網際網路位址絕不應該出現在該位置。
• 鉤選涉及到文件列印機共享的微機後面的「NetBIOS」選項。
• 鉤選涉及到網路應用程式的微機後面的「信任」選項。
如果你位於一個大型區域網路內,逐個列出每個微機就是不太現實的了,此時一個可用的方案就是用Blockpost插件列出IP段然後遮閉該IP段中不需要的位址(Blockpost插件允許用戶定義任意IP段,這是Outpost現階段還做不到的)。
請注意區域網路內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題(尤其是Windows網路中存在Browse Master和Domain Controller的情況下),請在本文F4部分搜尋通過插件設定避免問題的詳細內容。
B – ICMP設定(位於「選項系統ICMP設定」)
ICMP(Internet Control Message Protocol)是用於傳送診斷訊息與出錯資訊的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。
該部分預設設定允許如下活動:
• 通過Ping指令進行的基本網路連接測試(由Echo Request Out和Echo Reply In實現) - 對本地機進行的Ping將被攔截以掩藏本地機的在線狀態。
• 對探測者顯示本地機網路位址不可用(由Destination Unreachable In and Out 實現)。
• 對探測者顯示本地機位址無法連接(由流入資料超時而引起),該類連接由Tracert指令發起-進入類跟蹤路由企圖將被攔截以掩藏本地機在線狀態。
本項的預設設定對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定檔案類型的掃瞄中會暴露你微機的存在(絕大部分已被Outpost攔截),所以對該項的改動可以讓你的微機的隱匿性更強。
改動收益:使你的微機逃過某些可以避開Outpost檢測的掃瞄。
付出代價:在某些情況下(如緩慢的DNS回應)Destination Unreachables訊息的傳送是合法的,此時就會顯示為被遮閉,結果就是可能導致一些網路應用程式的延遲和超時(如P2P軟體)。
步驟:
• 取消對「Destination Unreachable 」Out的鉤選。
如果你在執行Server程序,那麼對Ping和Tracert指令的回應可能就是需要的。一些網際網路服務提供商(ISP)可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。
改動收益:允許用戶檢查與Server之間的連接和網路效能,這些可能是某些ISP要求實現的。
付出代價:讓你的系統處於被Denial-of-Service(DoS)攻擊的危險之中。
步驟:
•鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的回應。
•鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的回應。
可選步驟:
上述做法會使本地機對任意位址的Ping和Tracert指令做出回應,還有一個可選的方案是用一個全局規則來實現只允許來自可信任位址的ICMP訊息-但是這樣會導致其漠視Outpost的ICMP設定而允許所有的ICMP訊息流通。然而當特定 位址已知時,這樣做也未嘗不可。通過如下步驟實現:
•新增一個如下設定的全局規則:
Allow Trusted ICMP:指定的傳輸協定IP 檔案類型ICMP,指定的遠端主機 <填入受信IP位址>,允許
注意該規則不要定義方向(流入和流出的資料都需要獲得權限)。
C - 防火牆模式(位於「選項系統防火牆模式」)
保持預設設定「增強」,不建議作改動。
D-系統和應用程式全局規則(位於「選項系統系統和應用程式全局規則」)
D1-指定DNS伺服器位址
DNS(Domain Name System)是通過域名來確定IP位址的一種方法(如 otupostfirewall.com的IP位址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities)。
|