•DNS規則 - 可在D1部分中檢視詳情,只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則,因為此時svchost.exe才會進行搜尋工作;
•因為此處只需要一條TCP規則,此規則被設定為「允許」;
•因為某些木馬程序試圖把它們的活動偽裝成DNS查詢,推薦把任何試圖與DNS伺服器以外的位址進行連接的嘗試視為可疑-Trojan DNS規則將報告類似的連接。如果連接是合法的(如果你的ISP更換了DNS伺服器位址這些「允許」規則需要及時進行更新)則對其做出報告很容易導致網路失去連接,此時應該從禁止日誌中查明原因。
Block Incoming SSDP:傳輸協定 UDP,本機連接阜 1900,禁止
Block Outgoing SSDP:傳輸協定 UDP,遠端連接阜 1900,禁止
•這些規則遮閉了用於在區域網路中搜尋即插即用設備(UPnP)的簡單服務搜尋傳輸協定(SSDP)。由於即插即用設備會導致許多安全問題的出現,如非必要最好還是將其禁用-如果必須使用的話,則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用,即可防止SSDP起作用,所以這些規則是建議組態。
Block Incoming UPnP:傳輸協定 TCP,方向 入站,本機連接阜 5000,禁止
Block Outgoing UPnP:傳輸協定TCP,方向 出站,遠端連接阜 5000,禁止
•這些規則遮閉了UPnP資料包-如同上面關於SSDP的規則,如果你非常需要UPnP則把規則改為「允許」,可是一定要把UPnP設備的IP位址設為遠端位址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用,即可防止UPnP起作用,所以這些規則是建議組態。
Block RPC(TCP):傳輸協定 TCP,方向 入站,本機連接阜 135,禁止
Block RPC(UDP):傳輸協定 UDP,本機連接阜 135,禁止
•這些規則實際上是預設的全局規則中關於遮閉RPC/DCOM通訊的規則拷貝-所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接,則把這些規則改為「允許」,不過僅限於信任的遠端位址。
Allow DHCP Request:傳輸協定 UDP,遠端位址 <ISP的DHCP伺服器位址>,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許
•DHCP規則-請至D2部分檢視詳情(如果使用的是固定IP位址則不需套用此規則-通常只有在私有區域網路內才會如此)。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的-由於套用了最後的「Block Other TCP/UDP」規則,全局DHCP規則此時並不會起作用。
Allow Help Web Access:傳輸協定TCP,方向 出站,遠端連接阜 80,443,允許
•Windows說明 系統可能會通過svchost.exe發起網路連接-如果你不想使用說明 系統(或者是不希望微軟知道你何時使用的)則可以略過本規則。
Allow Time Synchronisation:傳輸協定 UDP,遠端連接阜 123,遠端位址 time.windows.com,time.nist.gov,允許
•用於時間同步-只有當你需要用到Windows XP這個特性時才需要新增該規則。
Block Other TCP Traffic:傳輸協定TCP,方向 出站,禁止
Block Other TCP Traffic:傳輸協定 TCP,方向 入站,禁止
Block Other UDP Traffic:傳輸協定 UDP,禁止
•把這些規則設定在規則列表的最下面-它們會阻止未設定規則的服務的規則向導彈出視窗。未來所增加的任何規則都應該置於這些規則之上。
商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。
Services.exe(Windows 2000系統獨有)
Allow DNS(UDP):傳輸協定UDP,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許
Allow DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53, 遠端位址 <你的ISP的DNS伺服器位址>,允許
Possible Trojan DNS(UDP):傳輸協定 UDP,遠端連接阜 53,禁止 並且報告
Possible Trojan DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止 並且報告
•DNS規則-請至D1部分檢視詳情。只有當「DNS客戶端服務」沒有被停用時才需要上述規則,因為此時services.exe將會接手搜尋工作;
•因為這裡只需要TCP規則,所以操作設定為「允許」;
•與svchost規則一樣,「Possible Trojan」規則在攔截到連接其它位址的企圖時會作出報告。
Allow DHCP Request:傳輸協定 UDP,遠端位址 <ISP的DHCP伺服器位址>,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許
•DHCP規則-請至D2部分檢視詳情(注意如果使用的是靜態IP則不需設定-通常只有私有區域網路中才會如此)。需要設定的原因同上述svchost.exe。
Block Other TCP Traffic:傳輸協定 TCP,方向 出站,禁止
Block Other TCP Traffic:傳輸協定 TCP,方向 入站,禁止
Block Other UDP Traffic:傳輸協定 UDP,禁止
•把這些規則列到最下面-它們會阻止未設定的程序的規則嚮導視窗彈出,任何後續增加的規則均需列到這些規則上方。
與上面的svchost.exe一樣,商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。
Outpost 昇級服務
除了DNS規則外,Outpost 2.0不再需要額外的網路連接,Outpost 2.1及後續版本可以從Agnitum下載新聞和插件訊息。套用此功能需要作出如下設定:
Allow Outpost News and Plugin Info:傳輸協定 TCP,方向 出站,遠端連接阜 80,遠端位址
http://www.agnitum.com/,允許
還可以使用一條類似的規則用於程序的昇級:
Allow Agnitum Update:傳輸協定 TCP,方向 出站,遠端連接阜 80,遠端位址
http://www.agnitum.com/,允許
網路瀏覽器(Internet explorer,NetscapeMozilla,Opera,等)
Outpost的自動組態功能以及預設規則為瀏覽器提供了比較寬鬆的設定-對於大多數用戶來說可以將其進一步強化如下:
Allow Web Access:傳輸協定 TCP,方向 出站,遠端連接阜80,允許
Allow Secure Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 443,允許
•上述規則允許了建立標準(HTTP)和加密(HTTPS)網路連接。如果你使用了代理並且想使所有訊息都流經代理,則可考慮將上述規則設為「禁止」,注意此類代理將需要單獨為其設立一條規則(具體設定取決於代理所以此處不再作詳細說明)。
Allow Alternate Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 8000,8010,8080,允許