[psac]

也不知道有人bbS發過了沒有

Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆，佔用資源相對較小，設定靈活方便，穩定強悍，可以算得上個人防火牆中的佼佼者了。


東西雖好，可是很多人在使用中只是讓軟體的預設設定在發揮作用，而防火牆的預設設定往往更側重於相容性方面的考慮，想讓 防火牆更好的發揮作用，就需要你根據自己的網路情況作出調整和組態。

正好官方論壇中有一篇相關文章，編譯出來和大家一起學習交流。特此感謝原作者和Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。

原文作者：Paranoid2000

原文連接:http://www.spam.com.cn/news_show.asp?NEWSID=1772

導論：

本文是為了說明 Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟體喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊，對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。

因為本文涉及到了對預設規則的調整，用戶最好事先對Outpost防火牆已經有一定熟悉度（按：並且最好對一些基本的網路知識和術語也有所瞭解）。

安全性和方便性永遠無法兩全，這就需要你根據自己的實際情況做出取捨－下文中一些改動可能需要你完成大量的調整工作，也會讓你的某些行為（如更換ISP）變得困難的多。


某些（尤其是商業企業的）網路環境可能會導致文中某些部分出現問題，請在實施改動前詳 細閱讀各個項目的優點和缺點－如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試，分析Outpost的相關日誌（尤其是被禁止連接的日誌），以便做出進一步的決策。本文中的推薦更多是關於安全性而不是方便性的考慮。

最後，請注意本我的文件並不是出自Agnitum公司，Agnitum公司也不對本文進行技術支持，相關問題和討論請在Outpost防火牆論壇提出，而不要與Agnitum公司直接聯係。


致謝：

本文原作者為Paranoid2000,成文程序中根據Outpost論壇一些管理員和Agnitum公司的反饋做了增強，對以上相關人員致以謝意，尤其對David在E2部分對於svchost.exe（其為Windows XP用戶面臨的一個嚴重的安全隱患）規則的發展和測試工作表示鄭重感謝。


Outpost免費版用戶注意：

文中涉及的設定沒有在免費版中進行測試，某些部分（如關於全局規則設定的D小節）也無法佈署（由於免費版中全局規則只能被禁用而無法修改），而某些特性（如元件控制）也是在Outpost Pro v2以後才出現的，然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。





A － 區域網路設定（位於「選項系統區域網路設定設定」）

改動收益：通過限制特權用戶的連接來提高安全性。
付出代價：需要進行更多的設定和維護工作，尤其是對大型區域網路來說。

本設定指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說，這裡列出的IP段越少越好，因為對這些位址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。（請查閱Outpost Rules Processing Order獲知詳情）

對非區域網路用戶來說，本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設定」的鉤選以防止Outpost自動增加預設設定。

本部分設定只須處於如下環境的微機加以考慮：
• 位於區域網路（LAN）中，並且帶有需要共享的文件或者列印機的微機；
• 位於區域網路中並且需要通過網路應用程式進行連接，但是無法通過應用程式規則設定完成工作的微機；
• 位於網際網路連接共享網路閘道上的微機，其應將每一個共享客戶端的IP位址列為可信任位址。請查閱LAN and DNS settings for V2獲知詳情。

上述任一種情況下由Outpost提供的預設網路設定都是過於寬鬆的，因為它總是假設同一網路中的任何微機都應該被包括在內。

步驟：
• 取消鉤選「自動檢測新的網路設定」以防止Outpost自動增加新的設定。注意如果日後安裝了新的網路卡，在此項禁止的情況下新的位址需要手動增加進去。
• 逐個增加每個PC的位址（所增加項隨後會以帶網路掩碼255.255.255.255的形式出現）。