[psac]

編者按：Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆，佔用資源相對較小，設定靈活方便，穩定強悍，可以算得上個人防火牆中的佼佼者了。東西雖好，可是很多人在使用中只是讓軟體的預設值設定在發揮作用，而防火牆的預設值設定往往更側重於相容性方面的考慮，想讓防火牆更好的發揮作用，就需要你根據自己的網路情況作出調整和組態。正好官方論壇中有一篇相關文章，編譯出來和大家一起學習交流。特此感謝原作者和 Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。

原文作者：Paranoid2000 （OP官方論壇）

導論：

本文是為了說明 Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟體喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊，對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。

因為本文涉及到了對預設值規則的調整，用戶最好事先對Outpost防火牆已經有一定熟悉度（按：並且最好對一些基本的網路知識和術語也有所瞭解）。

安全性和方便性永遠無法兩全，這就需要你根據自己的實際情況做出取捨－下文中一些改動可能需要你完成大量的調整工作，也會讓你的某些行為（如更換ISP）變得困難的多。某些（尤其是商業企業的）網路環境可能會導致文中某些部分出現問題，請在實施改動前詳細閱讀各個項目的優點和缺點－如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試，分析Outpost的相關日誌（尤其是被禁止連接的日誌），以便做出進一步的決策。本文中的推薦更多是關於安全性而不是方便性的考慮。

最後，請注意本文件並不是出自Agnitum公司，Agnitum公司也不對本文進行技術支持，相關問題和討論請在Outpost防火牆論壇提出，而不要與Agnitum公司直接聯繫。


致謝：

本文原作者為Paranoid2000,成文程序中根據Outpost論壇一些管理員和Agnitum公司的反饋做了增強，對以上相關人員致以謝意，尤其對 David在E2部分對於svchost.exe（其為Windows XP用戶面臨的一個嚴重的安全隱患）規則的發展和測試工作表示鄭重感謝。


Outpost免費版用戶注意：

文中涉及的設定沒有在免費版中進行測試，某些部分（如關於全局規則設定的D小節）也無法佈署（由於免費版中全局規則只能被禁用而無法修改），而某些特性（如元件控制）也是在Outpost Pro v2以後才出現的，然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。


A － 區域網路設定（位於「選項系統區域網路設定設定」）


改動收益：通過限制特權用戶的連接來提高安全性。
付出代價：需要進行更多的設定和維護工作，尤其是對大型區域網路來說。

本設定指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說，這裡列出的IP段越少越好，因為對這些位址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。（請查閱Outpost Rules Processing Order獲知詳情）

對非區域網路用戶來說，本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設定」的鉤選以防止Outpost自動增加預設值設定。

本部分設定只須處於如下環境的微機加以考慮：
? 位於區域網路（LAN）中，並且帶有需要共享的文件或者列印機的微機；
? 位於區域網路中並且需要通過網路應用程式進行連接，但是無法通過應用程式規則設定完成工作的微機；
? 位於網際網路連接共享網路閘道上的微機，其應將每一個共享客戶端的IP位址列為可信任位址。請查閱LAN and DNS settings for V2獲知詳情。

上述任一種情況下由Outpost提供的預設值網路設定都是過於寬鬆的，因為它總是假設同一網路中的任何微機都應該被包括在內。

步驟：
? 取消鉤選「自動檢測新的網路設定」以防止Outpost自動增加新的設定。注意如果日後安裝了新的網路卡，在此項禁止的情況下新的位址需要手動增加進去。
? 逐個增加每個PC的位址（所增加項隨後會以帶網路掩碼255.255.255.255的形式出現）。網際網路位址絕不應該出現在該位置。
? 鉤選涉及到文件列印機共享的微機後面的「NetBIOS」選項。
? 鉤選涉及到網路應用程式的微機後面的「信任」選項。

如果你位於一個大型區域網路內，逐個列出每個微機就是不太現實的了，此時一個可用的方案就是用Blockpost插件列出IP段然後遮閉該IP段中不需要的位址（Blockpost插件允許用戶定義任意IP段，這是Outpost現階段還做不到的）。

請注意區域網路內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題（尤其是Windows網路中存在Browse Master和Domain Controller的情況下），請在本文F4部分搜尋通過插件設定避免問題的詳細內容。
B – ICMP設定（位於「選項系統ICMP設定」）

ICMP（Internet Control Message Protocol）是用於傳送診斷訊息與出錯資訊的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。

該部分預設值設定允許如下活動：

? 通過Ping指令進行的基本網路連接測試（由Echo Request Out和Echo Reply In實現） － 對本地機進行的Ping將被攔截以掩藏本地機的在線狀態。
? 對探測者顯示本地機網路位址不可用（由Destination Unreachable In and Out 實現）。
? 對探測者顯示本地機位址無法連接（由流入資料超時而引起），該類連接由Tracert指令發起－進入類跟蹤路由企圖將被攔截以掩藏本地機在線狀態。

本項的預設值設定對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定檔案類型的掃瞄中會暴露你微機的存在（絕大部分已被Outpost攔截），所以對該項的改動可以讓你的微機的隱匿性更強。

改動收益：使你的微機逃過某些可以避開Outpost檢測的掃瞄。
付出代價：在某些情況下（如緩慢的DNS回應）Destination Unreachables訊息的傳送是合法的，此時就會顯示為被遮閉，結果就是可能導致一些網路應用程式的延遲和超時（如P2P軟體）。

步驟：
? 取消對「Destination Unreachable 」Out的鉤選。

如果你在執行Server程序，那麼對Ping和Tracert指令的回應可能就是需要的。一些網際網路服務提供商（ISP）可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。

改動收益：允許用戶檢查與Server之間的連接和網路效能，這些可能是某些ISP要求實現的。
付出代價：讓你的系統處於被Denial-of-Service（DoS）攻擊的危險之中。

步驟：
?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的回應。
?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的回應。

可選步驟：上述做法會使本地機對任意位址的Ping和Tracert指令做出回應，還有一個可選的方案是用一個全局規則來實現只允許來自可信任位址的ICMP 訊息－但是這樣會導致其漠視Outpost的ICMP設定而允許所有的ICMP訊息流通。然而當特定 位址已知時，這樣做也未嘗不可。通過如下步驟實現：

?新增一個如下設定的全局規則：
Allow Trusted ICMP：指定的傳輸協定IP 檔案類型ICMP，指定的遠端主機 <填入受信IP位址>，允許

注意該規則不要定義方向（流入和流出的資料都需要獲得權限）。

C － 防火牆模式（位於「選項系統防火牆模式」）
保持預設值設定「增強」，不建議作改動。