desktop.ini中的內(nèi)容是：[.ShellClassInfo]InfoTip=文件夾 IconIndex=2 IconFile=addpass.exe ConfirmFileOp=1 看了下對(duì)我們好像沒(méi)用，不用管它，再看Thumbs.dn的大小有850KB，和那兩個(gè)文件的總大小差不多，不用懷疑，那兩個(gè)文件一定是隱藏在里面的，直接雙擊進(jìn)入Thumbs.dn，發(fā)現(xiàn)里面有個(gè)“添加打印機(jī)和“Microsoft Office Document Image Writer，并未發(fā)現(xiàn)我們尋找的文件，那兩個(gè)文件跑哪去了呢？ 我們?cè)陂_(kāi)始-運(yùn)行-輸入cmd，確定后進(jìn)入MS-Dos，輸入“cd/回車進(jìn)入C:，輸入“D:回車進(jìn)入D:，輸入“cd d:/lskr/Thumbs.dn進(jìn)入Thumbs.dn，再輸入“dir /a，這時(shí)候我們發(fā)現(xiàn)里面有幾個(gè)文件：117789687，117789687LIST.men，1.mem，2.mem和desktop.ini，我們發(fā)現(xiàn)1.mem，2.mem的大小與最先放進(jìn)去的那兩個(gè)文件剛好差不多，所以他們應(yīng)該是加密后的自定義格式文件，我們直接將它們拷貝出來(lái)看，使用命令“copy 1.mem D:/和“copy 2.mem D:/將這兩個(gè)文件復(fù)制到D盤，再將它們的后綴由.mem改為.exe，這時(shí)我們驚奇的發(fā)現(xiàn)它們都恢復(fù)成本來(lái)的模樣，跟放進(jìn)去時(shí)的文件除文件名外都相同，看來(lái)這種所謂的U盤加密只是簡(jiǎn)單的改下后綴名，然后再隱藏一下而已。 但是雖然我們能找到加密過(guò)后的文件，下一步我們能不能破解那個(gè)加密的密碼呢？我們發(fā)現(xiàn)還有個(gè)文件117789687LIST.men，而這個(gè)文件很可能就是用來(lái)保存密碼的，使用命令“copy 117789687LIST.men D:/和“start 117789687LIST.men，都提示系統(tǒng)找不到指定的文件，這時(shí)我們使用“attrib 117789687LIST.mem -s -h -r，刪除文件的shr屬性，再使用命令“start 117789687LIST.mem，用文本文檔打開(kāi)，發(fā)現(xiàn)里面是一長(zhǎng)串的字符，原以為這就是密碼經(jīng)過(guò)加密過(guò)后的代碼，后來(lái)我又換了個(gè)密碼重新加密，發(fā)現(xiàn)里面代碼的內(nèi)容沒(méi)有改變，但當(dāng)我把需要加密的文件增多或減少時(shí)，里面的內(nèi)容隨之變化。 于是我猜想這應(yīng)該是存儲(chǔ)加密文件的文件名等信息的，我又看了另外個(gè)文件desktop.ini，里面內(nèi)容為[.ShellClassInfo] CLSID=，還有個(gè)文件117789687，內(nèi)容為343636303032，當(dāng)加密密碼改變時(shí)，這個(gè)代碼也隨之改變，如密碼換成123時(shí)，這個(gè)代碼變成343636，所以我判斷這個(gè)才是真正的密碼存儲(chǔ)文件，但是它使用的是什么加密方式，我就無(wú)從得知了。 但我們可以使用替換法解決問(wèn)題，如果我們忘記加密時(shí)的密碼或查看別人的加密文件時(shí)，就可以將我們知道密碼的加密代碼來(lái)替換這段代碼，于是就可用我們已知的密碼解密那個(gè)加密文件夾了，例如我們可以將上面的代碼343636303032替換其他加密文件的代碼后，這時(shí)解密密碼就變成123456。 這樣，我們的破解就告一段落，看來(lái)，這種加密根本就不是用加密算法對(duì)文件數(shù)據(jù)加密，而只是簡(jiǎn)單的將文件信息改個(gè)后綴名隱藏起來(lái)，使一般人不能輕易瀏覽文件內(nèi)容。這個(gè)軟件加密的時(shí)候，將自動(dòng)創(chuàng)建一個(gè)Thumbs.dn文件夾，將原文件變成以1，2，3...為文件名，以.mem的后綴的文件隱藏保存在Thumbs.dn文件夾內(nèi)，另外創(chuàng)建117789687LIST.men保存文件名和位置等信息，117789687保存密碼，并與U盤加密工具關(guān)聯(lián)，一旦再次雙擊那個(gè)工具以后，彈出對(duì)話框要求密碼確認(rèn)，如果密碼正確，就還原那些文件，否則就拒絕。