中南民族大学管理学院
学生实验报告
课程名称: 电子商务安全 年 级: 10级 专 业: 电子商务 姓 名: 星存田 学 号: 10058048
2011学年至2012学年度 第1学期
目 录
实验一 实验二 实验三 夹
实验四 实验五 实验六 实验七 实验八
利用PGP加密、解密和数字签名 PGP实现电子邮件安全 在Windows 2000/XP下加密文件和文件
数字证书签发安全电子邮件操作指导书 防火墙的设置 口令破解软件使用 网络监听 打造你的安全个人电脑 实验(一) 利用PGP加密、解密和数字签名 实验时间: 2012.11.12 同组人员: 实验目的
掌握对文件加密和数字签名的方法,对加密理论知识加深理解。
实验内容
在网上查找“PGP教程”,先认识PGP软件的安装和使用;然后查找“PGP加密原理”,认识PGP的加密原理。关于PGP的加密原理以及其他的信息可以参见下面这些网页:
http://wwwb.pconline.com.cn/pcedu/soft/doc/001218/1.htm太平洋网 http://soft.yesky.com/SoftChannel/72356695560421376/20011108/203842.shtml天极网
http://www.chinaitlab.com/www/special/pgp.asp中国IT认证实验室 不过这些网页介绍的PGP软件是PGP6.5版本甚至更早的版本,截止到撰写该上机实验时PGP已经升级到版本8了,因此在某些方面会有一些不同。PGP8.02版本可以通过下面地址下载:
http://dl.pconline.com.cn/html/1/3/dlid=9223&dltypeid=1&pn=0&.html太平洋网站;
http://www.pgp.com/downloads/freeware/index.html这是PGP网站上提供的。
实验步骤
下载软件后,运行pgp8.exe文件开始安装,安装的过程很简单,依次按“next”按钮就可以了,安装过程见图1、图2、图3、图4和图5。
图1 安装欢迎界面
图2 接受PGP公司的协议
图3 安装时对PGP8.1.0 Windows版本的介绍
图4 选择用户类型
图5 选择安装路径
接下来选择要安装的组件,其中,第一个选项是关于磁盘加密的功能;第二个选项是ICQ的邮件加密功能;第三四个选项是关于OUTLOOK或者OTLOOK EXPRESS邮件加密的功能;最后一个选项适用于群发邮件的加密。用户可以根据自己的需要进行组件选择,一般情况下,默认安装就可以了。见图6、图7。
图6 选择要安装的PGP组件,一般按默认的选择即可
图7 安装正在进行中 三、生成密钥
安装完毕后,运行PGP程序。从“开始”菜单中选择“PGP”中的“PGP Keys”。要使用该软件进行加密的话,首先要生成一对密钥。也就是一个公钥和一个私钥。其中公钥是发送给别人用来加密钥发送给自己的文件的,私钥是自己保存,用于解密别人用公钥加密的文件,或者起数字签名的作用。
在PGP Keys的窗口中,选择Keys菜单下的New Key选项。见图8。
图8 PGP Keys的工作窗口
PGP有很好的创建密钥对的向导,跟着向导很容易生成一对密钥。见图9。
图9 PGP密钥对的生成向导
每一对密钥都对应着一个确定的用户。用户名不一定要真实,但是要方便通信者看到该用户名能知道这个用户名对应的真实的人;邮件地址也是一样不需要真实,但是要能方便与你通信的人在多个公钥中快速的找出你的公钥。例如,大家都熟悉你的名字叫张三,那你的用户名和地址都含有张三的名字,就很容易让别人知道这个公钥是你的;如果你起了一个其他的名字,类似“天天下雨”或者“五月的海”,那其他与你通信的人很容易不记得这个名字到底是谁,因此在选择公钥的时候,自然很难找出你的公钥。
见图10。
图10 输入姓名和Email地址以方便他人识别你的公钥
密钥对的私钥还必须进一步用密码加密,这个加密是对你的私钥加密。这个密码非常重要,切记不要泄漏了,为安全起见,密码长度至少8位,而且应该包含非字母的字符。见图11。
图11 为私钥设置密码
接下来,软件生成密钥对。见图12。
图12 生成密钥对
至此,密钥对生成完毕。 四、导出并发送公钥 见图13。
接着导出公钥,把公钥作为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全通信的联系人。见图14。
图14 导出公钥
公钥导出之后,接下来就发送给需要跟你进行安全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传
送方式。不过,由于在传送的过程公钥是没有采用安全机制传送,因此存在公钥被人窃取的可能。为了更加安全,双方可以根据环境选择一个比较安全的环境来传送公钥。在此实验过程中,实验者互相通过Email传送公钥,例如,用户A和用户B要互相通信,则A需要把自己的公钥传递给B,而B需要把自己的公钥传递给A。 图14 导出公钥
公钥导出之后,接下来就发送给需要跟你进行安全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过,由于在传送的过程公钥是没有采用安全机制传送,因此存在公钥被人窃取的可能。为了更加安全,双方可以根据环境选择一个比较安全的环境来传送公钥。在此实验过程中,实验者互相通过Email传送公钥,例如,用户A和用户B要互相通信,则A需要把自己的公钥传递给B,而B需要把自己的公钥传递给A。 五、文件加密与解密
有了对方的公钥之后就可以用对方公钥对文件进行加密,然后再传送给对方。具体操作如下:选中要加密的文件,右键,然后选择“PGP”--“Encrypt”。见图15。
图15 选择“Encrypt”对文件加密
然后在密钥选择对话框中,选择要接受文件的接收者。注意,用户所持有的密钥全部列出在对话框的上部分,选择要接收文件人的公钥,将其公钥拖到对话框的下部分(recipients),点击“OK”,并且为加密文件设置保存路径和文件名。 选择需要用来加密的公钥
图17 为加密文件设置保存路径和文件名
此时,你就可以把该加密文件传送给对方。对方接收到该加密文件后,选中该文件,右键,选择“Decrypt&verify”,见图18。
图18 解密文件的菜单
此时,要求输入私钥的密码,输入完后,按“OK”即可。见图19。
图19 输入密码,用私钥解密文件
接下来,要为已经解密的明文文件设置保存路径文件名。见图。保存后,明文就可以被直接查看了。见图20。
图20 为明文文件设置保存路经和文件名 六、数字签名
由于公钥是发放给其他人使用的,那么在公钥发放的过程中,存在公钥被人替换的可能。此时,若有一个人对此公钥是否真正属于某个用户的公钥做出证明,那么该公钥的可信任度就比较高。如果A很熟悉B,并且能断定某公钥是B的,并没有人把该公钥替换或者篡改的话,那么可以对B的公钥进行数字签名,以自己的名义保证B的公钥的真实性。具体操作为:运行“开始”—“PGP”—“PGP Keys”,选中要进行签名的公钥,然后右键,选择“Sign”进行签名。见图21。
图21 对某公钥进行数字签名
此
时
,
选
择
该
用
户
的
公
钥
,
并
且
选
中
“Allow signature to be exported. Others may rely upon your signature(允许该签名被导出,其他人可以信任你的签名的真实性)”,点击“OK”。见图22。
图22 选中下方的选项以便该被签字的公钥可以导出
输入私钥的密码,点击“OK”。这样,对公钥的签字就完成了。值得提醒的是,公钥和私钥都可以实现加密的功能,但是当要进行数字签名的时候,就只能使用私钥而不能用公钥。因为私钥只为用户一个人掌握,所以,该私钥能表明他的身份,确定该信息只有他一个人才能发出。见图23。
图23 输入密码进行数字签名
我们也可以对文件进行签名和加密。操作如下:选择要进行签名的文件,点击右键,选择“sign”,见图。要注意的是,对文件签名只能证明是你发出该文件,但是文件的内容并没有被加密,同时,进行数字签名时,在意的是表明该文件是从自己这里发出,因此对于文件的内容并不在意被别人看到,经过数字签名的文件要同原明文文件一同发送给对方,对方才能验证数字签名是否有效。如果同时要表明文件从自己这里发出,同时又要对文件的信息保密,那么就选择“签名与加密”选项Encrypt&sign。见图24。
图24 对文件进行签名或签名和加密
同样的,在选择密钥的对话框中,从对话框上部的密钥列表中,选择接收文件的用户拖到对话框的下部,点击“OK”。见图25。
图25 选择文件的接收者
确定接收人后,输入私钥的密码,进行数字签名或数字签名和加密。见图26。
图26 输入密码用私钥签名或加密
以上介绍的是关于PGP的简单使用,供大家学习,另外由于篇幅和时间的限制,关于PGP软件还有很多功能和设置没有介绍。实验者若有兴趣的话,可以实验完后自己多加使用,并参考PGP公司编写的用户手册,见开始菜单中PGP里的“DOCUMENTATION”中的“USER'S GUIDE”。 实验报告要求:
1、列出PGP的功能;并说出PGP满足了电子商务中信息安全性要素的哪些要求? 2、你知道PGP使用了那些加密算法吗?每一种算法的思路是什么? 3、简要阐述PGP主要加密原理;
4、简要叙述使用PGP软件如何对文件加密; 5、简要叙述使用PGP软件如何对文件解密; 6、简要叙述使用PGP软件如何对文件数字签名;
7、在对文件进行数字签名时,为什么一定要将文件的明文也一同发送给对方?请用数字签名的原理进行解释;
8、思考PGP存在哪些方面的安全隐患;
实验结果分析
指导教师评阅
1、 实验态度:不认真( ),较认真( ),认真( ) 2、 实验目的:不明确( ),较明确( ),明确( ) 3、 实验内容:不完整( ),较完整( ),完整( ) 4、 实验步骤:混乱( ),较清晰( ),清晰( ) 5、 实验结果:错误( ),基本正确( ),正确( ) 6、 实验结果分析:无( ),不充分( ),较充分( ),充分( )
7、 其它补充: 总评成绩:
评阅教师(签字): 评阅时间:
实验(二) PGP实现电子邮件安全 实验时间: 2012.11.12 同组人员: 实验目的
了解基本原理,学会基本操作,并能熟练使用
实验内容
1、创建一私钥和公钥对
使用PGPtray之前,需要用PGPkeys生成一对密钥,包括私有密钥(只有自身可以访问)和一个公有密钥(可以让交换email的人自由使用)。 2、与别人交换公钥
创建了密钥对之后,就可以同其它PGP用户进行通信。要想使用加密通信,那么需要有他们的公钥。而且如果他们想同你通信他们也将需要你的公钥。公钥是一个信息块,发布公钥:可以将公钥放到密钥服务器上,也可以将公钥贴到文件或Email中发给你想与交换Email的人。
3、对公钥进行验证并使之有效
当你获取某人的公钥时,将它添加到你的公开密钥环中。首先确定公钥的准确性。当你确定这是个有效的公钥时,你可以签名来表明你认为这个密钥可以安全使用。另外,你可以给这个公钥的拥有者一定的信任度表明 4、对E_mail进行加密和数字签名
当你生成密钥对而且已经交换了密钥之后,就可以对email信息和文件进行加密和数字签名。如果使用的email应用程序支持plug_ins,选择适当的选项进行加密;如果email应用程序不支持plug_ins,就可以将email信息发送到剪贴板上从那儿进行加密。若还想包括一些文件,可以从Windows Exporer上进行加密和数字签名。然后再挂到email上进行发送。
5、对E_mail进行解密和验证
当某人给你发送了加密的email时,将内容进行分解,同时验证附加的签名来确定数据是从确定的发送者发送过来的并且没有被修改。如果使用的email应用程序支持plug_ins,选择适当的选项进行加密;
如果email应用程序不支持plug_ins,就可以将email信息发送到剪贴板上从那儿进行加密。将信息拷贝到剪贴板上,并进行解密工作。若还想包括一些文件,可以从Windows Exporer上进行解密。
实验步骤
1、 创建一个私钥和公钥对: 私钥
导出公钥:
2、 与别人交换公钥
3、对公钥进行验证使之有效
3、 文本文件加密解密
4、解密文件
5、用PGPtray的剪切板加密功能加密邮件
对E_mail进行加密和数字签名
6、发送加密邮件
7、收到后解密过程
8、解密结果
实验结果分析
指导教师评阅
1、实验态度:不认真( ),较认真( ),认真( ) 2、实验目的:不明确( ),较明确( ),明确( ) 3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( ) 6、实验结果分析:无( ),不充分( ),较充分( ),充分( ) 7、其它补充: 总评成绩:
评阅教师(签字): 评阅时间:
实验(三) 在Windows 2000/XP下加密文件和文件夹
实验时间: 2012.11.12 同组人员: 实验目的
通过在Windows 2000/XP下加密文件和文件夹的操作,掌握一些数据、信息、文件保护的简单方法,并且能够做到举一反三,逐渐掌握利用专业工具保护数据的完整性、机密性的各种方法。
实验内容
在Windows 2000资源管理器中,选中待设置加密属性的文件或文件夹进行加密操作。
实验步骤
1) 在D盘中选择名为“xingcuntian”的文件夹,单击鼠标右键,在快捷
菜单中选择【属性】选项。如图7.7所示
2) 在【属性】对话框窗口中,单击“常规”选项卡中的【高级】按钮,如图7.8所示。启动“高级属性”对话框。
3) 选择【加密内容以便保护数据】复选框,单击【确定】按钮,如图7.9所示,可完成文件夹的加密。加密后观察文件夹名字的颜色发生变化,这意味着非授权用户将无法访问此文件夹。
4) 系统将进一步弹出“确认属性更改”对话框。要求确认是加密选中的文件夹,还是加密选中的文件夹的子文件夹以及其中的文件。 文件的加密步骤同上1)到3)步。
5)补充压缩文件加密
设置密码
输入密码
实验结果分析
指导教师评阅
1、实验态度:不认真( ),较认真( ),认真( ) 2、实验目的:不明确( ),较明确( ),明确( ) 3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( ) 6、实验结果分析:无( ),不充分( ),较充分( ),充分( ) 7、其它补充: 总评成绩:
评阅教师(签字): 评阅时间:
实验(四)数字证书签发安全电子邮件操作指导书 实验时间: 2012.11.12 同组人员: 实验目的
数字证书签发安全电子邮件
实验内容
(1)掌握免费个人数字证书申请、安装、导入和导出。 (2)掌握Outlook Express的配置。 (3)掌握使用数字证书签发安全电子邮件的流程。
实验步骤
(一)免费数字证书的申请安装操作
1、访问中国数字认证网(http://www.ca365.com)(http://www.itrus.com.cn/services.php)主页,选择“免费证书”栏目的“根CA证书”。如果是第一次使用他们的个人证书需要先下载并安装根CA证书。
2、下载并安装根证书。
只有安装了根证书链的计算机,才能完成网上申请的步骤和证书的正常使用。出现“下载文件-安全警告”对话框,点击选择打开“rootFree.cer”。在弹出的对话框中点击“安装证书”按钮,根据证书导入向导提示,完成导入操作。
3、在线填写并提交申请表。
选择“免费证书”栏目的“用表格申请证书”,填写申请表。用户填写的基本信息包括名称(要求使用用户真实姓名)、公司、部门、城市、省份、国家地区、电子邮箱(要求邮件系统能够支持邮件客户端工具,不能填写错误,否则会影响安全电子邮件的使用)、证书期限、证书用途(本实验要求选择“电子邮件保护证书”)、密钥选项(可以选择“Microsoft Strong Cryptgraphic Provider”)、密钥用法(可以选择“两者”)、密钥大小(填写“1024”)等,其他项目默认。注意要勾上“标记密钥为可导出”、“启用严格密钥保护”、“创建新密钥对”三项,“Hash算法”(可以选择“SHA-1”)。提交申请表后,出现“正在创建新的RSA交换密钥”的提示框,确认将私钥的安全级别设为中级。
4、下载安装数字证书。
提交申请表后,证书服务器系统将立即自动签发证书。用户点击“下载并安装数字证书”按钮开始下载安装证书,直到出现“安装成功!”的提示。 5、数字证书的查看
在微软IE 6.0浏览器的菜单栏“工具”--〉“Internet选项”--〉“内容”--〉“证书”中,可以看到证书已经被安装地成功。双击证书查看证书内容。(如图所示)
(二)数字证书的导出和导入操作指导
为了保护数字证书及私钥的安全,需要进行证书及私钥的备份工作。如果需要在不同的电脑上使用同一张数字证书或者重新安装电脑系统,就需要重新安装根证书、导入个人证书及私钥。具体步骤如下:
1、备份证书和私钥的操作步骤。
打开一个IE浏览器,工具Internet选项内容证书(如图5)。
选择一个数字证书,点击“导出”按钮,此时会弹出证书导出向导。(如图6)
点击“下一步”,可以选择是否将秘钥和证书一起导出(如图7)
因导出的证书按文件存放,故选择导出文件的格式(如图8)
指定证书导出后文件的文件名和路径(如图9)
此时显示前面你所选择的所有设置,如果觉得完全正确则点击“完成”,如有错误则点击“上一步”(如图10)。
2、导入证书及私钥的操作步骤。
打开一个IE 浏览器,工具—>Internet 选项—>内容—>证书(如图
11)。或者,开始—>设置—>控制面板—>Internet 选项—>内容—>证书(如图11)。
点击“导入”按钮,此时会弹出证书导入向导(如图12)
点击“下一步”,根据向导提示选择导入证书的文件名和路径(如图13)。
选择好以后点击“下一步”,此时为保护你的私钥需要为你导入的证书的私钥键入一个密码(如图14)。
此时需要选择导入证书的存储区,可以由系统自动选择也可以由用户指定(如图15),系统默认该证书是用户自己的证书而存入“个人证书”之中,而如果你要导入对方的证书(这主要发生在你要利用对方证书给对方发送加密邮件的时候),则应该自己指定位置并选择“其他人”。
此时显示前面你所选择的所有设置,如果觉得完全正确则点击“完成”,如有错误则点击“上一步”(如图16)
(三)、利用数字证书对电子邮件进行数字签名和加密
使用Outlook Express 可以对电子邮件进行加密和数字签名。对电子邮件进行签名需要一个属于你自己的数字证书,而要对电子邮件进行加密则需要拥有对方的数字证书。
1、配置Outlook,建立你自己的账号
(1)在Outlook Express中单击菜单上的“工具”—>“账号”
(2)点击“添加”“邮件”
(3)输入显示名称
(4)输入电子邮件地址
(5)设置接收邮件服务器和发送邮件服务器
(6)输入电子邮箱的帐户名称和登录密码。
单击“下一步”,邮件设置成功。
(7)在Outlook Express中,单击“工具”菜单中的“帐户”。 (8)选取“邮件”选项卡中用于发送安全邮件的帐号,然后单击“属性”。在属性设置窗口中,选择“服务器”选项卡,勾选“我的服务器要求身份验证”。
选取安全选项卡,选择签名证书和加密证书及算法。
实验结果分析
指导教师评阅
1、实验态度:不认真( ),较认真( ),认真( ) 2、实验目的:不明确( ),较明确( ),明确( ) 3、实验内容:不完整( ),较完整( ),完整( ) 4、实验步骤:混乱( ),较清晰( ),清晰( ) 5、实验结果:错误( ),基本正确( ),正确( ) 6、实验结果分析:无( ),不充分( ),较充分( ),充分( ) 7、其它补充: 总评成绩:
评阅教师(签字): 评阅时间:
实验(五) 防火墙的设置 实验时间: 2012.11.19 同组人员: 实验目的
1. 了解防火墙的原理和功能; 2. 能够用某种防火墙来防护计算机;
3. 能根据自身的需求对防火墙进行合适的设置。
实验内容
1.实训环境:Windows 2000/XP主机。有Internet的上网环境作为测
试参考。
2.实训工具:LooknStop (或其他免费个人防火墙) 3、以学习 LooknStop防火墙的规则设置为例
实验步骤
1. 安装LooknStop 软件(安装工具见压缩包) 运行looknstop_setup_206.exe即可!
注意:安装过程中会弹出一个未通过windows徽标测试的提示窗口,点击仍然继续即可!
在最后提示重启的时候先别重启,把dll_cn 文件夹内的所有文件复制到C:\\Program Files\\Soft4Ever\\looknstop,实现汉化,然后点击此文件
夹中的looknstop.exe,打开软件,
2. 了解LooknStop
LooknStop作为一款强大的防火墙,其采用的原型是非常严格的,首先,LooknStop先禁止所有本地和远程的网络访问操作,然后才逐项允许,在初始时不信任任何程序和网络操作,正是因为这过于严厉的策略原型,LooknStop才能成为一堵树立在系统和网络之间的“墙”,而也正是因为这样的模型,LooknStop也造成了一部分用户安装完毕后无法连接网络的问题——它把所有数据包都拦截了。
所以我们首先要解决的就是大部分用户面对LooknStop时吃的第一个下马威:无法连接网络。
LooknStop的主界面并不难理解,从左到右分别为“欢迎”、“应用程序过滤”、“互联网过滤”、“日志”、“选项”和“注册”,欢迎界面主要用于显示一些概要信息如连接状态、IP地址、数据包情况等。
我们先解决第一个燃眉之急(此点仅针对ADSL拨号上网用户,在此介绍给同学们作为参考):如果你不幸成为安装LooknStop后无法成功进行ADSL拨号的用户,请先进入“互联网过滤”界面,然后双击最后一条规则“All other packets”,它就是罪魁祸首,选择“以太网类型”为IP,保存应用即可。
这一故障是LooknStop默认的严格规则造成的,它把所有未在规则里定义的数据包都过滤了,于是计算机向远程MODEM设备发送的PPPoE协议包全部被扼杀在了系统的门口里……由此可见,与某些防火墙比起来,LooknStop是多么的严格!
解决这个问题后,我们回到正题。 3.基于界面的设置
既然LooknStop的规则如此严格,我们也遵循它的规则,严格依照从左到右的顺序讲解吧:
首先是“欢迎”界面,这里是作为快捷数据统计而设的,用户可以在这个界面看到基本的数据流量情况以及网络信息,如果网络已经连通,
LooknStop会报告你的计算机IP地址,如果这里为0.0.0.0,则说明没有连接网络或者LooknStop没能检测出活动的连接,用户必须自己到“选项”的“网络接口”里手工选择一个作为LooknStop的监控对象。 其次,是众多软件防火墙都会提供的“应用程序过滤”功能(专门对程序进行设定,决定应用程序行为的设置),LooknStop“不信任任何人”的思想在这里又一次得到了发挥,每个程序第一次启动的时候都会被拦截询问,用户允许通过的程序都在里面列举出来,并且在左边出现一个活动列表,可是即使这样,LooknStop仍然为每个程序列表设置了四个不同性质的可以随时中断该程序访问的按钮,分别为“过滤激活”、“过滤类型”、“进程调用”、“连接记录”。
此部分功能由于电脑没有重启,在机房无法实现相应功能设置,建议有兴趣的同学在寝室电脑实现相应功能,具体详细说明可参考《LnS中级使用指南》电子书。
在“过滤激活”里可以选择两种状态,分别为“启用”和“禁止”,用于告诉防火墙是否允许该应用程序按照后面的规则运行,如果状态为“禁止”,则后面设置的独立应用程序规则不起作用,但是这并不意味着程序能摆脱防火墙的限制——每次这个程序访问网络的时候,防火墙都会再次询问你是否允许这个程序访问网络。
“过滤类型”里提供了3种类型选择,分别为“允许”、“自定义”和“禁止”,如果用户没有为这个程序设置特殊规则,则只会在“允许”和“禁止”两种类型之间选择,否则为三种。直接双击程序名字就可以设置“过滤类型”,里面分别提供了TCP和UDP协议的端口和IP设置,LooknStop强大的灵活设置性能再次体现了出来:单独输入IP或端口,则
规定这个程序只能访问用户指定的IP或端口,多个端口之间用分号“;”分隔,IP同上。 看到这里,一些用户可能会想,是不是只能设置允许访问的地址呀?其实不然,LooknStop的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作——要设置程序禁止访问的IP,只需要在同样的设置对话框里设定IP或端口时在前面加一个感叹号“!”即可,可以说,LooknStop把“简洁就是美”的信奉发挥到了极致! 现在让我们来看看“进程调用”,首先简单介绍一下“进程调用”的概念,有时候,一个程序要访问网络并不是通过它自身实现的,而是调用了外置的DLL函数,这样的话,最终访问网络的程序就是那个DLL文件而不是程序本身,许多防火墙都认为,通过程序宿主进程启动进而访问网络的模块也是符合条件的,因此不会做任何阻拦,但是LooknStop仍然不信任任何模块,它会忠实的报告并控制每个子进程DLL的网络连接并提示用户,在如今这个“代码插上翅膀”(线程注射)越来越猖獗的年代里,这样的限制是十分有必要的,很多防火墙正因为过于信任程序调用的进程模块,导致一些DLL类型的木马得以搭载顺风车,给用户的系统安全带来威胁。针对这种情况,LooknStop提供了“进程调用”的控制功能,分别为“允许”(双箭头标志)和“禁止”(红色停止标志),一旦某个程序的“进程调用”被设置为禁止,该程序就只能通过自身访问网络了,所有通过它调用的模块都无法突破限制,这个设置对一些经常被后门搭顺风车的系统程序是很有用的,设置禁止后,我们就不用再怕灰鸽子之流通过IEXPLORE.EXE、Svchost.exe等程序突破传统意义的防火墙连接了。
最后,是一个标示为感叹号的设置项,它代表“连接记录”:灰色的点表示不记录,两个感叹号表示记录该程序的所有连接,而单独一个感叹号则是与“过滤激活”配合使用的,如果你把一个程序的“过滤激活”设置为“禁止”,以后这个程序再次请求访问网络的时候就会被LooknStop记录下来,如果一个奇怪的程序频频要求连接网络,那么它是木马的可能性将会很大!
从“应用程序过滤”这一部分就可以看出,LooknStop对程序的控制非常灵活和精巧,仅使用一个界面和一个对话框就能完成对4种程序控制方式,包括多达10个属性36种不同组合的控制能力,其对程序的控制能力可见一斑。
那么,LooknStop对网络协议的控制功能又如何呢?让我们进入“互联网过滤”,这里正是用户噩梦开始的地方。(这部分功能机房可以实现,
请大家仔细阅读)
这里同样是简洁而复杂的界面,简洁在于按钮的稀少,复杂在于太多列表控制的项目,一眼看去,几乎能让人摸不到头脑,但是这里正是所有防火墙思维的起点:防火墙规则集合。
从左到右依次为“启用规则”、“规则模式”、“匹配时记录”、“匹配规则后是否执行后续规则”、“匹配规则时声音或警报提示”。
第一列“启用规则”里提供了3种类型选择,分别为“默认方式启用规则”、“自定义方式启用规则”和“不启用规则”,如果用户没有设置自定义规则,则只能在“默认方式启用规则”和“不启用规则”之间切换。 “自定义方式启用规则”取决于规则里定义的“应用程序”项目,表示该规则只对特定的应用程序起作用,当符合条件的程序启动后,这个暗红色带绿勾标志变为绿色带红勾标志,代表程序已经启动并处于防火墙规则控制之下。
第二列 “规则模式”允许两种选择:“拦截”和“允许”,LooknStop通过这里的标识决定符合该规则的程序是该允许访问网络还是被阻止访问网络,与其它防火墙产品对比,这样的设置方法是非常方便的,用户不需要重新进入规则设置便能直接修改规则行为。红色禁止标志,此标志表示,当某个连接请求或者操作与此规则匹配时,则禁止该连接请求或者操作。如果是灰色圆点标志,则表示此允许此连接请求或者操作。此属性的好处是,相同的规则内容可以在需要时通行,在另一种情况下禁止。
第三列 “匹配时记录”提供了两个选项,“记录”和“不记录”,顾名思义,当一个满足规则设定的操作发生时,防火墙会根据这里的设置决定是否在日志里记录下这次操作信息。