史萊姆論壇 - 查看單個文章

psac · 2006-02-20, 07:10 PM

outpost中文系統下昇級報告錯誤解決辦法

utpost昇級錯誤，並不是key的原因，而是非unicode語言所至，中文xp預設非unicode語言是中文，我們只要把這個選項改為英語即可正常昇級。

關於beta版昇級方法：
修改C:\Program Files\Common Files\Agnitum Shared\aupdate\update.ini文件，將ServerDir修改為ServerDir=/update_beta25

zonealarm pro 防火牆6.0.629.00

zonealarm pro 防火牆6.0.629.00
http://download.zonelabs.com/bin/fre...9_000_beta.exe

OP使用技藝：Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆，佔用資源相對較小，設定靈活方便，穩定強悍，可以算得上個人防火牆中的佼佼者了。東西雖好，可是很多人在使用中只是讓軟體的預設設定在發揮作用，而防火牆的預設設定往往更側重於相容性方面的考慮，想讓防火牆更好的發揮作用，就需要你根據自己的網路情況作出調整和組態。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。

導論：

本文是為了說明 Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟體喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊，對網路的流出信息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。

因為本文涉及到了對預設規則的調整，用戶最好事先對Outpost防火牆已經有一定熟悉度（按：並且最好對一些基本的網路知識和術語也有所瞭解）。

安全性和方便性永遠無法兩全，這就需要你根據自己的實際情況做出取捨－下文中一些改動可能需要你完成大量的調整工作，也會讓你的某些行為（如更換ISP）變得困難的多。某些（尤其是商業企業的）網路環境可能會導致文中某些部分出現問題，請在實施改動前詳細閱讀各個項目的優點和缺點－如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試，分析Outpost的相關日誌（尤其是被禁止連接的日誌），以便做出進一步的決策。本文中的推薦更多是關於安全性而不是方便性的考慮。

最後，請注意本我的文件並不是出自Agnitum公司，Agnitum公司也不對本文進行技術支持，相關問題和討論請在Outpost防火牆論壇提出，而不要與Agnitum公司直接聯繫。

致謝：

本文原作者為Paranoid2000,成文程序中根據Outpost論壇一些管理員和Agnitum公司的反饋做了增強，對以上相關人員致以謝意，尤其對David在E2部分對於svchost.exe（其為Windows XP用戶面臨的一個嚴重的安全隱患）規則的發展和測試工作表示鄭重感謝。

Outpost免費版用戶注意：

文中涉及的設定沒有在免費版中進行測試，某些部分（如關於全局規則設定的D小節）也無法佈署（由於免費版中全局規則只能被禁用而無法修改），而某些特性（如元件控制）也是在Outpost Pro v2以後才出現的，然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。

A －區域網路設定（位於「選項系統區域網路設定設定」）

改動收益：通過限制特權用戶的連接來提高安全性。
付出代價：需要進行更多的設定和維護工作，尤其是對大型區域網路來說。

本設定指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說，這裡列出的IP段越少越好，因為對這些位址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。（請查閱Outpost Rules Processing Order獲知詳情）

對非區域網路用戶來說，本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設定」的鉤選以防止Outpost自動增加預設設定。

本部分設定只須處於如下環境的微機加以考慮：
? 位於區域網路（LAN）中，並且帶有需要共享的文件或者列印機的微機；
? 位於區域網路中並且需要通過網路應用程式進行連接，但是無法通過應用程式規則設定完成工作的微機；
? 位於網際網路連接共享網路閘道上的微機，其應將每一個共享客戶端的IP位址列為可信任位址。請查閱LAN and DNS settings for V2獲知詳情。

上述任一種情況下由Outpost提供的預設網路設定都是過於寬鬆的，因為它總是假設同一網路中的任何微機都應該被包括在內。

步驟：
? 取消鉤選「自動檢測新的網路設定」以防止Outpost自動增加新的設定。注意如果日後安裝了新的網路卡，在此項禁止的情況下新的位址需要手動增加進去。
? 逐個增加每個PC的位址（所增加項隨後會以帶網路掩碼255.255.255.255的形式出現）。網際網路位址絕不應該出現在該位置。
? 鉤選涉及到文件列印機共享的微機後面的「NetBIOS」選項。
? 鉤選涉及到網路應用程式的微機後面的「信任」選項。

如果你位於一個大型區域網路內，逐個列出每個微機就是不太現實的了，此時一個可用的方案就是用Blockpost插件列出IP段然後遮閉該IP段中不需要的位址（Blockpost插件允許用戶定義任意IP段，這是Outpost現階段還做不到的）。

請注意區域網路內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題（尤其是Windows網路中存在Browse Master和Domain Controller的情況下），請在本文F4部分搜尋通過插件設定避免問題的詳細內容。

B – ICMP設定（位於「選項系統ICMP設定」）

ICMP（Internet Control Message Protocol）是用於傳送診斷訊息與出錯資訊的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。

該部分預設設定允許如下活動：

? 通過Ping指令進行的基本網路連接測試（由Echo Request Out和Echo Reply In實現）－對本地機進行的Ping將被攔截以掩藏本地機的在線狀態。
? 對探測者顯示本地機網路位址不可用（由Destination Unreachable In and Out 實現）。
? 對探測者顯示本地機位址無法連接（由流入資料超時而引起），該類連接由Tracert指令發起－進入類跟蹤路由企圖將被攔截以掩藏本地機在線狀態。

本項的預設設定對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定檔案類型的掃瞄中會暴露你微機的存在（絕大部分已被Outpost攔截），所以對該項的改動可以讓你的微機的隱匿性更強。

改動收益：使你的微機逃過某些可以避開Outpost檢測的掃瞄。
付出代價：在某些情況下（如緩慢的DNS回應）Destination Unreachables訊息的傳送是合法的，此時就會顯示為被遮閉，結果就是可能導致一些網路應用程式的延遲和超時（如P2P軟體）。

步驟：
? 取消對「Destination Unreachable 」Out的鉤選。

如果你在執行Server程序，那麼對Ping和Tracert指令的回應可能就是需要的。一些網際網路服務提供商（ISP）可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。

改動收益：允許用戶檢查與Server之間的連接和網路效能，這些可能是某些ISP要求實現的。
付出代價：讓你的系統處於被Denial-of-Service（DoS）攻擊的危險之中。

步驟：
?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的回應。
?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的回應。

可選步驟：上述做法會使本地機對任意位址的Ping和Tracert指令做出回應，還有一個可選的方案是用一個全局規則來實現只允許來自可信任位址的ICMP訊息－但是這樣會導致其漠視Outpost的ICMP設定而允許所有的ICMP訊息流通。然而當特定位址已知時，這樣做也未嘗不可。通過如下步驟實現：

?新增一個如下設定的全局規則：
Allow Trusted ICMP：指定的傳輸協定IP 檔案類型ICMP，指定的遠端主機 <填入受信IP位址>，允許

注意該規則不要定義方向（流入和流出的資料都需要獲得權限）。

C －防火牆模式（位於「選項系統防火牆模式」）
保持預設設定「增強」，不建議作改動。

D－系統和應用程式全局規則（位於「選項系統系統和應用程式全局規則」）
D1－指定DNS伺服器位址

DNS（Domain Name System）是通過域名來確定IP位址的一種方法（如 otupostfirewall.com的IP位址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities）。因為連接網站時DNS訊息必須通過防火牆以實現IP位址查詢，一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊位址限定為你的ISP所提供的DNS伺服器，這種偽DNS請求就可以被有效的攔截。有兩種方法可以完成這項工作：

(a). 「全局DNS」設定－把你的ISP的DNS伺服器位址加入到全局規則中

改動收益：通過少量工作即可完成上述工作。
付出代價：如果你通過多家ISP上網，那麼所有的伺服器位址都需要被增加進去－如果你更換了ISP或者ISP更改了它們的伺服器位址，那麼你就需要把新的位址更新進規則中去。如果你有程序或者網路環境需要套用反覆式DNS查詢（Windows環境下通常使用遞回式查詢，反覆式通常是套用於DNS伺服器之間），那麼組態這條規則就可能會出現問題。

步驟：
?找到你的ISP使用的DNS伺服器位址。最簡單的方法就是在指令行視窗中使用「ipconfig –all」來查詢，Windows 9x/Me/Xp的用戶也可以在開始選單的「執行」對話視窗中使用winipcfg得到相關資訊。
?把這些位址作為遠端主機位址加入到「Allow DNS Resolving」全局規則中。

Windows 2000/XP用戶還應該把這些位址加到應用程式規則中services.exe/svchost.exe的相關項目中（詳情參見E2部分）。

(b). 「應用程式DNS」設定－移除全局規則，逐個給每個程序增加DNS規則

改動收益：如此一來新增加的程序通常需要兩項規則（DNS規則和程序自身需要的規則）來減少可疑程序在意外情況下的通行。試圖與「老家」通訊的惡意程序現在就面臨著尋找必要IP位址的額外手續，這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到。只通過DNS連接阜通訊的這類木馬程序現在就必須通過額外規則才可以通行，這也是現在唯一可以遮閉DNShell以及類似洩漏測試的方法。
付出代價：需要完成繁瑣的多的工作－每一個程序都需要增加一條額外的規則。更換ISP後需要把所有規則更新為新的DNS位址。

步驟：

?在Windows 2000和XP環境下，關掉「DNS客戶服務」（通過開始/控制台/管理選項/服務）。這會強迫每個程序發出自己的DNS請求，而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。
?停用或者移除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。
?對每一個程序增加一個新規則，使用下列關鍵字：
<軟體名> DNS Resolution：指定傳輸協定UDP，遠端連接阜53，遠端主機<你的ISP的DNS伺服器位址>，允許

可以通過設定本規則為預設規則來簡化工作。步驟如下：中斷連線網路，結束Outpost，開啟preset.lst文件（位於Outpost程式文件夾中）並在文件末尾增加下列規則：

; Application DNS Resolution

[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: 加入你的ISP的DNS伺服器位址，如有多個用逗號分隔
AllowIt

增加該預設規則後，日後碰到增加規則嚮導提示的時候只要選定該預設規則匯入即可（如果你想允許該程序通行的話）。這種情況下，IP位址在「選項/程序」中將以附帶(255.255.255.255)子網路遮罩的形式出現，此即指明了一個列項的IP位址範圍，其與單獨一個IP位址所起作用相同。注意此時「工具/自動檢查昇級」選項應該被禁用，因為對preset.lst的改動可能被自動更新的文件覆蓋掉（雖然「自動更新」在覆蓋文件以前會提示），一個比較好的辦法是手動制作備份該檔案，然後再進去行更新，更新完畢後如有必要再把備份檔案覆蓋回去。

注意－兩種DNS設定都需要的規則

不管選項上述兩種設定中的哪一種，都需要考慮到一種情況－DNS查詢使用更多的是UDP(User Datagram Protocol)傳輸協定而不是TCP(Transport Control Protocol)傳輸協定。查詢使用到TCP傳輸協定的情況很少見而且通常是複雜查詢－實際使用中通常它們可以被遮閉，因為該查詢會用UDP傳輸協定再次傳送，因此在全局規則中可以增加一條規則如下：

Block DNS(TCP)：傳輸協定 TCP，方向出站，遠端連接阜 53,禁止

如果你想允許此類通訊，那麼或者是修改規則為「允許」（指全局DNS規則）或者是為每一個程序新增第二條DNS規則用TCP取代UDP（應用程式DNS規則）。

報告疑為木馬程序偽裝的DNS活動

任何對已設定DNS伺服器以外位址的查詢都應該被視為可疑活動而在預設情況下被禁止，此時可以在DOS視窗中用ipconfig /all指令來查詢是否ISP的DNS伺服器已改變而需要更新DNS規則設定。

此時可以通過在全局規則中其它DNS規則下方增加如下規則來解決－第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要：

Possible Trojan DNS(UDP): 傳輸協定 UDP，遠端連接阜 53,禁止並且報告
Possible Trojan DNS(TCP): 傳輸協定 TCP，方向出站，遠端連接阜53,禁止並且報告

該規則會禁止任何可疑的DNS嘗試並且做出報告。注意該規則不推薦採用應用程式DNS設定的用戶使用，因為合法DNS伺服器位址需要從規則中排除以防止誤報（例如當一個沒有設定規則的程序發起請求的時候）－指定IP位址範圍可以解決該問題，但是Outpo st現有對IP段的處理能力並不是很完善。
D2-指定DHCP伺服器位址

DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP位址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊，這也就成為了木馬程序為了在不被探測到的情況下向外傳送訊息所可能採用的一種手段。除此之外，向特定位址用大量的DHCP訊息進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。

如果你的系統使用固定IP位址（不管是因為位於局內網還是因為使用獲得動態位址的路由器）那麼此部分設定可以略過。想檢查DHCP是否被套用，可以在指令行視窗使用ipconfig /all來查詢－在視窗底部可以得到相關資訊。

限制DHCP通訊到某個特定伺服器比對DNS做出限制要稍微複雜一些，因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向（部分是由於DHCP傳輸協定使用UDP傳輸協定，部分是由於它能包括的IP位址的變化），因此本規則推薦對本機和遠程連接阜而不是對方向進行限制。另外，第一次DHCP請求是對255.255.255.255位址發出的廣播形式（該通訊應該送達區域網路中所有的主機），因為機器啟動時無從得知DHCP伺服器的位址，後續的DHCP請求（為了更新IP位址分配）才會被傳送到 DHCP伺服器。

Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則（Windows 2000是services.exe，Windows XP是svchost.exe）來進一步限制DHCP通訊，請參考E2部分獲得更詳盡的訊息。

改動收益：防止對DHCP權限的濫用。
付出代價：如果使用多家ISP，每一家都需要單獨設定其伺服器位址。如果更換ISP，相關規則也需要做出更新。某些ISP可能會需要通過多項列項進行設定－尤其是在其擁有具有多個連接點的大型網路時。

步驟：

?通過ipconfig /all或者winipcfg搜尋得到DHCP伺服器位址。注意DHCP伺服器與DNS伺服器位址通常是不同的。
?Windows 9x/ME用戶新增全局規則：

Allow DHCP Request: 傳輸協定 UDP，遠端位址 <你的ISP的DHCP伺服器位址>，255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
?Windows 2000/XP用戶新增全局規則：

Allow DHCP Broadcast：傳輸協定 UDP，遠端位址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許

因為DHCP伺服器位址可能會發生改變，建議在IP位址分配碰到問題時禁止上述規則中對「遠端位址」的設定－如果一切正常就保留該設定，在重新允許該規則以前驗證並且更新（如有必要）DHCP伺服器位址。DHCP伺服器通常不會作出大範圍的網路轉移，所以在其位址中使用萬用字元（例如192.168.2.*）可以有效減少該類問題的發生。

D3-禁止「Allow Loopback」規則

預設規則中的「Allow Loopback」全局規則給使用代理伺服器的用戶（例如AnalogX Proxy，Proxomitron，WebWasher以及某些反垃圾/反病毒軟體）帶來了一個極大的安全隱患，因為其允許任何未經指明遮閉的程序使用為代理設定的規則進行網際網路通訊，禁止或者移除該全局規則即可消除隱患。

改動收益：防止未經使用權的程序利用代理伺服器規則進行通訊。
付出代價：任何使用代理伺服器的程序（例如和Proxomitron配合使用的瀏覽器，等等）都需要設定一條額外的規則（其時彈出的規則嚮導中的建議組態在絕大多數情況下已經足夠應付）。

步驟：
?通過「選項系統系統和應用程式全局規則設定」進入全局規則列表
?通過去除「Allow Loopback」的鉤選來禁止該項規則

D4-禁止不必要的全局規則

預設設定中的某些全局規則並不是很恰當，可以通過去除對其的鉤選來停用。這些規則包括：

?Allow Inbound Authentication －一個簡陋而且不可靠的檢查網路連接端的規則，很少被用到。如果需要的時候，停用該規則可能會導致登入Email伺服器的延遲。
?Allow GRE Protocol，Allow PPTP control connection －這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的，如果沒有此需求可以停用這些規則。

改動收益：防止套用這些連接阜的訊息洩漏。
付出代價：禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲（此時可以重新啟動該規則，並把郵件伺服器增加為遠端位址）

步驟：
?通過「選項系統系統和應用程式全局規則設定」進入全局規則列表
?清除對相應規則的鉤選

D5－遮閉未使用和未知的傳輸協定

全局規則可以對網際網路傳輸協定（IP）以及TCP和UDP傳輸協定作出限定，對IP涉及到的一系列傳輸協定建議全部加以遮閉，除了下面所述檔案類型：

?ICMP(1)－此傳輸協定通過ICMP相關規則來處理；
?IGMP(2)－多點廣播需要用到（如在線視瀕直播），如果需要套用到該項傳輸協定就不要禁用；
?ESP(50)和AH(51)－IPSec需要套用到這些傳輸協定，所以VPN（Virtual Private Network）用戶不要禁用這些設定。

企業用戶要謹慎處理這些設定－其中一些選項可能是區域網路中路由通訊所必需的。

可以設定一條全局規則來處理這些未知傳輸協定（包括類似IPX或者NetBEUI的傳輸協定）－建議設定該項規則來進行遮閉。

改動收益：防止未來可能經由這些連接阜的訊息洩漏。
付出代價：出於Outpost採用的處理規則的方式，這些改動可能會顯著增大相關處理流程的數量，尤其對於使用文件共享程序或者位於比較繁忙區域網路中的用戶來說。

步驟：

未使用的傳輸協定
?進入「選項系統系統和應用程式全局規則設定」；
?點選「增加」新增新的全局規則；
?設定指定傳輸協定為IP，此時其後面所跟的「檔案類型」是「未定義」；
?點擊「未定義」進入IP檔案類型列表視窗；
?選定你想要遮閉的檔案類型然後點擊OK；
?設定回應操作為「禁止」，再自己定義恰當的規則名稱後點擊OK。

未知傳輸協定
?進入「選項系統系統和應用程式全局規則設定」；
?點選「增加」新增新的全局規則；
?設定傳輸協定為「未知」，回應操作為「禁止」，再自己定義恰當的規則名稱後點擊OK。
E －應用程式規則（位於「選項應用程式」）

E1－移除位於「信任的應用程式」組中的項目

即使程序需要正常的訪問網際網路，對其通訊不加過問的一律放行也不是明智的做法。某些程序可能會要求比所需更多的連接（浪費帶寬），有的程序會跟「老家」悄悄聯繫洩漏你的隱私訊息。出於這種考慮，應該把「信任的應用程式」組中的項目移入「部分允許的應用程式」組，並且設定如下所建議的合適的規則。

E2－謹慎設定「部分允許的應用程式」

Outpost的自動組態功能將會給每一個探測到要求連接網路的程序組態預設的規則，然而這些預設規則是從易於使用的角度出發的，所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆組態中最富有挑戰性的部分，由於個人的使用環境和偏好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦組態和參考組態。

推薦組態用紅色表示
建議組態用藍色表示
可選組態用綠色表示

如果使用了D1部分提及的「應用程式DNS」設定，那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則，請注意這些應用程式規則的優先等級位於全局規則之上，詳情請見Outpost Rules Processing Order一般問題貼。

在規則中使用域名注意事項：
當域名被用作本機或遠端位址時，Outpost會立刻搜尋相應的IP位址（需要DNS連接），如果該域名的IP發生了改變，規則不會被自動更新－域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。

某些域名可能使用了多個IP位址－只有在「選項應用程式」中手動建立的規則Outpost才會自動尋找其所有IP位址，通過規則嚮導建立的規則則不行。因此，通過規則嚮導建立的規則需要重新在「選項應用程式」中手動輸入域名以確保所有IP位址能被找到。

Svchost.exe（Windows XP系統獨有）
Svchost.exe是一個棘手的程序－為了完成一些基本的網路工作它需要進行網際網路連接，但是給它完全的權限又會把系統至於RPC（例如Blaster、Welchia/Nachi等蠕蟲）洩漏的危險之中。給這個程序新增合適的規則也就變得格外的重要。

Allow DNS(UDP)：傳輸協定 UDP，遠端連接阜 53，遠端位址 <你的ISP的DNS伺服器位址>，允許
Allow DNS(TCP)：傳輸協定TCP，方向出站，遠端連接阜 53，遠端位址 <你的ISP的DNS伺服器位址>，允許
Possible Trojan DNS(UDP)：傳輸協定 UDP，遠端連接阜 53，禁止並且報告
Possible Trojan DNS(TCP)：傳輸協定 TCP，方向出站，遠端連接阜 53，禁止並且報告

?DNS規則－可在D1部分中檢視詳情，只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則，因為此時svchost.exe才會進行搜尋工作；
?因為此處只需要一條TCP規則，此規則被設定為「允許」；
?因為某些木馬程序試圖把它們的活動偽裝成DNS查詢，推薦把任何試圖與DNS伺服器以外的位址進行連接的嘗試視為可疑－Trojan DNS規則將報告類似的連接。如果連接是合法的（如果你的ISP更換了DNS伺服器位址這些「允許」規則需要及時進行更新）則對其做出報告很容易導致網路失去連接，此時應該從禁止日誌中查明原因。

Block Incoming SSDP：傳輸協定 UDP，本機連接阜 1900，禁止
Block Outgoing SSDP：傳輸協定 UDP，遠端連接阜 1900，禁止

?這些規則遮閉了用於在區域網路中搜尋即插即用設備（UPnP）的簡單服務搜尋傳輸協定（SSDP）。由於即插即用設備會導致許多安全問題的出現，如非必要最好還是將其禁用－如果必須使用的話，則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用，即可防止SSDP起作用，所以這些規則是建議組態。

Block Incoming UPnP：傳輸協定 TCP，方向入站，本機連接阜 5000，禁止
Block Outgoing UPnP：傳輸協定TCP，方向出站，遠端連接阜 5000，禁止

?這些規則遮閉了UPnP資料包－如同上面關於SSDP的規則，如果你非常需要UPnP則把規則改為「允許」，可是一定要把UPnP設備的IP位址設為遠端位址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用，即可防止UPnP起作用，所以這些規則是建議組態。

Block RPC（TCP）：傳輸協定 TCP，方向入站，本機連接阜 135，禁止
Block RPC（UDP）：傳輸協定 UDP，本機連接阜 135，禁止

?這些規則實際上是預設的全局規則中關於遮閉RPC/DCOM通訊的規則拷貝－所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接，則把這些規則改為「允許」，不過僅限於信任的遠端位址。

Allow DHCP Request：傳輸協定 UDP，遠端位址 <ISP的DHCP伺服器位址>，遠端連接阜 BOOTPS，本機連接阜 BOOTPC，允許

?DHCP規則－請至D2部分檢視詳情（如果使用的是固定IP位址則不需套用此規則－通常只有在私有區域網路內才會如此）。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的－由於套用了最後的「Block Other TCP/UDP」規則，全局DHCP規則此時並不會起作用。

Allow Help Web Access：傳輸協定TCP，方向出站，遠端連接阜 80，443，允許

?Windows說明系統可能會通過svchost.exe發起網路連接－如果你不想使用說明系統（或者是不希望微軟知道你何時使用的）則可以略過本規則。

Allow Time Synchronisation：傳輸協定 UDP，遠端連接阜 123，遠端位址 time.windows.com，time.nist.gov，允許

?用於時間同步－只有當你需要用到Windows XP這個特性時才需要新增該規則。

Block Other TCP Traffic：傳輸協定TCP，方向出站，禁止
Block Other TCP Traffic：傳輸協定 TCP，方向入站，禁止
Block Other UDP Traffic：傳輸協定 UDP，禁止

?把這些規則設定在規則列表的最下面－它們會阻止未設定規則的服務的規則向導彈出視窗。未來所增加的任何規則都應該置於這些規則之上。

商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。

Services.exe（Windows 2000系統獨有）

Allow DNS（UDP）：傳輸協定UDP，遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>，允許
Allow DNS（TCP）：傳輸協定 TCP，方向出站，遠端連接阜 53, 遠端位址 <你的ISP的DNS伺服器位址>，允許
Possible Trojan DNS（UDP）：傳輸協定 UDP，遠端連接阜 53,禁止並且報告
Possible Trojan DNS（TCP）：傳輸協定 TCP，方向出站，遠端連接阜 53,禁止並且報告

?DNS規則－請至D1部分檢視詳情。只有當「DNS客戶端服務」沒有被停用時才需要上述規則，因為此時services.exe將會接手搜尋工作；
?因為這裡只需要TCP規則，所以操作設定為「允許」；
?與svchost規則一樣，「Possible Trojan」規則在攔截到連接其它位址的企圖時會作出報告。

Allow DHCP Request：傳輸協定 UDP，遠端位址 <ISP的DHCP伺服器位址>，遠端連接阜 BOOTPS，本機連接阜 BOOTPC，允許

?DHCP規則－請至D2部分檢視詳情（注意如果使用的是靜態IP則不需設定－通常只有私有區域網路中才會如此）。需要設定的原因同上述svchost.exe。

Block Other TCP Traffic：傳輸協定 TCP，方向出站，禁止
Block Other TCP Traffic：傳輸協定 TCP，方向入站，禁止
Block Other UDP Traffic：傳輸協定 UDP，禁止

?把這些規則列到最下面－它們會阻止未設定的程序的規則嚮導視窗彈出，任何後續增加的規則均需列到這些規則上方。

與上面的svchost.exe一樣，商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。

Outpost 昇級服務
除了DNS規則外，Outpost 2.0不再需要額外的網路連接，Outpost 2.1及後續版本可以從Agnitum下載新聞和插件訊息。套用此功能需要作出如下設定：

Allow Outpost News and Plugin Info：傳輸協定 TCP，方向出站，遠端連接阜 80，遠端位址 http://www.agnitum.com/，允許

還可以使用一條類似的規則用於程序的昇級：

Allow Agnitum Update：傳輸協定 TCP，方向出站，遠端連接阜 80，遠端位址 http://www.agnitum.com/，允許

網路瀏覽器（Internet explorer，NetscapeMozilla，Opera，等）
Outpost的自動組態功能以及預設規則為瀏覽器提供了比較寬鬆的設定－對於大多數用戶來說可以將其進一步強化如下：

Allow Web Access：傳輸協定 TCP，方向出站，遠端連接阜80,允許
Allow Secure Web Access：傳輸協定 TCP，方向出站，遠端連接阜 443,允許

?上述規則允許了建立標準（HTTP）和加密（HTTPS）網路連接。如果你使用了代理並且想使所有訊息都流經代理，則可考慮將上述規則設為「禁止」，注意此類代理將需要單獨為其設立一條規則（具體設定取決於代理所以此處不再作詳細說明）。

Allow Alternate Web Access：傳輸協定 TCP，方向出站，遠端連接阜 8000,8010,8080,允許

?某些網站可能會把連接轉到其它遠端連接阜（比如8080－在URL中以http://domain.comort-number 的形式出現）－建議此規則在網站沒有此類連接無法工作時才加入。

Allow File Transfers：傳輸協定 TCP，方向出站，遠端連接阜21,允許

?此規則是為了文件傳輸而設。與「Web Access」的規則一樣，如果你想所有的傳輸都通過代理進行則將此規則設為「禁止」，文件傳輸通常還需要建立進一步的連接－Outpost會自動放行這類連接（詳情可查閱Stateful Inspection FAQ）。

如果瀏覽器還帶有email，新聞組，以及即時通信功能，則還應增加下文中指出的相應規則。

郵件客戶端（Outlook，Eudora，Thunderbird，等）
兩種傳輸協定（相應的也就是兩組規則）可以用於取信和發信。如果你套用代理來讀取及掃瞄郵件的防病毒軟體的話，那麼下面這些規則可能是你需要的－在此情形下客戶端應該只需要一條規則（Email Antivirus Access：傳輸協定 TCP，方向出站，遠端連接阜 127.0.0.1，允許）來連接防病毒軟體。

此種情形下想建立一套合理的規則有一種簡單方法：讓Outpost在「規則嚮導模式」下執行，使用客戶端收發郵件，在彈出對話視窗中選項「使用預設規則：設定」來為客戶端和防毒軟體的代理建立規則。這樣設定完以後，從「選項應用程式」開啟這條規則手動增加其它郵件伺服器名－這樣可以獲得具有多IP位址的伺服器的所有位址（規則嚮導對話視窗只包括一個IP位址）。

Read Email via POP3:傳輸協定 TCP，方向出站，遠端連接阜 110,995,遠端位址 <你的POP3伺服器位址>，允許

?本規則是為了通過被廣泛採用的POP3傳輸協定讀取郵件而設，顧及到了開放型（110連接阜）和加密型（995連接阜）連接。郵件伺服器的位址可以在客戶端的設定裡面找到，ISP可能會使用同一台伺服器來處理接收和傳送請求，也可能會為兩種傳輸協定分開設立伺服器。

Read Email via IMAP：傳輸協定 TCP，方向出站，遠端連接阜 143,993,遠端位址 <你的IMAP伺服器位址>，允許

?此規則是為使用IMAP傳輸協定讀取郵件而設，可以取代也可以與上面的POP3規則並存。是否使用取決於你的郵件程式的設定，規則顧及了開放型（143連接阜）和加密型（993連接阜）連接。

Send Email via SMTP：傳輸協定 TCP，方向出站，遠端連接阜25,465,遠端位址 <你的SMTP伺服器位址>，允許

?此規則是為通過SMTP傳輸協定傳送郵件而設，顧及了開放型（25連接阜）和加密型（465連接阜）連接。由於許多病毒都是通過郵件傳播，垃圾郵件傳送者也往往試圖通過劫持疏於防範的微機來傳送垃圾郵件，所以強烈建議此處只加入你的ISP的SMTP伺服器位址。不管你上面設定的是POP3規則還是IMAP規則這條規則都是必需的。

Block Web Links：傳輸協定 TCP，方向出站，遠端連接阜 80,禁止

?此規則會防止客戶端下載HTML格式郵件中包含的任何連接。許多垃圾郵件用這種方法判斷是否郵件已經被閱讀（從而確定你的郵件位址是否「有效」）。合法的郵件也會受到此規則的影響，但是通常只有圖片無法顯示，文本（和作為附件的圖片）不受影響。
?如果你需要察看某封郵件中的圖片，可在本規則之前加入一條規則允許與其域名的連接。
?如果你使用瀏覽器來讀取郵件則不要使用本規則，否則正常的網路連接會被遮閉掉。

下載工具（GetRight，NetAnts，GoZilla，Download Accelerator，等）

特別提示：許多下載工具或加速器帶有可能會追蹤你的使用情況的廣告，碰到這種程序，要麼換一種不帶廣告的-如GetRight－要麼設定一條規則來遮閉其與自身廣告站點的連接並把這條規則置於最前，可以通過Outpost的「網路活動」視窗來查知廣告所連接的位址。

Allow File Transfer：傳輸協定 TCP，方向出站，遠端連接阜21,允許

?本規則允許了標準的文件傳輸。與瀏覽器規則一樣，如果你只想通過代理傳輸資料可以考慮設定為「禁止」。

Allow Web Access：傳輸協定 TCP，方向出站，遠端連接阜 80,允許

?許多下載是通過HTTP傳輸協定進行的。

新聞組程序（Forte Agent，Gravity，等）
此類程序使用NNTP傳輸協定，詳情請查閱RFC 997 - Network News Transfer Protocol。

Allow Usenet Access：傳輸協定 TCP，方向出站，遠端連接阜 119,允許

?正常的新聞組連接所必需。

傳輸協定 TCP，方向出站，遠端連接阜 563，允許

?加密型新聞組連接必需。

英特網中繼聊天系統（mIRC，ViRC，等）
英特網中繼聊天系統可以用於在線交談以及通過DCC（Direct Client-to-Client）傳輸協定交流文件，詳情請查閱RFC 1459 - Internet Relay Chat Protocol。

特別提示：對於通過IRC接收到的文件要格外小心，因為惡意用戶可以很容易的利用其散佈病毒或者木馬，如有興趣可參閱IRC Security這篇文章。如果你經常需要傳送或接收文件，可以考慮安裝專用反木馬軟體（如TDS-3或TrojanHunter）與防病毒軟體配合使用，及時掃瞄流進流出系統的文件。

Allow IRC Chat：傳輸協定 TCP，方向出站，遠端連接阜 6667,允許

?在線聊天必需

Allow IRC Ident：傳輸協定 TCP，方向入站，本機連接阜 113,允許

?本規則是連接某些使用Ident/Auth傳輸協定的伺服器必需的，用於驗證你的連接－視情況增加。

Receive Files with IRC DCC：傳輸協定 TCP，方向出站，遠端連接阜 1024-65535,允許
Send Files with IRC DCC：傳輸協定 TCP，方向入站，本機連接阜 1024-65535,允許

?如果你組態了這些DCC規則，建議你平時關閉，需要時再啟用。當你想傳送或接收文件時，啟用相應的規則，傳送一旦完成即可關閉之。
?使用DCC，接收者必須啟始化連接－因此為了傳送文件，你的系統必須接收一個請求，如果你在使用NAT路由器，則需對其作出調整使此類請求得以通行，請查閱路由器的我的文件獲知詳情。
?因為DCC是隨機選項連接阜（某些客戶端使用的連接阜範圍會小一些），所以這個範圍不可能設的很小。換個思法，可以試著找出對方的IP位址（可以通過IRC中查得或查閱Outpost的日誌中失敗的連接企圖）並作為遠端位址加入到規則中。
?DCC傳輸是在你和另一方的系統之間建立起的連接，IRC伺服器被跳過了－因此Outpost的Stateful Packet Inspection選項無法起作用。

E3－元件控制

建議本項設定為MAXIMUM－會導致時常出現彈出視窗。如果覺得彈出視窗過於頻繁，可以從Outpost資料夾中移除modules.ini和modules.0文件以強制Outpost重新掃瞄元件。

設定改為NORMAL可以減少彈出的次數，但是會導致某些洩漏測試的失敗。

F－Outpost模式設定（位於「選項模式」）

只有「規則嚮導模式」和「禁止大部分通訊模式」應該酌情選用。大多數情況下，應該選用「規則嚮導模式」因為其會對任何未經設定的通訊作出提示，可以立刻設定新的相應規則。

不過如果已經進行了完善的設定工作並且確定近期不會再作出變更，可以選用「禁止大部分通訊模式」，當進行在線安全檢測時為了防止頻繁彈出提示視窗也可選用此模式。

G－Outpost插件設定（位於「選項插件」）

G1-活動內容過濾

推薦把其中的所有選項設為「禁止」，只允許特定的網站通行，除非你採用了別的軟體來把關。其中的例外情況就是Referers（連接某些網站時會出現「hard-to-track」問題）以及，對Outpost 2.1來說，動畫GIF圖片（從安全性角度來說並不重要）。照此設定即可防止惡意網站隨意修改瀏覽器的設定（如修改主頁或者增加書籤）或者是在用戶不知情的情況下安裝不必要（甚至是有害）的軟體。此類手段通常被黃色或者賭博或者破解站點採用，但也不排除某些不道德的公司會套用。請查閱Adware and Under-Wear - The Definitive Guide 獲知更詳盡的訊息。

如此嚴格的設定不會適用於所有站點，如果碰到問題請放寬此設定。此時最好是把該站點增加到「排除」項目中並為其設定自用的選項－在全局中設定「允許」會導致第三方站點、廣告站點等執行其內容。根據日誌中的記錄的症狀和細節來「允許」下列選項並且重載網頁（注意重載網頁前需要清除瀏覽器的快取－不過許多瀏覽器允許你在點擊「重載」健的同時按住「Shift」健來「強制重載網頁」）。

改動收益：通過阻止網站任意安裝軟體以及更改瀏覽器設定來增強系統安全性，阻止通過cookie來追蹤用戶以保護用戶隱私。
付出代價：許多網站會無法完全正常的工作，甚至完全無法工作。雖然大多數情況下活動內容都是非必要的，一些站點仍然需要為其單獨進行設定。找出具體設定值將會消耗大量時間。

Cookies
如果網站無法「記住」你提供的訊息－如用戶名、登入訊息或者購物籃訊息（購物網站的）在你選定商品後仍然留空。

Java指令碼
如果網頁中的按鈕在被點擊後沒有反應，或者是點擊後重載本網頁而不是進入相應位址。

彈出視窗（Outpost 2.0特有）
VB指令碼彈出視窗（Outpost 2.1及後續版本）
在Java指令碼已被啟用並且日誌中仍然出現相應被遮閉記錄的情況下，按鈕被點擊後仍然沒有反應。

第三方活動內容（Outpost 2.1及後續版本）
如果必需的網頁元素被[EXT]替代。

G2-廣告過濾

強烈建議把Eric Howes的AGNIS名單加入廣告過濾名單中，該名單包括了已知的間諜軟體和有害軟體站點以及發佈廣告的第三方站點並且，即使在「活動內容過濾」未啟用的情況下，提供妥善的防護。

拜該名單的綜合性所賜，頁面中一些需要的內容可能也會被過濾掉。此時應查詢「廣告過濾」日誌獲知其關鍵字（或者大小），然後從過濾名單中去除該列項或者（Outpost 2.1版中）把站點加入到「信任站點」中－會停止過濾此站點所有廣告。

套用名單後經常遇到問題的用戶可以考慮採用AGNIS名單精簡版。

改動收益：移除廣告會加速頁面載入速度以及使網頁更加清爽。已知的有害軟體安裝站點會得以遮閉。
付出代價：需要的網頁元素可能也會遭到過濾。如果所有人都遮閉廣告一些依靠廣告點擊生存的站點將無以為繼。

步驟：

?從上述指出的位址下載AGNIS名單－如果下載了.zip版請用相應程序（如Winzip）解壓；
?如果你想手動增加列項，使用記事本程序開啟ag-ads.ctl文件（如果你使用的是精簡版則是ag-lite.ctl文件）將其增加到最後。建議將自訂規則另存為一個文件以便於AGNIS的昇級；
?在Outpost主視窗左側的「廣告過濾」項點擊右鍵並且選項「內容」；
?鉤選「在桌面上顯示廣告資源回收箱」－會彈出一個「開啟」對話視窗；
?選定ag-ads.ctl或ag-lite.ctl文件開啟。

G3-附件過濾

除了啟用本插件（以防止任意郵件附件的自動執行）沒有別的推薦設定，當然開啟附件前還要使用防病毒軟體事先掃瞄之。

G4-入侵檢測

此處的推薦設定取決於用戶是否採用了額外的防火牆（比如外置路由器）。如果採用了，很多掃瞄或者自動攻擊之類的「地面噪音」就已經被其過濾掉了－而能到達Outpost的就應該予以重視了。

警告等級：

?最高

報告檢測到的攻擊（Outpost 2.1及後續版本）：

?如果還採用了其它防火牆則鉤選此選項。
?如果沒有採用則留空以避免過多的彈出視窗。

遮閉入侵者：

?如果頻繁受到攻擊則啟用此功能。啟用此功能需要謹慎考慮因為合法的通訊可能也會被遮閉。

拒絕服務（DoS）攻擊：

?只有處於區域網路中時才需啟用。

忽略來自信任站點的攻擊
入侵檢測插件可能會把連續的連接請求誤認為攻擊，在Windows網路中的Browse Master和Domain Controller主機會定期對所有微機進行連接，這就導致了誤會的產生。可以通過停用「入侵檢測」插件或者是中斷連線網路並關閉Outpost後編輯protect.lst文件的方法來防止此類情況的發生。

改動收益：防止例行的網路連接被誤判為攻擊行為並遭到遮閉。
付出代價：從這些主機發動的攻擊將再也無法被探測到及作出報告，此時應格外注意對這些主機的防護。

步驟：在protect.lst文件的末尾應該是<IgnoreHosts>部分－把信任主機的位址按如下格式增加進去（本例採用的是192.168.0.3和192.168.0.10）。把修改後的文件制作備份到另一資料夾中以便於Outpost的昇級（建議取消「工具自動檢查昇級」，自己手動進行昇級）。

# <IgnoreHosts>
#
# 192.168.3.0/255.255.255.0 #Local Network
#
# </IgnoreHosts>

<IgnoreHosts>
#
192.168.0.3/255.255.255.255
192.168.0.10/255.255.255.255
</IgnoreHosts>

G5-內容過濾

無推薦組態。

G6-DNS快取

無推薦組態

G7-Blockpost

Blockpost是可在Outpost防火牆論壇中找到的一個第三方插件（Dmut's Blockpost Plug-In子論壇），它可以漠視任何Outpost防火牆的設定而遮閉與特定IP位址的任何通訊。可以用於兩種情況：

?通過名單遮閉與已知間諜軟體廣告軟體站點的連接。
?防止與已知的有害位址的連接（對使用P2P軟體如KaZaA，eMule，Gnutella等的用戶尤為重要），使用此類軟體的用戶可訪問Bluetack論壇獲得清單和相關程序。

注意由於Blockpost只對IP位址有效，所以需要定期更新其清單以令其更好的發揮作用。它不會提供完全的防護或者是隱匿性，因為攻擊者可以獲得新的（未列於名單中的）IP位址，當然它會用其它方式遮閉任何TCP、UDP或者是ICMP形式的掃瞄。

注意如果你使用代理來訪問網際網路，Blockpost不會過濾經由那個代理的訊息（因為這些訊息帶有的是代理的IP位址而非目標站點的IP）－如果你希望遮閉與可疑站點的連接，可以對你的瀏覽器進行設定（如果可能）使其不使用代理訪問那些站點，如此從可疑站點的IP位址發起的連接企圖即可被Blockpost遮閉。

G8-HTTPLog

HTTPLog是又一個可從Outpost防火牆論壇獲得的第三方插件（Muchod's HTTPLog Plug-In子論壇）。它記錄了所有到過的網頁的詳細資料，因此對於檢查過濾規則的有效性和監控任意程序通過HTTP進行的活動都是十分有用的。

G9-SuperStelth

SuperStelth是另一個可從Outpost防火牆論壇獲得的第三方插件（Dmut's Super Stealth Plug-In子論壇）。它過濾了ARP（Address Resolution Protocol）通訊，只允許與特定位址的往來通訊通行。

SuperStealth對於網際網路的安全性沒有實際意義，它提供了對於位於區域網路中的乙太網通訊的控制。這是一個特別設計的工具，只適用於對ARP和乙太網比較熟悉的用戶。

2006-02-20, 07:10 PM	#8 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	outpost中文系統下昇級報告錯誤解決辦法utpost昇級錯誤，並不是key的原因，而是非unicode語言所至，中文xp預設非unicode語言是中文，我們只要把這個選項改為英語即可正常昇級。關於beta版昇級方法：修改C:\Program Files\Common Files\Agnitum Shared\aupdate\update.ini文件，將ServerDir修改為ServerDir=/update_beta25 zonealarm pro 防火牆6.0.629.00 zonealarm pro 防火牆6.0.629.00 http://download.zonelabs.com/bin/fre...9_000_beta.exe OP使用技藝：Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆，佔用資源相對較小，設定靈活方便，穩定強悍，可以算得上個人防火牆中的佼佼者了。東西雖好，可是很多人在使用中只是讓軟體的預設設定在發揮作用，而防火牆的預設設定往往更側重於相容性方面的考慮，想讓防火牆更好的發揮作用，就需要你根據自己的網路情況作出調整和組態。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。導論：本文是為了說明 Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟體喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊，對網路的流出信息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。因為本文涉及到了對預設規則的調整，用戶最好事先對Outpost防火牆已經有一定熟悉度（按：並且最好對一些基本的網路知識和術語也有所瞭解）。安全性和方便性永遠無法兩全，這就需要你根據自己的實際情況做出取捨－下文中一些改動可能需要你完成大量的調整工作，也會讓你的某些行為（如更換ISP）變得困難的多。某些（尤其是商業企業的）網路環境可能會導致文中某些部分出現問題，請在實施改動前詳細閱讀各個項目的優點和缺點－如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試，分析Outpost的相關日誌（尤其是被禁止連接的日誌），以便做出進一步的決策。本文中的推薦更多是關於安全性而不是方便性的考慮。最後，請注意本我的文件並不是出自Agnitum公司，Agnitum公司也不對本文進行技術支持，相關問題和討論請在Outpost防火牆論壇提出，而不要與Agnitum公司直接聯繫。致謝：本文原作者為Paranoid2000,成文程序中根據Outpost論壇一些管理員和Agnitum公司的反饋做了增強，對以上相關人員致以謝意，尤其對David在E2部分對於svchost.exe（其為Windows XP用戶面臨的一個嚴重的安全隱患）規則的發展和測試工作表示鄭重感謝。 Outpost免費版用戶注意：文中涉及的設定沒有在免費版中進行測試，某些部分（如關於全局規則設定的D小節）也無法佈署（由於免費版中全局規則只能被禁用而無法修改），而某些特性（如元件控制）也是在Outpost Pro v2以後才出現的，然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。 A －區域網路設定（位於「選項系統區域網路設定設定」）改動收益：通過限制特權用戶的連接來提高安全性。付出代價：需要進行更多的設定和維護工作，尤其是對大型區域網路來說。本設定指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說，這裡列出的IP段越少越好，因為對這些位址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。（請查閱Outpost Rules Processing Order獲知詳情）對非區域網路用戶來說，本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設定」的鉤選以防止Outpost自動增加預設設定。本部分設定只須處於如下環境的微機加以考慮： ? 位於區域網路（LAN）中，並且帶有需要共享的文件或者列印機的微機； ? 位於區域網路中並且需要通過網路應用程式進行連接，但是無法通過應用程式規則設定完成工作的微機； ? 位於網際網路連接共享網路閘道上的微機，其應將每一個共享客戶端的IP位址列為可信任位址。請查閱LAN and DNS settings for V2獲知詳情。上述任一種情況下由Outpost提供的預設網路設定都是過於寬鬆的，因為它總是假設同一網路中的任何微機都應該被包括在內。步驟： ? 取消鉤選「自動檢測新的網路設定」以防止Outpost自動增加新的設定。注意如果日後安裝了新的網路卡，在此項禁止的情況下新的位址需要手動增加進去。 ? 逐個增加每個PC的位址（所增加項隨後會以帶網路掩碼255.255.255.255的形式出現）。網際網路位址絕不應該出現在該位置。 ? 鉤選涉及到文件列印機共享的微機後面的「NetBIOS」選項。 ? 鉤選涉及到網路應用程式的微機後面的「信任」選項。如果你位於一個大型區域網路內，逐個列出每個微機就是不太現實的了，此時一個可用的方案就是用Blockpost插件列出IP段然後遮閉該IP段中不需要的位址（Blockpost插件允許用戶定義任意IP段，這是Outpost現階段還做不到的）。請注意區域網路內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題（尤其是Windows網路中存在Browse Master和Domain Controller的情況下），請在本文F4部分搜尋通過插件設定避免問題的詳細內容。 B – ICMP設定（位於「選項系統ICMP設定」） ICMP（Internet Control Message Protocol）是用於傳送診斷訊息與出錯資訊的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。該部分預設設定允許如下活動： ? 通過Ping指令進行的基本網路連接測試（由Echo Request Out和Echo Reply In實現）－對本地機進行的Ping將被攔截以掩藏本地機的在線狀態。 ? 對探測者顯示本地機網路位址不可用（由Destination Unreachable In and Out 實現）。 ? 對探測者顯示本地機位址無法連接（由流入資料超時而引起），該類連接由Tracert指令發起－進入類跟蹤路由企圖將被攔截以掩藏本地機在線狀態。本項的預設設定對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定檔案類型的掃瞄中會暴露你微機的存在（絕大部分已被Outpost攔截），所以對該項的改動可以讓你的微機的隱匿性更強。改動收益：使你的微機逃過某些可以避開Outpost檢測的掃瞄。付出代價：在某些情況下（如緩慢的DNS回應）Destination Unreachables訊息的傳送是合法的，此時就會顯示為被遮閉，結果就是可能導致一些網路應用程式的延遲和超時（如P2P軟體）。步驟： ? 取消對「Destination Unreachable 」Out的鉤選。如果你在執行Server程序，那麼對Ping和Tracert指令的回應可能就是需要的。一些網際網路服務提供商（ISP）可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。改動收益：允許用戶檢查與Server之間的連接和網路效能，這些可能是某些ISP要求實現的。付出代價：讓你的系統處於被Denial-of-Service（DoS）攻擊的危險之中。步驟： ?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的回應。 ?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的回應。可選步驟：上述做法會使本地機對任意位址的Ping和Tracert指令做出回應，還有一個可選的方案是用一個全局規則來實現只允許來自可信任位址的ICMP訊息－但是這樣會導致其漠視Outpost的ICMP設定而允許所有的ICMP訊息流通。然而當特定位址已知時，這樣做也未嘗不可。通過如下步驟實現： ?新增一個如下設定的全局規則： Allow Trusted ICMP：指定的傳輸協定IP 檔案類型ICMP，指定的遠端主機 <填入受信IP位址>，允許注意該規則不要定義方向（流入和流出的資料都需要獲得權限）。 C －防火牆模式（位於「選項系統防火牆模式」）保持預設設定「增強」，不建議作改動。 D－系統和應用程式全局規則（位於「選項系統系統和應用程式全局規則」） D1－指定DNS伺服器位址 DNS（Domain Name System）是通過域名來確定IP位址的一種方法（如 otupostfirewall.com的IP位址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities）。因為連接網站時DNS訊息必須通過防火牆以實現IP位址查詢，一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊位址限定為你的ISP所提供的DNS伺服器，這種偽DNS請求就可以被有效的攔截。有兩種方法可以完成這項工作： (a). 「全局DNS」設定－把你的ISP的DNS伺服器位址加入到全局規則中改動收益：通過少量工作即可完成上述工作。付出代價：如果你通過多家ISP上網，那麼所有的伺服器位址都需要被增加進去－如果你更換了ISP或者ISP更改了它們的伺服器位址，那麼你就需要把新的位址更新進規則中去。如果你有程序或者網路環境需要套用反覆式DNS查詢（Windows環境下通常使用遞回式查詢，反覆式通常是套用於DNS伺服器之間），那麼組態這條規則就可能會出現問題。步驟： ?找到你的ISP使用的DNS伺服器位址。最簡單的方法就是在指令行視窗中使用「ipconfig –all」來查詢，Windows 9x/Me/Xp的用戶也可以在開始選單的「執行」對話視窗中使用winipcfg得到相關資訊。 ?把這些位址作為遠端主機位址加入到「Allow DNS Resolving」全局規則中。 Windows 2000/XP用戶還應該把這些位址加到應用程式規則中services.exe/svchost.exe的相關項目中（詳情參見E2部分）。 (b). 「應用程式DNS」設定－移除全局規則，逐個給每個程序增加DNS規則改動收益：如此一來新增加的程序通常需要兩項規則（DNS規則和程序自身需要的規則）來減少可疑程序在意外情況下的通行。試圖與「老家」通訊的惡意程序現在就面臨著尋找必要IP位址的額外手續，這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到。只通過DNS連接阜通訊的這類木馬程序現在就必須通過額外規則才可以通行，這也是現在唯一可以遮閉DNShell以及類似洩漏測試的方法。付出代價：需要完成繁瑣的多的工作－每一個程序都需要增加一條額外的規則。更換ISP後需要把所有規則更新為新的DNS位址。步驟： ?在Windows 2000和XP環境下，關掉「DNS客戶服務」（通過開始/控制台/管理選項/服務）。這會強迫每個程序發出自己的DNS請求，而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。 ?停用或者移除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。 ?對每一個程序增加一個新規則，使用下列關鍵字： <軟體名> DNS Resolution：指定傳輸協定UDP，遠端連接阜53，遠端主機<你的ISP的DNS伺服器位址>，允許可以通過設定本規則為預設規則來簡化工作。步驟如下：中斷連線網路，結束Outpost，開啟preset.lst文件（位於Outpost程式文件夾中）並在文件末尾增加下列規則： ; Application DNS Resolution [Application DNS Resolution] VisibleState: 1 RuleName: Application DNS Resolution Protocol: UDP RemotePort: 53 RemoteHost: 加入你的ISP的DNS伺服器位址，如有多個用逗號分隔 AllowIt 增加該預設規則後，日後碰到增加規則嚮導提示的時候只要選定該預設規則匯入即可（如果你想允許該程序通行的話）。這種情況下，IP位址在「選項/程序」中將以附帶(255.255.255.255)子網路遮罩的形式出現，此即指明了一個列項的IP位址範圍，其與單獨一個IP位址所起作用相同。注意此時「工具/自動檢查昇級」選項應該被禁用，因為對preset.lst的改動可能被自動更新的文件覆蓋掉（雖然「自動更新」在覆蓋文件以前會提示），一個比較好的辦法是手動制作備份該檔案，然後再進去行更新，更新完畢後如有必要再把備份檔案覆蓋回去。注意－兩種DNS設定都需要的規則不管選項上述兩種設定中的哪一種，都需要考慮到一種情況－DNS查詢使用更多的是UDP(User Datagram Protocol)傳輸協定而不是TCP(Transport Control Protocol)傳輸協定。查詢使用到TCP傳輸協定的情況很少見而且通常是複雜查詢－實際使用中通常它們可以被遮閉，因為該查詢會用UDP傳輸協定再次傳送，因此在全局規則中可以增加一條規則如下： Block DNS(TCP)：傳輸協定 TCP，方向出站，遠端連接阜 53,禁止如果你想允許此類通訊，那麼或者是修改規則為「允許」（指全局DNS規則）或者是為每一個程序新增第二條DNS規則用TCP取代UDP（應用程式DNS規則）。報告疑為木馬程序偽裝的DNS活動任何對已設定DNS伺服器以外位址的查詢都應該被視為可疑活動而在預設情況下被禁止，此時可以在DOS視窗中用ipconfig /all指令來查詢是否ISP的DNS伺服器已改變而需要更新DNS規則設定。此時可以通過在全局規則中其它DNS規則下方增加如下規則來解決－第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要： Possible Trojan DNS(UDP): 傳輸協定 UDP，遠端連接阜 53,禁止並且報告 Possible Trojan DNS(TCP): 傳輸協定 TCP，方向出站，遠端連接阜53,禁止並且報告該規則會禁止任何可疑的DNS嘗試並且做出報告。注意該規則不推薦採用應用程式DNS設定的用戶使用，因為合法DNS伺服器位址需要從規則中排除以防止誤報（例如當一個沒有設定規則的程序發起請求的時候）－指定IP位址範圍可以解決該問題，但是Outpo st現有對IP段的處理能力並不是很完善。 D2-指定DHCP伺服器位址 DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP位址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊，這也就成為了木馬程序為了在不被探測到的情況下向外傳送訊息所可能採用的一種手段。除此之外，向特定位址用大量的DHCP訊息進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。如果你的系統使用固定IP位址（不管是因為位於局內網還是因為使用獲得動態位址的路由器）那麼此部分設定可以略過。想檢查DHCP是否被套用，可以在指令行視窗使用ipconfig /all來查詢－在視窗底部可以得到相關資訊。限制DHCP通訊到某個特定伺服器比對DNS做出限制要稍微複雜一些，因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向（部分是由於DHCP傳輸協定使用UDP傳輸協定，部分是由於它能包括的IP位址的變化），因此本規則推薦對本機和遠程連接阜而不是對方向進行限制。另外，第一次DHCP請求是對255.255.255.255位址發出的廣播形式（該通訊應該送達區域網路中所有的主機），因為機器啟動時無從得知DHCP伺服器的位址，後續的DHCP請求（為了更新IP位址分配）才會被傳送到 DHCP伺服器。 Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則（Windows 2000是services.exe，Windows XP是svchost.exe）來進一步限制DHCP通訊，請參考E2部分獲得更詳盡的訊息。改動收益：防止對DHCP權限的濫用。付出代價：如果使用多家ISP，每一家都需要單獨設定其伺服器位址。如果更換ISP，相關規則也需要做出更新。某些ISP可能會需要通過多項列項進行設定－尤其是在其擁有具有多個連接點的大型網路時。步驟： ?通過ipconfig /all或者winipcfg搜尋得到DHCP伺服器位址。注意DHCP伺服器與DNS伺服器位址通常是不同的。 ?Windows 9x/ME用戶新增全局規則： Allow DHCP Request: 傳輸協定 UDP，遠端位址 <你的ISP的DHCP伺服器位址>，255.255.255.255,遠端連接阜 67,本機連接阜 68,允許 ?Windows 2000/XP用戶新增全局規則： Allow DHCP Broadcast：傳輸協定 UDP，遠端位址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許因為DHCP伺服器位址可能會發生改變，建議在IP位址分配碰到問題時禁止上述規則中對「遠端位址」的設定－如果一切正常就保留該設定，在重新允許該規則以前驗證並且更新（如有必要）DHCP伺服器位址。DHCP伺服器通常不會作出大範圍的網路轉移，所以在其位址中使用萬用字元（例如192.168.2.*）可以有效減少該類問題的發生。 D3-禁止「Allow Loopback」規則預設規則中的「Allow Loopback」全局規則給使用代理伺服器的用戶（例如AnalogX Proxy，Proxomitron，WebWasher以及某些反垃圾/反病毒軟體）帶來了一個極大的安全隱患，因為其允許任何未經指明遮閉的程序使用為代理設定的規則進行網際網路通訊，禁止或者移除該全局規則即可消除隱患。改動收益：防止未經使用權的程序利用代理伺服器規則進行通訊。付出代價：任何使用代理伺服器的程序（例如和Proxomitron配合使用的瀏覽器，等等）都需要設定一條額外的規則（其時彈出的規則嚮導中的建議組態在絕大多數情況下已經足夠應付）。步驟： ?通過「選項系統系統和應用程式全局規則設定」進入全局規則列表 ?通過去除「Allow Loopback」的鉤選來禁止該項規則 D4-禁止不必要的全局規則預設設定中的某些全局規則並不是很恰當，可以通過去除對其的鉤選來停用。這些規則包括： ?Allow Inbound Authentication －一個簡陋而且不可靠的檢查網路連接端的規則，很少被用到。如果需要的時候，停用該規則可能會導致登入Email伺服器的延遲。 ?Allow GRE Protocol，Allow PPTP control connection －這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的，如果沒有此需求可以停用這些規則。改動收益：防止套用這些連接阜的訊息洩漏。付出代價：禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲（此時可以重新啟動該規則，並把郵件伺服器增加為遠端位址）步驟： ?通過「選項系統系統和應用程式全局規則設定」進入全局規則列表 ?清除對相應規則的鉤選 D5－遮閉未使用和未知的傳輸協定全局規則可以對網際網路傳輸協定（IP）以及TCP和UDP傳輸協定作出限定，對IP涉及到的一系列傳輸協定建議全部加以遮閉，除了下面所述檔案類型： ?ICMP(1)－此傳輸協定通過ICMP相關規則來處理； ?IGMP(2)－多點廣播需要用到（如在線視瀕直播），如果需要套用到該項傳輸協定就不要禁用； ?ESP(50)和AH(51)－IPSec需要套用到這些傳輸協定，所以VPN（Virtual Private Network）用戶不要禁用這些設定。企業用戶要謹慎處理這些設定－其中一些選項可能是區域網路中路由通訊所必需的。可以設定一條全局規則來處理這些未知傳輸協定（包括類似IPX或者NetBEUI的傳輸協定）－建議設定該項規則來進行遮閉。改動收益：防止未來可能經由這些連接阜的訊息洩漏。付出代價：出於Outpost採用的處理規則的方式，這些改動可能會顯著增大相關處理流程的數量，尤其對於使用文件共享程序或者位於比較繁忙區域網路中的用戶來說。步驟：未使用的傳輸協定 ?進入「選項系統系統和應用程式全局規則設定」； ?點選「增加」新增新的全局規則； ?設定指定傳輸協定為IP，此時其後面所跟的「檔案類型」是「未定義」； ?點擊「未定義」進入IP檔案類型列表視窗； ?選定你想要遮閉的檔案類型然後點擊OK； ?設定回應操作為「禁止」，再自己定義恰當的規則名稱後點擊OK。未知傳輸協定 ?進入「選項系統系統和應用程式全局規則設定」； ?點選「增加」新增新的全局規則； ?設定傳輸協定為「未知」，回應操作為「禁止」，再自己定義恰當的規則名稱後點擊OK。 E －應用程式規則（位於「選項應用程式」） E1－移除位於「信任的應用程式」組中的項目即使程序需要正常的訪問網際網路，對其通訊不加過問的一律放行也不是明智的做法。某些程序可能會要求比所需更多的連接（浪費帶寬），有的程序會跟「老家」悄悄聯繫洩漏你的隱私訊息。出於這種考慮，應該把「信任的應用程式」組中的項目移入「部分允許的應用程式」組，並且設定如下所建議的合適的規則。 E2－謹慎設定「部分允許的應用程式」 Outpost的自動組態功能將會給每一個探測到要求連接網路的程序組態預設的規則，然而這些預設規則是從易於使用的角度出發的，所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆組態中最富有挑戰性的部分，由於個人的使用環境和偏好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦組態和參考組態。推薦組態用紅色表示建議組態用藍色表示可選組態用綠色表示如果使用了D1部分提及的「應用程式DNS」設定，那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則，請注意這些應用程式規則的優先等級位於全局規則之上，詳情請見Outpost Rules Processing Order一般問題貼。在規則中使用域名注意事項：當域名被用作本機或遠端位址時，Outpost會立刻搜尋相應的IP位址（需要DNS連接），如果該域名的IP發生了改變，規則不會被自動更新－域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。某些域名可能使用了多個IP位址－只有在「選項應用程式」中手動建立的規則Outpost才會自動尋找其所有IP位址，通過規則嚮導建立的規則則不行。因此，通過規則嚮導建立的規則需要重新在「選項應用程式」中手動輸入域名以確保所有IP位址能被找到。 Svchost.exe（Windows XP系統獨有） Svchost.exe是一個棘手的程序－為了完成一些基本的網路工作它需要進行網際網路連接，但是給它完全的權限又會把系統至於RPC（例如Blaster、Welchia/Nachi等蠕蟲）洩漏的危險之中。給這個程序新增合適的規則也就變得格外的重要。 Allow DNS(UDP)：傳輸協定 UDP，遠端連接阜 53，遠端位址 <你的ISP的DNS伺服器位址>，允許 Allow DNS(TCP)：傳輸協定TCP，方向出站，遠端連接阜 53，遠端位址 <你的ISP的DNS伺服器位址>，允許 Possible Trojan DNS(UDP)：傳輸協定 UDP，遠端連接阜 53，禁止並且報告 Possible Trojan DNS(TCP)：傳輸協定 TCP，方向出站，遠端連接阜 53，禁止並且報告 ?DNS規則－可在D1部分中檢視詳情，只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則，因為此時svchost.exe才會進行搜尋工作； ?因為此處只需要一條TCP規則，此規則被設定為「允許」； ?因為某些木馬程序試圖把它們的活動偽裝成DNS查詢，推薦把任何試圖與DNS伺服器以外的位址進行連接的嘗試視為可疑－Trojan DNS規則將報告類似的連接。如果連接是合法的（如果你的ISP更換了DNS伺服器位址這些「允許」規則需要及時進行更新）則對其做出報告很容易導致網路失去連接，此時應該從禁止日誌中查明原因。 Block Incoming SSDP：傳輸協定 UDP，本機連接阜 1900，禁止 Block Outgoing SSDP：傳輸協定 UDP，遠端連接阜 1900，禁止 ?這些規則遮閉了用於在區域網路中搜尋即插即用設備（UPnP）的簡單服務搜尋傳輸協定（SSDP）。由於即插即用設備會導致許多安全問題的出現，如非必要最好還是將其禁用－如果必須使用的話，則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用，即可防止SSDP起作用，所以這些規則是建議組態。 Block Incoming UPnP：傳輸協定 TCP，方向入站，本機連接阜 5000，禁止 Block Outgoing UPnP：傳輸協定TCP，方向出站，遠端連接阜 5000，禁止 ?這些規則遮閉了UPnP資料包－如同上面關於SSDP的規則，如果你非常需要UPnP則把規則改為「允許」，可是一定要把UPnP設備的IP位址設為遠端位址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用，即可防止UPnP起作用，所以這些規則是建議組態。 Block RPC（TCP）：傳輸協定 TCP，方向入站，本機連接阜 135，禁止 Block RPC（UDP）：傳輸協定 UDP，本機連接阜 135，禁止 ?這些規則實際上是預設的全局規則中關於遮閉RPC/DCOM通訊的規則拷貝－所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接，則把這些規則改為「允許」，不過僅限於信任的遠端位址。 Allow DHCP Request：傳輸協定 UDP，遠端位址 <ISP的DHCP伺服器位址>，遠端連接阜 BOOTPS，本機連接阜 BOOTPC，允許 ?DHCP規則－請至D2部分檢視詳情（如果使用的是固定IP位址則不需套用此規則－通常只有在私有區域網路內才會如此）。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的－由於套用了最後的「Block Other TCP/UDP」規則，全局DHCP規則此時並不會起作用。 Allow Help Web Access：傳輸協定TCP，方向出站，遠端連接阜 80，443，允許 ?Windows說明系統可能會通過svchost.exe發起網路連接－如果你不想使用說明系統（或者是不希望微軟知道你何時使用的）則可以略過本規則。 Allow Time Synchronisation：傳輸協定 UDP，遠端連接阜 123，遠端位址 time.windows.com，time.nist.gov，允許 ?用於時間同步－只有當你需要用到Windows XP這個特性時才需要新增該規則。 Block Other TCP Traffic：傳輸協定TCP，方向出站，禁止 Block Other TCP Traffic：傳輸協定 TCP，方向入站，禁止 Block Other UDP Traffic：傳輸協定 UDP，禁止 ?把這些規則設定在規則列表的最下面－它們會阻止未設定規則的服務的規則向導彈出視窗。未來所增加的任何規則都應該置於這些規則之上。商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。 Services.exe（Windows 2000系統獨有） Allow DNS（UDP）：傳輸協定UDP，遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>，允許 Allow DNS（TCP）：傳輸協定 TCP，方向出站，遠端連接阜 53, 遠端位址 <你的ISP的DNS伺服器位址>，允許 Possible Trojan DNS（UDP）：傳輸協定 UDP，遠端連接阜 53,禁止並且報告 Possible Trojan DNS（TCP）：傳輸協定 TCP，方向出站，遠端連接阜 53,禁止並且報告 ?DNS規則－請至D1部分檢視詳情。只有當「DNS客戶端服務」沒有被停用時才需要上述規則，因為此時services.exe將會接手搜尋工作； ?因為這裡只需要TCP規則，所以操作設定為「允許」； ?與svchost規則一樣，「Possible Trojan」規則在攔截到連接其它位址的企圖時會作出報告。 Allow DHCP Request：傳輸協定 UDP，遠端位址 <ISP的DHCP伺服器位址>，遠端連接阜 BOOTPS，本機連接阜 BOOTPC，允許 ?DHCP規則－請至D2部分檢視詳情（注意如果使用的是靜態IP則不需設定－通常只有私有區域網路中才會如此）。需要設定的原因同上述svchost.exe。 Block Other TCP Traffic：傳輸協定 TCP，方向出站，禁止 Block Other TCP Traffic：傳輸協定 TCP，方向入站，禁止 Block Other UDP Traffic：傳輸協定 UDP，禁止 ?把這些規則列到最下面－它們會阻止未設定的程序的規則嚮導視窗彈出，任何後續增加的規則均需列到這些規則上方。與上面的svchost.exe一樣，商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。 Outpost 昇級服務除了DNS規則外，Outpost 2.0不再需要額外的網路連接，Outpost 2.1及後續版本可以從Agnitum下載新聞和插件訊息。套用此功能需要作出如下設定： Allow Outpost News and Plugin Info：傳輸協定 TCP，方向出站，遠端連接阜 80，遠端位址 http://www.agnitum.com/，允許還可以使用一條類似的規則用於程序的昇級： Allow Agnitum Update：傳輸協定 TCP，方向出站，遠端連接阜 80，遠端位址 http://www.agnitum.com/，允許網路瀏覽器（Internet explorer，NetscapeMozilla，Opera，等） Outpost的自動組態功能以及預設規則為瀏覽器提供了比較寬鬆的設定－對於大多數用戶來說可以將其進一步強化如下： Allow Web Access：傳輸協定 TCP，方向出站，遠端連接阜80,允許 Allow Secure Web Access：傳輸協定 TCP，方向出站，遠端連接阜 443,允許 ?上述規則允許了建立標準（HTTP）和加密（HTTPS）網路連接。如果你使用了代理並且想使所有訊息都流經代理，則可考慮將上述規則設為「禁止」，注意此類代理將需要單獨為其設立一條規則（具體設定取決於代理所以此處不再作詳細說明）。 Allow Alternate Web Access：傳輸協定 TCP，方向出站，遠端連接阜 8000,8010,8080,允許 ?某些網站可能會把連接轉到其它遠端連接阜（比如8080－在URL中以http://domain.comort-number 的形式出現）－建議此規則在網站沒有此類連接無法工作時才加入。 Allow File Transfers：傳輸協定 TCP，方向出站，遠端連接阜21,允許 ?此規則是為了文件傳輸而設。與「Web Access」的規則一樣，如果你想所有的傳輸都通過代理進行則將此規則設為「禁止」，文件傳輸通常還需要建立進一步的連接－Outpost會自動放行這類連接（詳情可查閱Stateful Inspection FAQ）。如果瀏覽器還帶有email，新聞組，以及即時通信功能，則還應增加下文中指出的相應規則。郵件客戶端（Outlook，Eudora，Thunderbird，等）兩種傳輸協定（相應的也就是兩組規則）可以用於取信和發信。如果你套用代理來讀取及掃瞄郵件的防病毒軟體的話，那麼下面這些規則可能是你需要的－在此情形下客戶端應該只需要一條規則（Email Antivirus Access：傳輸協定 TCP，方向出站，遠端連接阜 127.0.0.1，允許）來連接防病毒軟體。此種情形下想建立一套合理的規則有一種簡單方法：讓Outpost在「規則嚮導模式」下執行，使用客戶端收發郵件，在彈出對話視窗中選項「使用預設規則：設定」來為客戶端和防毒軟體的代理建立規則。這樣設定完以後，從「選項應用程式」開啟這條規則手動增加其它郵件伺服器名－這樣可以獲得具有多IP位址的伺服器的所有位址（規則嚮導對話視窗只包括一個IP位址）。 Read Email via POP3:傳輸協定 TCP，方向出站，遠端連接阜 110,995,遠端位址 <你的POP3伺服器位址>，允許 ?本規則是為了通過被廣泛採用的POP3傳輸協定讀取郵件而設，顧及到了開放型（110連接阜）和加密型（995連接阜）連接。郵件伺服器的位址可以在客戶端的設定裡面找到，ISP可能會使用同一台伺服器來處理接收和傳送請求，也可能會為兩種傳輸協定分開設立伺服器。 Read Email via IMAP：傳輸協定 TCP，方向出站，遠端連接阜 143,993,遠端位址 <你的IMAP伺服器位址>，允許 ?此規則是為使用IMAP傳輸協定讀取郵件而設，可以取代也可以與上面的POP3規則並存。是否使用取決於你的郵件程式的設定，規則顧及了開放型（143連接阜）和加密型（993連接阜）連接。 Send Email via SMTP：傳輸協定 TCP，方向出站，遠端連接阜25,465,遠端位址 <你的SMTP伺服器位址>，允許 ?此規則是為通過SMTP傳輸協定傳送郵件而設，顧及了開放型（25連接阜）和加密型（465連接阜）連接。由於許多病毒都是通過郵件傳播，垃圾郵件傳送者也往往試圖通過劫持疏於防範的微機來傳送垃圾郵件，所以強烈建議此處只加入你的ISP的SMTP伺服器位址。不管你上面設定的是POP3規則還是IMAP規則這條規則都是必需的。 Block Web Links：傳輸協定 TCP，方向出站，遠端連接阜 80,禁止 ?此規則會防止客戶端下載HTML格式郵件中包含的任何連接。許多垃圾郵件用這種方法判斷是否郵件已經被閱讀（從而確定你的郵件位址是否「有效」）。合法的郵件也會受到此規則的影響，但是通常只有圖片無法顯示，文本（和作為附件的圖片）不受影響。 ?如果你需要察看某封郵件中的圖片，可在本規則之前加入一條規則允許與其域名的連接。 ?如果你使用瀏覽器來讀取郵件則不要使用本規則，否則正常的網路連接會被遮閉掉。下載工具（GetRight，NetAnts，GoZilla，Download Accelerator，等）特別提示：許多下載工具或加速器帶有可能會追蹤你的使用情況的廣告，碰到這種程序，要麼換一種不帶廣告的-如GetRight－要麼設定一條規則來遮閉其與自身廣告站點的連接並把這條規則置於最前，可以通過Outpost的「網路活動」視窗來查知廣告所連接的位址。 Allow File Transfer：傳輸協定 TCP，方向出站，遠端連接阜21,允許 ?本規則允許了標準的文件傳輸。與瀏覽器規則一樣，如果你只想通過代理傳輸資料可以考慮設定為「禁止」。 Allow Web Access：傳輸協定 TCP，方向出站，遠端連接阜 80,允許 ?許多下載是通過HTTP傳輸協定進行的。新聞組程序（Forte Agent，Gravity，等）此類程序使用NNTP傳輸協定，詳情請查閱RFC 997 - Network News Transfer Protocol。 Allow Usenet Access：傳輸協定 TCP，方向出站，遠端連接阜 119,允許 ?正常的新聞組連接所必需。傳輸協定 TCP，方向出站，遠端連接阜 563，允許 ?加密型新聞組連接必需。英特網中繼聊天系統（mIRC，ViRC，等）英特網中繼聊天系統可以用於在線交談以及通過DCC（Direct Client-to-Client）傳輸協定交流文件，詳情請查閱RFC 1459 - Internet Relay Chat Protocol。特別提示：對於通過IRC接收到的文件要格外小心，因為惡意用戶可以很容易的利用其散佈病毒或者木馬，如有興趣可參閱IRC Security這篇文章。如果你經常需要傳送或接收文件，可以考慮安裝專用反木馬軟體（如TDS-3或TrojanHunter）與防病毒軟體配合使用，及時掃瞄流進流出系統的文件。 Allow IRC Chat：傳輸協定 TCP，方向出站，遠端連接阜 6667,允許 ?在線聊天必需 Allow IRC Ident：傳輸協定 TCP，方向入站，本機連接阜 113,允許 ?本規則是連接某些使用Ident/Auth傳輸協定的伺服器必需的，用於驗證你的連接－視情況增加。 Receive Files with IRC DCC：傳輸協定 TCP，方向出站，遠端連接阜 1024-65535,允許 Send Files with IRC DCC：傳輸協定 TCP，方向入站，本機連接阜 1024-65535,允許 ?如果你組態了這些DCC規則，建議你平時關閉，需要時再啟用。當你想傳送或接收文件時，啟用相應的規則，傳送一旦完成即可關閉之。 ?使用DCC，接收者必須啟始化連接－因此為了傳送文件，你的系統必須接收一個請求，如果你在使用NAT路由器，則需對其作出調整使此類請求得以通行，請查閱路由器的我的文件獲知詳情。 ?因為DCC是隨機選項連接阜（某些客戶端使用的連接阜範圍會小一些），所以這個範圍不可能設的很小。換個思法，可以試著找出對方的IP位址（可以通過IRC中查得或查閱Outpost的日誌中失敗的連接企圖）並作為遠端位址加入到規則中。 ?DCC傳輸是在你和另一方的系統之間建立起的連接，IRC伺服器被跳過了－因此Outpost的Stateful Packet Inspection選項無法起作用。 E3－元件控制建議本項設定為MAXIMUM－會導致時常出現彈出視窗。如果覺得彈出視窗過於頻繁，可以從Outpost資料夾中移除modules.ini和modules.0文件以強制Outpost重新掃瞄元件。設定改為NORMAL可以減少彈出的次數，但是會導致某些洩漏測試的失敗。 F－Outpost模式設定（位於「選項模式」）只有「規則嚮導模式」和「禁止大部分通訊模式」應該酌情選用。大多數情況下，應該選用「規則嚮導模式」因為其會對任何未經設定的通訊作出提示，可以立刻設定新的相應規則。不過如果已經進行了完善的設定工作並且確定近期不會再作出變更，可以選用「禁止大部分通訊模式」，當進行在線安全檢測時為了防止頻繁彈出提示視窗也可選用此模式。 G－Outpost插件設定（位於「選項插件」） G1-活動內容過濾推薦把其中的所有選項設為「禁止」，只允許特定的網站通行，除非你採用了別的軟體來把關。其中的例外情況就是Referers（連接某些網站時會出現「hard-to-track」問題）以及，對Outpost 2.1來說，動畫GIF圖片（從安全性角度來說並不重要）。照此設定即可防止惡意網站隨意修改瀏覽器的設定（如修改主頁或者增加書籤）或者是在用戶不知情的情況下安裝不必要（甚至是有害）的軟體。此類手段通常被黃色或者賭博或者破解站點採用，但也不排除某些不道德的公司會套用。請查閱Adware and Under-Wear - The Definitive Guide 獲知更詳盡的訊息。如此嚴格的設定不會適用於所有站點，如果碰到問題請放寬此設定。此時最好是把該站點增加到「排除」項目中並為其設定自用的選項－在全局中設定「允許」會導致第三方站點、廣告站點等執行其內容。根據日誌中的記錄的症狀和細節來「允許」下列選項並且重載網頁（注意重載網頁前需要清除瀏覽器的快取－不過許多瀏覽器允許你在點擊「重載」健的同時按住「Shift」健來「強制重載網頁」）。改動收益：通過阻止網站任意安裝軟體以及更改瀏覽器設定來增強系統安全性，阻止通過cookie來追蹤用戶以保護用戶隱私。付出代價：許多網站會無法完全正常的工作，甚至完全無法工作。雖然大多數情況下活動內容都是非必要的，一些站點仍然需要為其單獨進行設定。找出具體設定值將會消耗大量時間。 Cookies 如果網站無法「記住」你提供的訊息－如用戶名、登入訊息或者購物籃訊息（購物網站的）在你選定商品後仍然留空。 Java指令碼如果網頁中的按鈕在被點擊後沒有反應，或者是點擊後重載本網頁而不是進入相應位址。彈出視窗（Outpost 2.0特有） VB指令碼彈出視窗（Outpost 2.1及後續版本）在Java指令碼已被啟用並且日誌中仍然出現相應被遮閉記錄的情況下，按鈕被點擊後仍然沒有反應。第三方活動內容（Outpost 2.1及後續版本）如果必需的網頁元素被[EXT]替代。 G2-廣告過濾強烈建議把Eric Howes的AGNIS名單加入廣告過濾名單中，該名單包括了已知的間諜軟體和有害軟體站點以及發佈廣告的第三方站點並且，即使在「活動內容過濾」未啟用的情況下，提供妥善的防護。拜該名單的綜合性所賜，頁面中一些需要的內容可能也會被過濾掉。此時應查詢「廣告過濾」日誌獲知其關鍵字（或者大小），然後從過濾名單中去除該列項或者（Outpost 2.1版中）把站點加入到「信任站點」中－會停止過濾此站點所有廣告。套用名單後經常遇到問題的用戶可以考慮採用AGNIS名單精簡版。改動收益：移除廣告會加速頁面載入速度以及使網頁更加清爽。已知的有害軟體安裝站點會得以遮閉。付出代價：需要的網頁元素可能也會遭到過濾。如果所有人都遮閉廣告一些依靠廣告點擊生存的站點將無以為繼。步驟： ?從上述指出的位址下載AGNIS名單－如果下載了.zip版請用相應程序（如Winzip）解壓； ?如果你想手動增加列項，使用記事本程序開啟ag-ads.ctl文件（如果你使用的是精簡版則是ag-lite.ctl文件）將其增加到最後。建議將自訂規則另存為一個文件以便於AGNIS的昇級； ?在Outpost主視窗左側的「廣告過濾」項點擊右鍵並且選項「內容」； ?鉤選「在桌面上顯示廣告資源回收箱」－會彈出一個「開啟」對話視窗； ?選定ag-ads.ctl或ag-lite.ctl文件開啟。 G3-附件過濾除了啟用本插件（以防止任意郵件附件的自動執行）沒有別的推薦設定，當然開啟附件前還要使用防病毒軟體事先掃瞄之。 G4-入侵檢測此處的推薦設定取決於用戶是否採用了額外的防火牆（比如外置路由器）。如果採用了，很多掃瞄或者自動攻擊之類的「地面噪音」就已經被其過濾掉了－而能到達Outpost的就應該予以重視了。警告等級： ?最高報告檢測到的攻擊（Outpost 2.1及後續版本）： ?如果還採用了其它防火牆則鉤選此選項。 ?如果沒有採用則留空以避免過多的彈出視窗。遮閉入侵者： ?如果頻繁受到攻擊則啟用此功能。啟用此功能需要謹慎考慮因為合法的通訊可能也會被遮閉。拒絕服務（DoS）攻擊： ?只有處於區域網路中時才需啟用。忽略來自信任站點的攻擊入侵檢測插件可能會把連續的連接請求誤認為攻擊，在Windows網路中的Browse Master和Domain Controller主機會定期對所有微機進行連接，這就導致了誤會的產生。可以通過停用「入侵檢測」插件或者是中斷連線網路並關閉Outpost後編輯protect.lst文件的方法來防止此類情況的發生。改動收益：防止例行的網路連接被誤判為攻擊行為並遭到遮閉。付出代價：從這些主機發動的攻擊將再也無法被探測到及作出報告，此時應格外注意對這些主機的防護。步驟：在protect.lst文件的末尾應該是<IgnoreHosts>部分－把信任主機的位址按如下格式增加進去（本例採用的是192.168.0.3和192.168.0.10）。把修改後的文件制作備份到另一資料夾中以便於Outpost的昇級（建議取消「工具自動檢查昇級」，自己手動進行昇級）。 # <IgnoreHosts> # # 192.168.3.0/255.255.255.0 #Local Network # # </IgnoreHosts> <IgnoreHosts> # 192.168.0.3/255.255.255.255 192.168.0.10/255.255.255.255 </IgnoreHosts> G5-內容過濾無推薦組態。 G6-DNS快取無推薦組態 G7-Blockpost Blockpost是可在Outpost防火牆論壇中找到的一個第三方插件（Dmut's Blockpost Plug-In子論壇），它可以漠視任何Outpost防火牆的設定而遮閉與特定IP位址的任何通訊。可以用於兩種情況： ?通過名單遮閉與已知間諜軟體廣告軟體站點的連接。 ?防止與已知的有害位址的連接（對使用P2P軟體如KaZaA，eMule，Gnutella等的用戶尤為重要），使用此類軟體的用戶可訪問Bluetack論壇獲得清單和相關程序。注意由於Blockpost只對IP位址有效，所以需要定期更新其清單以令其更好的發揮作用。它不會提供完全的防護或者是隱匿性，因為攻擊者可以獲得新的（未列於名單中的）IP位址，當然它會用其它方式遮閉任何TCP、UDP或者是ICMP形式的掃瞄。注意如果你使用代理來訪問網際網路，Blockpost不會過濾經由那個代理的訊息（因為這些訊息帶有的是代理的IP位址而非目標站點的IP）－如果你希望遮閉與可疑站點的連接，可以對你的瀏覽器進行設定（如果可能）使其不使用代理訪問那些站點，如此從可疑站點的IP位址發起的連接企圖即可被Blockpost遮閉。 G8-HTTPLog HTTPLog是又一個可從Outpost防火牆論壇獲得的第三方插件（Muchod's HTTPLog Plug-In子論壇）。它記錄了所有到過的網頁的詳細資料，因此對於檢查過濾規則的有效性和監控任意程序通過HTTP進行的活動都是十分有用的。 G9-SuperStelth SuperStelth是另一個可從Outpost防火牆論壇獲得的第三方插件（Dmut's Super Stealth Plug-In子論壇）。它過濾了ARP（Address Resolution Protocol）通訊，只允許與特定位址的往來通訊通行。 SuperStealth對於網際網路的安全性沒有實際意義，它提供了對於位於區域網路中的乙太網通訊的控制。這是一個特別設計的工具，只適用於對ARP和乙太網比較熟悉的用戶。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次