[psac]

outpost設置完全攻略！（徹底打造你的完美OP）
Outpost防火牆（以下簡稱OP）一直是我認為最好用的網路防火牆，他的功能非常強大，而且設置很靈活，關於網路狀況的檢視也很方便，附帶的插件甚至可以屏蔽廣告。和ZA不同的是，OP是基於入侵檢測的防火牆，所以占資源方面比ZA要少一些^_^。不過，他的設置還是挺複雜的，所以我就搭配抓圖寫一個簡單的設置指南，希望看了之後你能喜歡上這個防火牆~~~
1.界面篇
安裝好以後的界面是這樣的

應該算是很友好的界面吧，這裡我們可以看到許多有用的訊息

這裡是目前的網路活動，所有正在訪問網路的工作行程以及他們連接的IP地址，如果這裡有木馬的話也可以很方便的看到。紅色的是你禁止的網路活動，我這裡就禁止局域網的NETBIOS，所以用紅色顯示，如果對方是有惡意的話，嘿嘿

這個是已打開的連接阜，稍微有些經驗的話，可以從這裡輕易的判斷是是否有黑客在連接你，注意一下常見的木馬連接阜或者高危連接阜，如果出現在這裡就比較可疑了。

其實也有很多種分類方法的，所以才說他的檢視網路狀態很方便而且很靈活^_^
是該提到他的插件了，有了插件的擴展，OP會變得更加強大，嘿嘿

廣告過濾，除了一般的按關鍵字過濾以外，也可以按照圖片大小過濾^_^，雜項中選擇用透明圖像替換廣告圖像，即可實現無聲過濾。
其他的插件就暫時先不說了，現在進入正題，開始設置了。
2.設置篇
現在正式進入OP的設置，首先打開OP的選項：

這是一般選項，沒什麼可說的了，一般預定就好

這是應用程式設置，關於應用程式設置，在OP中的彈性非常大，可以使用他預制的模板（有很多的），比如預定的規則中，你可以讓瀏覽器只訪問http連接阜，這樣即使這是黑客送出來的小甜點也不會對你構成威脅^_^

如果你需要他訪問ftp的話，那麼可以在這裡右擊這個瀏覽器的名字，選擇修改規則，然後如下設置即可，是不是很容易啊～


關於這個隱藏的工作行程其實就是當一個程式執行的時候，呼叫了另外一個工作行程，那麼這另外的工作行程就是隱藏工作行程了，如下圖的提示

這種隱藏的工作行程是插入式木馬常用的手段，如果你覺得有點煩人也可以關閉，嘿嘿，當然還是你自己選擇了^_^

元件控制，這個我就不用多解釋了，看提示就知道。打開以後會出現如下提示，個人感覺他非常煩人，還是建議關閉

最下面的工作行程控制，是否有些看不明白呢，比如說你用修改其改了一個，那麼這個遊戲就無法訪問網路了。還不明白？舉個更常見的例子，如果你用金山詞霸一類的詞典軟件在瀏覽器中取詞，那麼瀏覽器馬上就不能上網了。這樣明白了吧，還是關閉好了。

系統設置，這裡比較麻煩一些，如果沒有經驗的話建議預定。主要來看看下面的設置。

嗯，這裡就是新增專家規則的地方，和上面的新增應用程式規則有些類似。比如我要在本機開放FTP服務，那麼就做如下設置

是不是覺得越來越簡單了啊，嘿嘿，其實本來也就不難的嘛。
底層通訊連接阜，就是那些不太常用的連接阜拉，如果有可疑的程式訪問他會提示的，比如你用黑軟的時候拉……

這就是應用程式控制拉，預定的規則嚮導其實就是當一個新應用程式訪問網路時，會詢問你是否允許，這樣可以在木馬之前攔截住他，如果沒什麼問題的話建議使用這個。


插件中的入侵檢測，這個才是OP的主力拉，其實這個的設置也不難的，如果沒有特別要求的話，全部都預定好了^_^，當然那個安全級別的設置還是看你個人的感覺，嘿嘿～
3.總結篇
雖然說總結，不過真的要寫總結了反而不知道該寫什麼。洋洋灑灑的說了這麼多，看起來似乎是很麻煩吧，其實只要用預定設置就好了。其實OP真的是一款非常棒的防火牆，再次強力推薦。
編者按：Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆，佔用資源相對較小，設置靈活方便，穩定強悍，可以算得上個人防火牆中的佼佼者了。東西雖好，可是很多人在使用中只是讓軟件的預定設置在發揮作用，而防火牆的預定設定往往更側重於相容性方面的考慮，想讓防火牆更好的發揮作用，就需要你根據自己的網路情況作出調整和配置。正好官方論壇中有一篇相關文章，編譯出來和大家一起學習交流。特此感謝原作者和 Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。
原文作者：Paranoid2000 （OP官方論壇）
導論：
本文是為了幫助Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟件喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊，對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。
因為本文涉及到了對預定規則的調整，用戶最好事先對Outpost防火牆已經有一定熟悉度（按：並且最好對一些基本的網路知識和術語也有所瞭解）。
安全性和方便性永遠無法兩全，這就需要你根據自己的實際情況做出取捨－下文中一些改動可能需要你完成大量的調整工作，也會讓你的某些行為（如更換ISP）變得困難的多。某些（尤其是商業／企業的）網路環境可能會導致文中某些部分出現問題，請在實施改動前詳細閱讀各個專案的優點和缺點－如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試，分析Outpost的相關日誌（尤其是被禁止連接的日誌），以便做出進一步的決策。本文中的推薦更多是基於安全性而不是方便性的考慮。
最後，請注意本文檔並不是出自Agnitum公司，Agnitum公司也不對本文進行技術支持，相關問題和討論請在Outpost防火牆論壇提出，而不要與Agnitum公司直接聯繫。
致謝：
本文原作者為Paranoid2000,成文過程中根據Outpost論壇一些管理員和Agnitum公司的反饋做了擴展，對以上相關人員致以謝意，尤其對 David在E2部分對於svchost.exe（其為Windows XP用戶面臨的一個嚴重的安全隱患）規則的發展和測試工作表示鄭重感謝。
Outpost免費版用戶注意：
文中涉及的設置沒有在免費版中進行測試，某些部分（如關於全局規則設置的D小節）也無法部署（由於免費版中全局規則只能被禁用而無法修改），而某些特性（如元件控制）也是在Outpost Pro v2以後才出現的，然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。
A － 局域網設置（位於「選項／系統／局域網設置／設置」）
改動收益：通過限制特權用戶的連接來提高安全性。
付出代價：需要進行更多的設置和維護工作，尤其是對大型局域網來說。
本設置指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說，這裡列出的IP段越少越好，因為對這些地址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。（請查閱Outpost Rules Processing Order獲知詳情）
對非局域網用戶來說，本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設置」的鉤選以防止Outpost自動新增預定設置。
本部分設置只須處於如下環境的微機加以考慮：
? 位於局域網（LAN）中，並且帶有需要共享的文件或者印表機的微機；
? 位於局域網中並且需要通過網路應用程式進行連接，但是無法通過應用程式規則設定完成工作的微機；
? 位於互連網連接共享網關上的微機，其應將每一個共享客戶端的IP地址列為可信任地址。請查閱LAN and DNS settings for V2獲知詳情。
上述任一種情況下由Outpost提供的預定網路設置都是過於寬鬆的，因為它總是假設同一網路中的任何微機都應該被包括在內。
步驟：
? 取消鉤選「自動檢測新的網路設置」以防止Outpost自動新增新的設置。注意如果日後安裝了新的網卡，在此項禁止的情況下新的地址需要手動新增進去。
? 逐個新增每個PC的地址（所新增項隨後會以帶網路掩碼255.255.255.255的形式出現）。互連網地址絕不應該出現在該位置。
? 鉤選涉及到文件／印表機共享的微機後面的「NetBIOS」選項。
? 鉤選涉及到網路應用程式的微機後面的「信任」選項。
如果你位於一個大型局域網內，逐個列出每個微機就是不太現實的了，此時一個可用的方案就是用Blockpost插件列出IP段然後屏蔽該IP段中不需要的地址（Blockpost插件允許用戶定義任意IP段，這是Outpost現階段還做不到的）。
請注意局域網內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題（尤其是Windows網路中存在Browse Master和Domain Controller的情況下），請在本文F4部分查找通過插件設置避免問題的詳細內容。
B – ICMP設置（位於「選項／系統／ICMP／設置」）
ICMP（Internet Control Message Protocol）是用於傳送診斷訊息與出錯訊息的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。
該部分預定設置允許如下活動：
? 通過Ping命令進行的基本網路連接測試（由Echo Request Out和Echo Reply In實現） － 對本機進行的Ping將被攔截以掩藏本機的線上狀態。
? 對探測者顯示本機網路地址不可用（由Destination Unreachable In and Out 實現）。
? 對探測者顯示本機地址無法連接（由流入資料超時而引起），該類連接由Tracert命令發起－進入類跟蹤路由企圖將被攔截以掩藏本機線上狀態。
本項的預定設置對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定類型的掃瞄中會暴露你微機的存在（絕大部分已被Outpost攔截），所以對該項的改動可以讓你的微機的隱匿性更強。
改動收益：使你的微機逃過某些可以避開Outpost檢測的掃瞄。
付出代價：在某些情況下（如緩慢的DNS回應）Destination Unreachables訊息的傳送是合法的，此時就會顯示為被屏蔽，結果就是可能導致一些網路應用程式的延遲和超時（如P2P軟件）。
步驟：
? 取消對「Destination Unreachable 」Out的鉤選。
如果你在執行Server程式，那麼對Ping和Tracert命令的響應可能就是需要的。一些互連網服務提供商（ISP）可能也會要求你對它們的Ping做出回應以保持線上連接。這些情況下可以參考如下步驟。
改動收益：允許用戶檢查與Server之間的連接和網路性能，這些可能是某些ISP要求實現的。
付出代價：讓你的系統處於被Denial-of-Service（DoS）攻擊的危險之中。
步驟：
?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的響應。
?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的響應。
可選步驟：上述做法會使本機對任意地址的Ping和Tracert命令做出響應，還有一個可選擇的方案是用一個全局規則來實現只允許來自可信任地址的ICMP 訊息－但是這樣會導致其漠視Outpost的ICMP設置而允許所有的ICMP訊息流通。然而當特定 地址已知時，這樣做也未嘗不可。通過如下步驟實現：
?創建一個如下設置的全局規則：
Allow Trusted ICMP：指定的協議IP 類型ICMP，指定的遠端主機 ，允許
注意該規則不要定義方向（流入和流出的資料都需要獲得權限）。
C － 防火牆模式（位於「選項／系統／防火牆模式」）
保持預定設定「增強」，不建議作改動。
D－系統和應用程式全局規則（位於「選項／系統／系統和應用程式全局規則」）
D1－指定DNS服務器地址
DNS （Domain Name System）是通過域名來確定IP地址的一種方法（如 otupostfirewall.com的IP地址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities）。因為連接網站時DNS訊息必須通過防火牆以實現IP地址查詢，一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊地址限定為你的ISP所提供的DNS服務器，這種偽DNS請求就可以被有效的攔截。有兩 種方法可以完成這項任務：
(a). 「全局DNS」設置－把你的ISP的DNS服務器地址加入到全局規則中
改動收益：通過少量工作即可完成上述任務。
付出代價：如果你通過多家ISP上網，那麼所有的服務器地址都需要被新增進去－如果你更換了ISP或者ISP更改了它們的服務器地址，那麼你就需要把新的地址更新進規則中去。如果你有程式或者網路環境需要應用反覆式DNS查詢（Windows環境下通常使用遞歸式查詢，反覆式通常是應用於DNS服務器之間），那麼配置這條規則就可能會出現問題。
步驟：
?找到你的ISP使用的DNS服務器地址。最簡單的方法就是在命令行視窗中使用「ipconfig –all」來查詢，Windows 9x/Me/Xp的用戶也可以在開始表菜單的「執行」交談視窗中使用winipcfg得到相關訊息。
?把這些地址作為遠端主機地址加入到「Allow DNS Resolving」全局規則中。
Windows 2000/XP用戶還應該把這些地址加到應用程式規則中services.exe/svchost.exe的相關專案中（詳情參見E2部分）。
(b). 「應用程式DNS」設置－移除全局規則，逐個給每個程式新增DNS規則
改動收益：如此一來新新增的程式通常需要兩項規則（DNS規則和程式自身需要的規則）來減少可疑程式在意外情況下的通行。試圖與「老家」通訊的惡意程式現在就面臨著尋找必要IP地址的額外手續，這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到。只通過DNS連接阜通訊的這類木馬程式現在就必須通過額外規則才可以通行，這也是現在唯一可以屏蔽DNShell以及類似洩漏測試的方法。
付出代價：需要完成繁瑣的多的工作－每一個程式都需要新增一條額外的規則。更換ISP後需要把所有規則更新為新的DNS地址。
步驟：
?在Windows 2000和XP環境下，關掉「DNS客戶服務」（通過 開始/控制台/管理選項/服務）。這會強迫每個程式發出自己的DNS請求，而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。
?停用或者刪除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。
?對每一個程式新增一個新規則，使用下列關鍵字：
DNS Resolution：指定協議UDP，遠端連接阜53，遠端主機，允許
可以通過設定本規則為預設規則來簡化工作。步驟如下：離線網路，退出Outpost，打開preset.lst文件（位於Outpost程式資料夾中）並在文件末尾新增下列規則：
; Application DNS Resolution
[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: 加入你的ISP的DNS服務器地址，如有多個用逗號分隔
AllowIt
新增該預設規則後，日後碰到新增規則嚮導提示的時候只要選定該預設規則匯入即可（如果你想允許該程式通行的話）。這種情況下，IP地址在「選項/程式」中將以附帶(255.255.255.255)子網掩碼的形式出現，此即指明了一個條目的IP地址範圍，其與單獨一個IP地址所起作用相同。注意此時「工具/ 自動檢查升級」選項應該被禁用，因為對preset.lst的改動可能被自動更新的文件覆蓋掉（雖然「自動更新」在覆蓋文件以前會提示），一個比較好的辦法是手動備份該文件，然後再進行更新，更新完畢後如有必要再把備份文件覆蓋回去。
注意－兩種DNS設置都需要的規則
不管選擇上述兩種設置中的哪一種，都需要考慮到一種情況－DNS查詢使用更多的是UDP(User Datagram Protocol)協議而不是TCP(Transport Control Protocol)協議。查詢使用到TCP協議的情況很少見而且通常是複雜查詢－實際使用中通常它們可以被屏蔽，因為該查詢會用UDP協議再次發送，因此在全局規則中可以新增一條規則如下：
Block DNS(TCP)：協議 TCP，方向 出站，遠端連接阜 53,禁止
如果你想允許此類通訊，那麼或者是修改規則為「允許」（指全局DNS規則）或者是為每一個程式創建第二條DNS規則用TCP取代UDP（應用程式DNS規則）。
報告疑為木馬程式偽裝的DNS活動
任何對已設定DNS服務器以外地址的查詢都應該被視為可疑活動而在預定情況下被禁止，此時可以在DOS視窗中用ipconfig /all命令來查詢是否ISP的DNS服務器已改變而需要更新DNS規則設置。
此時可以通過在全局規則中其它DNS規則下方新增如下規則來解決－第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要：
Possible Trojan DNS(UDP): 協議 UDP，遠端連接阜 53,禁止 並且報告
Possible Trojan DNS(TCP): 協議 TCP，方向 出站，遠端連接阜53,禁止 並且報告
該規則會禁止任何可疑的DNS嘗試並且做出報告。注意該規則不推薦採用應用程式DNS設置的用戶使用，因為合法DNS服務器地址需要從規則中排除以防止誤報（例如當一個沒有設置規則的程式發起請求的時候）－指定IP地址範圍可以解決該問題，但是Outpo st現有對IP段的處理能力並不是很完善。
D2-指定DHCP服務器地址
DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP地址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊，這也就成為了木馬程式為了在不被探測到的情況下向外發送訊息所可能採用的一種手段。除此之外，向特定地址用大量的DHCP訊息 進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。
如果你的系統使用固定IP地址（不管是因為位於內網還是因為使用獲得動態地址的路由器）那麼此部分設置可以略過。想檢查DHCP是否被應用，可以在命令行視窗使用ipconfig /all來查詢－在視窗底部可以得到相關訊息。
限制DHCP通訊到某個特定服務器比對DNS做出限制要稍微複雜一些，因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向（部分是由於DHCP協議使用UDP協議，部分是由於它能包括的IP地址的變化），因此本規則推薦對本機和遠端連接阜而不是對方向進行限制。另外，第一次DHCP請求是對255.255.255.255地址發出的廣播形式（該通訊應該送達局域網中所有的主機），因為機器啟動時無從得知DHCP服務器的地址，後續的DHCP請求（為了更新IP地址分配）才會被發送到 DHCP服務器。
Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則（Windows 2000是services.exe，Windows XP是svchost.exe）來進一步限制DHCP通訊，請參考E2部分獲得更詳盡的訊息。
改動收益：防止對DHCP權限的濫用。
付出代價：如果使用多家ISP，每一家都需要單獨設定其服務器地址。如果更換ISP，相關規則也需要做出更新。某些ISP可能會需要通過多項條目進行設定－尤其是在其擁有具有多個連接點的大型網路時。
步驟：
?通過ipconfig /all或者winipcfg查找得到DHCP服務器地址。注意DHCP服務器與DNS服務器地址通常是不同的。
?Windows 9x/ME用戶創建全局規則：
Allow DHCP Request: 協議 UDP，遠端地址 ，255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
?Windows 2000/XP用戶創建全局規則：
Allow DHCP Broadcast：協議 UDP，遠端地址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
因為DHCP服務器地址可能會發生改變，建議在IP地址分配碰到問題時禁止上述規則中對「遠端地址」的設定－如果一切正常就保留該設定，在重新允許該規則以前驗證並且更新（如有必要）DHCP服務器地址。DHCP服務器通常不會作出大範圍的網路轉移，所以在其地址中使用通配符（例如192.168.2.*）可以有效減少該類問題的發生。
D3-禁止「Allow Loopback」規則
預定規則中的「Allow Loopback」全局規則給使用代理服務器的用戶（例如AnalogX Proxy，Proxomitron，WebWasher以及某些反垃圾/反病毒軟件）帶來了一個極大的安全隱患，因為其允許任何未經指明屏蔽的程式使用為代理設置的規則進行互連網通訊，禁止或者刪除該全局規則即可消除隱患。
改動收益：防止未經授權的程式利用代理服務器規則進行通訊。
付出代價：任何使用代理服務器的程式（例如和Proxomitron配合使用的瀏覽器，等等）都需要設定一條額外的規則（其時彈出的規則嚮導中的建議配置在絕大多數情況下已經足夠應付）。
步驟：
?通過「選項／系統／系統和應用程式全局規則／設置」進入全局規則列表
?通過去除「Allow Loopback」的鉤選來禁止該項規則
D4-禁止不必要的全局規則
預定設置中的某些全局規則並不是很恰當，可以通過去除對其的鉤選來停用。這些規則包括：
?Allow Inbound Authentication － 一個簡陋而且不可靠的檢查網路連接端的規則，很少被用到。如果需要的時候，停用該規則可能會導致登入Email服務器的延遲。
?Allow GRE Protocol，Allow PPTP control connection － 這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的，如果沒有此需求可以停用這些規則。
改動收益：防止應用這些連接阜的訊息洩漏。
付出代價：禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲（此時可以重新啟動該規則，並把郵件服務器新增為遠端地址）
步驟：
?通過「選項／系統／系統和應用程式全局規則／設置」進入全局規則列表
?清除對相應規則的鉤選
D5－屏蔽未使用和未知的協議
全局規則可以對互連網協議（IP）以及TCP和UDP協議作出限定，對IP涉及到的一系列協議建議全部加以屏蔽，除了下面所述類型：
?ICMP(1)－此協議通過ICMP相關規則來處理；
?IGMP(2)－多點廣播需要用到（如線上視頻直播），如果需要應用到該項協議就不要禁用；
?ESP(50)和AH(51)－IPSec需要應用到這些協議，所以VPN（Virtual Private Network）用戶不要禁用這些設置。
企業用戶要謹慎處理這些設置－其中一些選項可能是局域網中路由通訊所必需的。
可以設定一條全局規則來處理這些未知協議（包括類似IPX或者NetBEUI的協議）－建議設定該項規則來進行屏蔽。
改動收益：防止未來可能經由這些連接阜的訊息洩漏。
付出代價：出於Outpost採用的處理規則的方式，這些改動可能會顯著增大相關處理流程的數量，尤其對於使用文件共享程式或者位於比較繁忙局域網中的用戶來說。
步驟：
未使用的協議
?進入「選項／系統／系統和應用程式全局規則／設置」；
?點選「新增」創建新的全局規則；
?設置指定協議為IP，此時其後面所跟的「類型」是「未定義」；
?點擊「未定義」進入IP類型列表視窗；
?選定你想要屏蔽的類型然後點擊OK；
?設定響應操作為「禁止」，再自己定義恰當的規則名稱後點擊OK。
未知協議
?進入「選項／系統／系統和應用程式全局規則／設置」；
?點選「新增」創建新的全局規則；
?設定協議為「未知」，響應操作為「禁止」，再自己定義恰當的規則名稱後點擊OK。
E － 應用程式規則 （位於「選項／應用程式」）
E1－移除位於「信任的應用程式」組中的專案
即使程式需要正常的訪問互連網，對其通訊不加過問的一律放行也不是明智的做法。某些程式可能會要求比所需更多的連接（浪費帶寬），有的程式會跟「老家」悄悄聯繫洩漏你的隱私訊息。出於這種考慮，應該把「信任的應用程式」組中的專案移入「部分允許的應用程式 」組，並且設置如下所建議的合適的規則。
E2－謹慎設置「部分允許的應用程式」
Outpost的自動配置功能將會給每一個探測到要求連接網路的程式配置預定的規則，然而這些預定規則是從易於使用的角度出發的，所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆配置中最富有挑戰性的部分，由於個人的使用環境和偏好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦配置和參考配置。
推薦配置用紅色表示
建議配置用藍色表示
可選配置用綠色表示
如果使用了D1部分提及的「應用程式DNS」設置，那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則，請注意這些應用程式規則的優先級位於全局規則之上，詳情請見Outpost Rules Processing Order常見問題貼。
在規則中使用域名注意事項：
當域名被用作本機或遠端地址時，Outpost會立刻查找相應的IP地址（需要DNS連接），如果該域名的IP發生了改變，規則不會被自動更新－域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。
某些域名可能使用了多個IP地址－只有在「選項／應用程式」中手動建立的規則Outpost才會自動尋找其所有IP地址，通過規則嚮導建立的規則則不行。因此，通過規則嚮導建立的規則需要重新在「選項／應用程式」中手動輸入域名以確保所有IP地址能被找到 。
Svchost.exe（Windows XP系統獨有）
Svchost.exe是一個棘手的程式－為了完成一些基本的網路任務它需要進行互連網連接，但是給它完全的權限又會把系統至於RPC（例如Blaster、Welchia/Nachi等蠕蟲）洩漏的危險之中。給這個程式創建合適的規則也就變得格外的重要。
Allow DNS(UDP)：協議 UDP，遠端連接阜 53，遠端地址 ，允許
Allow DNS(TCP)：協議TCP，方向 出站，遠端連接阜 53，遠端地址 ，允許
Possible Trojan DNS(UDP)：協議 UDP，遠端連接阜 53，禁止並且報告
Possible Trojan DNS(TCP)：協議 TCP，方向 出站，遠端連接阜 53，禁止並且報告
?DNS規則 － 可在D1部分中檢視詳情，只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則，因為此時svchost.exe才會進行查找工作；
?因為此處只需要一條TCP規則，此規則被設定為「允許」；
? 因為某些木馬程式試圖把它們的活動偽裝成DNS查詢，推薦把任何試圖與DNS服務器以外的地址進行連接的嘗試視為可疑－Trojan DNS規則將報告類似的連接。如果連接是合法的（如果你的ISP更換了DNS服務器地址這些「允許」規則需要及時進行更新）則對其做出報告很容易導致網路失去連接，此時應該從禁止日誌中查明原因。
Block Incoming SSDP：協議 UDP，本機連接阜 1900，禁止
Block Outgoing SSDP：協議 UDP，遠端連接阜 1900，禁止
? 這些規則屏蔽了用於在局域網中查找即插即用設備（UPnP）的簡單服務搜尋協議（SSDP）。由於即插即用設備會導致許多安全問題的出現，如非必要最好還是將其禁用－如果必須使用的話，則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用，即可防止SSDP起作用，所以這些規則是建議配置。
Block Incoming UPnP：協議 TCP，方向 入站，本機連接阜 5000，禁止
Block Outgoing UPnP：協議TCP，方向 出站，遠端連接阜 5000，禁止
? 這些規則屏蔽了UPnP資料包－如同上面關於SSDP的規則，如果你非常需要UPnP則把規則改為「允許」，可是一定要把UPnP設備的IP地址設為遠端地址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用，即可防止UPnP起作用，所以這些規則是建議配置。
Block RPC（TCP）：協議 TCP，方向 入站，本機連接阜 135，禁止
Block RPC（UDP）：協議 UDP，本機連接阜 135，禁止
?這些規則實際上是預定的全局規則中關於屏蔽RPC/DCOM通訊的規則拷貝－所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接，則把這些規則改為「允許」，不過僅限於信任的遠端地址。
Allow DHCP Request：協議 UDP，遠端地址 ，遠端連接阜 BOOTPS，本機連接阜 BOOTPC，允許
?DHCP 規則－請至D2部分檢視詳情（如果使用的是固定IP地址則不需應用此規則－通常只有在私有局域網內才會如此）。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的－由於應用了最後的「Block Other TCP/UDP」規則，全局DHCP規則此時並不會起作用。
Allow Help Web Access：協議TCP，方向 出站，遠端連接阜 80，443，允許
?Windows幫助系統可能會通過svchost.exe發起網路連接－如果你不想使用幫助系統（或者是不希望微軟知道你何時使用的）則可以略過本規則。
Allow Time Synchronisation：協議 UDP，遠端連接阜 123，遠端地址 time.windows.com，time.nist.gov，允許
?用於時間同步－只有當你需要用到Windows XP這個特性時才需要創建該規則。
Block Other TCP Traffic：協議TCP，方向 出站，禁止
Block Other TCP Traffic：協議 TCP，方向 入站，禁止
Block Other UDP Traffic：協議 UDP，禁止
?把這些規則設定在規則列表的最下面－它們會阻止未設定規則的服務的規則向導彈出視窗。未來所新增的任何規則都應該置於這些規則之上。
商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系統服務所需放行的額外連接阜訊息。
outpost設置完全攻略！（徹底打造你的完美OP）
Outpost防火牆（以下簡稱OP）一直是我認為最好用的網路防火牆，他的功能非常強大，而且設置很靈活，關於網路狀況的檢視也很方便，附帶的插件甚至可以屏蔽廣告。和ZA不同的是，OP是基於入侵檢測的防火牆，所以占資源方面比ZA要少一些^_^。不過，他的設置還是挺複雜的，所以我就搭配抓圖寫一個簡單的設置指南，希望看了之後你能喜歡上這個防火牆~~~
1.界面篇
安裝好以後的界面是這樣的

應該算是很友好的界面吧，這裡我們可以看到許多有用的訊息

這裡是目前的網路活動，所有正在訪問網路的工作行程以及他們連接的IP地址，如果這裡有木馬的話也可以很方便的看到。紅色的是你禁止的網路活動，我這裡就禁止局域網的NETBIOS，所以用紅色顯示，如果對方是有惡意的話，嘿嘿

這個是已打開的連接阜，稍微有些經驗的話，可以從這裡輕易的判斷是是否有黑客在連接你，注意一下常見的木馬連接阜或者高危連接阜，如果出現在這裡就比較可疑了。

其實也有很多種分類方法的，所以才說他的檢視網路狀態很方便而且很靈活^_^
是該提到他的插件了，有了插件的擴展，OP會變得更加強大，嘿嘿

廣告過濾，除了一般的按關鍵字過濾以外，也可以按照圖片大小過濾^_^，雜項中選擇用透明圖像替換廣告圖像，即可實現無聲過濾。
其他的插件就暫時先不說了，現在進入正題，開始設置了。
2.設置篇
現在正式進入OP的設置，首先打開OP的選項：

這是一般選項，沒什麼可說的了，一般預定就好

這是應用程式設置，關於應用程式設置，在OP中的彈性非常大，可以使用他預制的模板（有很多的），比如預定的規則中，你可以讓瀏覽器只訪問http連接阜，這樣即使這是黑客送出來的小甜點也不會對你構成威脅^_^

如果你需要他訪問ftp的話，那麼可以在這裡右擊這個瀏覽器的名字，選擇修改規則，然後如下設置即可，是不是很容易啊～


關於這個隱藏的工作行程其實就是當一個程式執行的時候，呼叫了另外一個工作行程，那麼這另外的工作行程就是隱藏工作行程了，如下圖的提示

這種隱藏的工作行程是插入式木馬常用的手段，如果你覺得有點煩人也可以關閉，嘿嘿，當然還是你自己選擇了^_^

元件控制，這個我就不用多解釋了，看提示就知道。打開以後會出現如下提示，個人感覺他非常煩人，還是建議關閉

最下面的工作行程控制，是否有些看不明白呢，比如說你用修改其改了一個，那麼這個遊戲就無法訪問網路了。還不明白？舉個更常見的例子，如果你用金山詞霸一類的詞典軟件在瀏覽器中取詞，那麼瀏覽器馬上就不能上網了。這樣明白了吧，還是關閉好了。

系統設置，這裡比較麻煩一些，如果沒有經驗的話建議預定。主要來看看下面的設置。

嗯，這裡就是新增專家規則的地方，和上面的新增應用程式規則有些類似。比如我要在本機開放FTP服務，那麼就做如下設置

是不是覺得越來越簡單了啊，嘿嘿，其實本來也就不難的嘛。
底層通訊連接阜，就是那些不太常用的連接阜拉，如果有可疑的程式訪問他會提示的，比如你用黑軟的時候拉……

這就是應用程式控制拉，預定的規則嚮導其實就是當一個新應用程式訪問網路時，會詢問你是否允許，這樣可以在木馬之前攔截住他，如果沒什麼問題的話建議使用這個。


插件中的入侵檢測，這個才是OP的主力拉，其實這個的設置也不難的，如果沒有特別要求的話，全部都預定好了^_^，當然那個安全級別的設置還是看你個人的感覺，嘿嘿～
3.總結篇
雖然說總結，不過真的要寫總結了反而不知道該寫什麼。洋洋灑灑的說了這麼多，看起來似乎是很麻煩吧，其實只要用預定設置就好了。其實OP真的是一款非常棒的防火牆，再次強力推薦。
編者按：Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆，佔用資源相對較小，設置靈活方便，穩定強悍，可以算得上個人防火牆中的佼佼者了。東西雖好，可是很多人在使用中只是讓軟件的預定設置在發揮作用，而防火牆的預定設定往往更側重於相容性方面的考慮，想讓防火牆更好的發揮作用，就需要你根據自己的網路情況作出調整和配置。正好官方論壇中有一篇相關文章，編譯出來和大家一起學習交流。特此感謝原作者和 Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。
原文作者：Paranoid2000 （OP官方論壇）
導論：
本文是為了幫助Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟件喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊，對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。
因為本文涉及到了對預定規則的調整，用戶最好事先對Outpost防火牆已經有一定熟悉度（按：並且最好對一些基本的網路知識和術語也有所瞭解）。
安全性和方便性永遠無法兩全，這就需要你根據自己的實際情況做出取捨－下文中一些改動可能需要你完成大量的調整工作，也會讓你的某些行為（如更換ISP）變得困難的多。某些（尤其是商業／企業的）網路環境可能會導致文中某些部分出現問題，請在實施改動前詳細閱讀各個專案的優點和缺點－如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試，分析Outpost的相關日誌（尤其是被禁止連接的日誌），以便做出進一步的決策。本文中的推薦更多是基於安全性而不是方便性的考慮。
最後，請注意本文檔並不是出自Agnitum公司，Agnitum公司也不對本文進行技術支持，相關問題和討論請在Outpost防火牆論壇提出，而不要與Agnitum公司直接聯繫。
致謝：
本文原作者為Paranoid2000,成文過程中根據Outpost論壇一些管理員和Agnitum公司的反饋做了擴展，對以上相關人員致以謝意，尤其對 David在E2部分對於svchost.exe（其為Windows XP用戶面臨的一個嚴重的安全隱患）規則的發展和測試工作表示鄭重感謝。
Outpost免費版用戶注意：
文中涉及的設置沒有在免費版中進行測試，某些部分（如關於全局規則設置的D小節）也無法部署（由於免費版中全局規則只能被禁用而無法修改），而某些特性（如元件控制）也是在Outpost Pro v2以後才出現的，然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。
A － 局域網設置（位於「選項／系統／局域網設置／設置」）
改動收益：通過限制特權用戶的連接來提高安全性。
付出代價：需要進行更多的設置和維護工作，尤其是對大型局域網來說。
本設置指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說，這裡列出的IP段越少越好，因為對這些地址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。（請查閱Outpost Rules Processing Order獲知詳情）
對非局域網用戶來說，本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設置」的鉤選以防止Outpost自動新增預定設置。
本部分設置只須處於如下環境的微機加以考慮：
? 位於局域網（LAN）中，並且帶有需要共享的文件或者印表機的微機；
? 位於局域網中並且需要通過網路應用程式進行連接，但是無法通過應用程式規則設定完成工作的微機；
? 位於互連網連接共享網關上的微機，其應將每一個共享客戶端的IP地址列為可信任地址。請查閱LAN and DNS settings for V2獲知詳情。
上述任一種情況下由Outpost提供的預定網路設置都是過於寬鬆的，因為它總是假設同一網路中的任何微機都應該被包括在內。
步驟：
? 取消鉤選「自動檢測新的網路設置」以防止Outpost自動新增新的設置。注意如果日後安裝了新的網卡，在此項禁止的情況下新的地址需要手動新增進去。
? 逐個新增每個PC的地址（所新增項隨後會以帶網路掩碼255.255.255.255的形式出現）。互連網地址絕不應該出現在該位置。
? 鉤選涉及到文件／印表機共享的微機後面的「NetBIOS」選項。
? 鉤選涉及到網路應用程式的微機後面的「信任」選項。
如果你位於一個大型局域網內，逐個列出每個微機就是不太現實的了，此時一個可用的方案就是用Blockpost插件列出IP段然後屏蔽該IP段中不需要的地址（Blockpost插件允許用戶定義任意IP段，這是Outpost現階段還做不到的）。
請注意局域網內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題（尤其是Windows網路中存在Browse Master和Domain Controller的情況下），請在本文F4部分查找通過插件設置避免問題的詳細內容。
B – ICMP設置（位於「選項／系統／ICMP／設置」）
ICMP（Internet Control Message Protocol）是用於傳送診斷訊息與出錯訊息的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。
該部分預定設置允許如下活動：
? 通過Ping命令進行的基本網路連接測試（由Echo Request Out和Echo Reply In實現） － 對本機進行的Ping將被攔截以掩藏本機的線上狀態。
? 對探測者顯示本機網路地址不可用（由Destination Unreachable In and Out 實現）。
? 對探測者顯示本機地址無法連接（由流入資料超時而引起），該類連接由Tracert命令發起－進入類跟蹤路由企圖將被攔截以掩藏本機線上狀態。
本項的預定設置對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定類型的掃瞄中會暴露你微機的存在（絕大部分已被Outpost攔截），所以對該項的改動可以讓你的微機的隱匿性更強。
改動收益：使你的微機逃過某些可以避開Outpost檢測的掃瞄。
付出代價：在某些情況下（如緩慢的DNS回應）Destination Unreachables訊息的傳送是合法的，此時就會顯示為被屏蔽，結果就是可能導致一些網路應用程式的延遲和超時（如P2P軟件）。
步驟：
? 取消對「Destination Unreachable 」Out的鉤選。
如果你在執行Server程式，那麼對Ping和Tracert命令的響應可能就是需要的。一些互連網服務提供商（ISP）可能也會要求你對它們的Ping做出回應以保持線上連接。這些情況下可以參考如下步驟。
改動收益：允許用戶檢查與Server之間的連接和網路性能，這些可能是某些ISP要求實現的。
付出代價：讓你的系統處於被Denial-of-Service（DoS）攻擊的危險之中。
步驟：
?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的響應。
?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的響應。
可選步驟：上述做法會使本機對任意地址的Ping和Tracert命令做出響應，還有一個可選擇的方案是用一個全局規則來實現只允許來自可信任地址的ICMP 訊息－但是這樣會導致其漠視Outpost的ICMP設置而允許所有的ICMP訊息流通。然而當特定 地址已知時，這樣做也未嘗不可。通過如下步驟實現：
?創建一個如下設置的全局規則：
Allow Trusted ICMP：指定的協議IP 類型ICMP，指定的遠端主機 ，允許
注意該規則不要定義方向（流入和流出的資料都需要獲得權限）。
C － 防火牆模式（位於「選項／系統／防火牆模式」）
保持預定設定「增強」，不建議作改動。
D－系統和應用程式全局規則（位於「選項／系統／系統和應用程式全局規則」）
D1－指定DNS服務器地址
DNS （Domain Name System）是通過域名來確定IP地址的一種方法（如 otupostfirewall.com的IP地址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities）。因為連接網站時DNS訊息必須通過防火牆以實現IP地址查詢，一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊地址限定為你的ISP所提供的DNS服務器，這種偽DNS請求就可以被有效的攔截。有兩 種方法可以完成這項任務：
(a). 「全局DNS」設置－把你的ISP的DNS服務器地址加入到全局規則中
改動收益：通過少量工作即可完成上述任務。
付出代價：如果你通過多家ISP上網，那麼所有的服務器地址都需要被新增進去－如果你更換了ISP或者ISP更改了它們的服務器地址，那麼你就需要把新的地址更新進規則中去。如果你有程式或者網路環境需要應用反覆式DNS查詢（Windows環境下通常使用遞歸式查詢，反覆式通常是應用於DNS服務器之間），那麼配置這條規則就可能會出現問題。
步驟：
?找到你的ISP使用的DNS服務器地址。最簡單的方法就是在命令行視窗中使用「ipconfig –all」來查詢，Windows 9x/Me/Xp的用戶也可以在開始表菜單的「執行」交談視窗中使用winipcfg得到相關訊息。
?把這些地址作為遠端主機地址加入到「Allow DNS Resolving」全局規則中。
Windows 2000/XP用戶還應該把這些地址加到應用程式規則中services.exe/svchost.exe的相關專案中（詳情參見E2部分）。
(b). 「應用程式DNS」設置－移除全局規則，逐個給每個程式新增DNS規則
改動收益：如此一來新新增的程式通常需要兩項規則（DNS規則和程式自身需要的規則）來減少可疑程式在意外情況下的通行。試圖與「老家」通訊的惡意程式現在就面臨著尋找必要IP地址的額外手續，這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到。只通過DNS連接阜通訊的這類木馬程式現在就必須通過額外規則才可以通行，這也是現在唯一可以屏蔽DNShell以及類似洩漏測試的方法。
付出代價：需要完成繁瑣的多的工作－每一個程式都需要新增一條額外的規則。更換ISP後需要把所有規則更新為新的DNS地址。
步驟：
?在Windows 2000和XP環境下，關掉「DNS客戶服務」（通過 開始/控制台/管理選項/服務）。這會強迫每個程式發出自己的DNS請求，而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。
?停用或者刪除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。
?對每一個程式新增一個新規則，使用下列關鍵字：
DNS Resolution：指定協議UDP，遠端連接阜53，遠端主機，允許
可以通過設定本規則為預設規則來簡化工作。步驟如下：離線網路，退出Outpost，打開preset.lst文件（位於Outpost程式資料夾中）並在文件末尾新增下列規則：
; Application DNS Resolution
[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: 加入你的ISP的DNS服務器地址，如有多個用逗號分隔
AllowIt
新增該預設規則後，日後碰到新增規則嚮導提示的時候只要選定該預設規則匯入即可（如果你想允許該程式通行的話）。這種情況下，IP地址在「選項/程式」中將以附帶(255.255.255.255)子網掩碼的形式出現，此即指明了一個條目的IP地址範圍，其與單獨一個IP地址所起作用相同。注意此時「工具/ 自動檢查升級」選項應該被禁用，因為對preset.lst的改動可能被自動更新的文件覆蓋掉（雖然「自動更新」在覆蓋文件以前會提示），一個比較好的辦法是手動備份該文件，然後再進行更新，更新完畢後如有必要再把備份文件覆蓋回去。
注意－兩種DNS設置都需要的規則
不管選擇上述兩種設置中的哪一種，都需要考慮到一種情況－DNS查詢使用更多的是UDP(User Datagram Protocol)協議而不是TCP(Transport Control Protocol)協議。查詢使用到TCP協議的情況很少見而且通常是複雜查詢－實際使用中通常它們可以被屏蔽，因為該查詢會用UDP協議再次發送，因此在全局規則中可以新增一條規則如下：
Block DNS(TCP)：協議 TCP，方向 出站，遠端連接阜 53,禁止
如果你想允許此類通訊，那麼或者是修改規則為「允許」（指全局DNS規則）或者是為每一個程式創建第二條DNS規則用TCP取代UDP（應用程式DNS規則）。
報告疑為木馬程式偽裝的DNS活動
任何對已設定DNS服務器以外地址的查詢都應該被視為可疑活動而在預定情況下被禁止，此時可以在DOS視窗中用ipconfig /all命令來查詢是否ISP的DNS服務器已改變而需要更新DNS規則設置。
此時可以通過在全局規則中其它DNS規則下方新增如下規則來解決－第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要：
Possible Trojan DNS(UDP): 協議 UDP，遠端連接阜 53,禁止 並且報告
Possible Trojan DNS(TCP): 協議 TCP，方向 出站，遠端連接阜53,禁止 並且報告
該規則會禁止任何可疑的DNS嘗試並且做出報告。注意該規則不推薦採用應用程式DNS設置的用戶使用，因為合法DNS服務器地址需要從規則中排除以防止誤報（例如當一個沒有設置規則的程式發起請求的時候）－指定IP地址範圍可以解決該問題，但是Outpo st現有對IP段的處理能力並不是很完善。
D2-指定DHCP服務器地址
DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP地址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊，這也就成為了木馬程式為了在不被探測到的情況下向外發送訊息所可能採用的一種手段。除此之外，向特定地址用大量的DHCP訊息 進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。
如果你的系統使用固定IP地址（不管是因為位於內網還是因為使用獲得動態地址的路由器）那麼此部分設置可以略過。想檢查DHCP是否被應用，可以在命令行視窗使用ipconfig /all來查詢－在視窗底部可以得到相關訊息。
限制DHCP通訊到某個特定服務器比對DNS做出限制要稍微複雜一些，因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向（部分是由於DHCP協議使用UDP協議，部分是由於它能包括的IP地址的變化），因此本規則推薦對本機和遠端連接阜而不是對方向進行限制。另外，第一次DHCP請求是對255.255.255.255地址發出的廣播形式（該通訊應該送達局域網中所有的主機），因為機器啟動時無從得知DHCP服務器的地址，後續的DHCP請求（為了更新IP地址分配）才會被發送到 DHCP服務器。
Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則（Windows 2000是services.exe，Windows XP是svchost.exe）來進一步限制DHCP通訊，請參考E2部分獲得更詳盡的訊息。
改動收益：防止對DHCP權限的濫用。
付出代價：如果使用多家ISP，每一家都需要單獨設定其服務器地址。如果更換ISP，相關規則也需要做出更新。某些ISP可能會需要通過多項條目進行設定－尤其是在其擁有具有多個連接點的大型網路時。
步驟：
?通過ipconfig /all或者winipcfg查找得到DHCP服務器地址。注意DHCP服務器與DNS服務器地址通常是不同的。
?Windows 9x/ME用戶創建全局規則：
Allow DHCP Request: 協議 UDP，遠端地址 ，255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
?Windows 2000/XP用戶創建全局規則：
Allow DHCP Broadcast：協議 UDP，遠端地址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
因為DHCP服務器地址可能會發生改變，建議在IP地址分配碰到問題時禁止上述規則中對「遠端地址」的設定－如果一切正常就保留該設定，在重新允許該規則以前驗證並且更新（如有必要）DHCP服務器地址。DHCP服務器通常不會作出大範圍的網路轉移，所以在其地址中使用通配符（例如192.168.2.*）可以有效減少該類問題的發生。
D3-禁止「Allow Loopback」規則
預定規則中的「Allow Loopback」全局規則給使用代理服務器的用戶（例如AnalogX Proxy，Proxomitron，WebWasher以及某些反垃圾/反病毒軟件）帶來了一個極大的安全隱患，因為其允許任何未經指明屏蔽的程式使用為代理設置的規則進行互連網通訊，禁止或者刪除該全局規則即可消除隱患。
改動收益：防止未經授權的程式利用代理服務器規則進行通訊。
付出代價：任何使用代理服務器的程式（例如和Proxomitron配合使用的瀏覽器，等等）都需要設定一條額外的規則（其時彈出的規則嚮導中的建議配置在絕大多數情況下已經足夠應付）。
步驟：
?通過「選項／系統／系統和應用程式全局規則／設置」進入全局規則列表
?通過去除「Allow Loopback」的鉤選來禁止該項規則
D4-禁止不必要的全局規則
預定設置中的某些全局規則並不是很恰當，可以通過去除對其的鉤選來停用。這些規則包括：
?Allow Inbound Authentication － 一個簡陋而且不可靠的檢查網路連接端的規則，很少被用到。如果需要的時候，停用該規則可能會導致登入Email服務器的延遲。
?Allow GRE Protocol，Allow PPTP control connection － 這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的，如果沒有此需求可以停用這些規則。
改動收益：防止應用這些連接阜的訊息洩漏。
付出代價：禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲（此時可以重新啟動該規則，並把郵件服務器新增為遠端地址）
步驟：
?通過「選項／系統／系統和應用程式全局規則／設置」進入全局規則列表
?清除對相應規則的鉤選
D5－屏蔽未使用和未知的協議
全局規則可以對互連網協議（IP）以及TCP和UDP協議作出限定，對IP涉及到的一系列協議建議全部加以屏蔽，除了下面所述類型：
?ICMP(1)－此協議通過ICMP相關規則來處理；
?IGMP(2)－多點廣播需要用到（如線上視頻直播），如果需要應用到該項協議就不要禁用；
?ESP(50)和AH(51)－IPSec需要應用到這些協議，所以VPN（Virtual Private Network）用戶不要禁用這些設置。
企業用戶要謹慎處理這些設置－其中一些選項可能是局域網中路由通訊所必需的。
可以設定一條全局規則來處理這些未知協議（包括類似IPX或者NetBEUI的協議）－建議設定該項規則來進行屏蔽。
改動收益：防止未來可能經由這些連接阜的訊息洩漏。
付出代價：出於Outpost採用的處理規則的方式，這些改動可能會顯著增大相關處理流程的數量，尤其對於使用文件共享程式或者位於比較繁忙局域網中的用戶來說。
步驟：
未使用的協議
?進入「選項／系統／系統和應用程式全局規則／設置」；
?點選「新增」創建新的全局規則；
?設置指定協議為IP，此時其後面所跟的「類型」是「未定義」；
?點擊「未定義」進入IP類型列表視窗；
?選定你想要屏蔽的類型然後點擊OK；
?設定響應操作為「禁止」，再自己定義恰當的規則名稱後點擊OK。
未知協議
?進入「選項／系統／系統和應用程式全局規則／設置」；
?點選「新增」創建新的全局規則；
?設定協議為「未知」，響應操作為「禁止」，再自己定義恰當的規則名稱後點擊OK。
E － 應用程式規則 （位於「選項／應用程式」）
E1－移除位於「信任的應用程式」組中的專案
即使程式需要正常的訪問互連網，對其通訊不加過問的一律放行也不是明智的做法。某些程式可能會要求比所需更多的連接（浪費帶寬），有的程式會跟「老家」悄悄聯繫洩漏你的隱私訊息。出於這種考慮，應該把「信任的應用程式」組中的專案移入「部分允許的應用程式 」組，並且設置如下所建議的合適的規則。
E2－謹慎設置「部分允許的應用程式」
Outpost的自動配置功能將會給每一個探測到要求連接網路的程式配置預定的規則，然而這些預定規則是從易於使用的角度出發的，所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆配置中最富有挑戰性的部分，由於個人的使用環境和偏好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦配置和參考配置。
推薦配置用紅色表示
建議配置用藍色表示
可選配置用綠色表示
如果使用了D1部分提及的「應用程式DNS」設置，那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則，請注意這些應用程式規則的優先級位於全局規則之上，詳情請見Outpost Rules Processing Order常見問題貼。
在規則中使用域名注意事項：
當域名被用作本機或遠端地址時，Outpost會立刻查找相應的IP地址（需要DNS連接），如果該域名的IP發生了改變，規則不會被自動更新－域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。
某些域名可能使用了多個IP地址－只有在「選項／應用程式」中手動建立的規則Outpost才會自動尋找其所有IP地址，通過規則嚮導建立的規則則不行。因此，通過規則嚮導建立的規則需要重新在「選項／應用程式」中手動輸入域名以確保所有IP地址能被找到 。
Svchost.exe（Windows XP系統獨有）
Svchost.exe是一個棘手的程式－為了完成一些基本的網路任務它需要進行互連網連接，但是給它完全的權限又會把系統至於RPC（例如Blaster、Welchia/Nachi等蠕蟲）洩漏的危險之中。給這個程式創建合適的規則也就變得格外的重要。
Allow DNS(UDP)：協議 UDP，遠端連接阜 53，遠端地址 ，允許
Allow DNS(TCP)：協議TCP，方向 出站，遠端連接阜 53，遠端地址 ，允許
Possible Trojan DNS(UDP)：協議 UDP，遠端連接阜 53，禁止並且報告
Possible Trojan DNS(TCP)：協議 TCP，方向 出站，遠端連接阜 53，禁止並且報告
?DNS規則 － 可在D1部分中檢視詳情，只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則，因為此時svchost.exe才會進行查找工作；
?因為此處只需要一條TCP規則，此規則被設定為「允許」；
? 因為某些木馬程式試圖把它們的活動偽裝成DNS查詢，推薦把任何試圖與DNS服務器以外的地址進行連接的嘗試視為可疑－Trojan DNS規則將報告類似的連接。如果連接是合法的（如果你的ISP更換了DNS服務器地址這些「允許」規則需要及時進行更新）則對其做出報告很容易導致網路失去連接，此時應該從禁止日誌中查明原因。
Block Incoming SSDP：協議 UDP，本機連接阜 1900，禁止
Block Outgoing SSDP：協議 UDP，遠端連接阜 1900，禁止
? 這些規則屏蔽了用於在局域網中查找即插即用設備（UPnP）的簡單服務搜尋協議（SSDP）。由於即插即用設備會導致許多安全問題的出現，如非必要最好還是將其禁用－如果必須使用的話，則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用，即可防止SSDP起作用，所以這些規則是建議配置。
Block Incoming UPnP：協議 TCP，方向 入站，本機連接阜 5000，禁止
Block Outgoing UPnP：協議TCP，方向 出站，遠端連接阜 5000，禁止
? 這些規則屏蔽了UPnP資料包－如同上面關於SSDP的規則，如果你非常需要UPnP則把規則改為「允許」，可是一定要把UPnP設備的IP地址設為遠端地址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用，即可防止UPnP起作用，所以這些規則是建議配置。
Block RPC（TCP）：協議 TCP，方向 入站，本機連接阜 135，禁止
Block RPC（UDP）：協議 UDP，本機連接阜 135，禁止
?這些規則實際上是預定的全局規則中關於屏蔽RPC/DCOM通訊的規則拷貝－所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接，則把這些規則改為「允許」，不過僅限於信任的遠端地址。
Allow DHCP Request：協議 UDP，遠端地址 ，遠端連接阜 BOOTPS，本機連接阜 BOOTPC，允許
?DHCP 規則－請至D2部分檢視詳情（如果使用的是固定IP地址則不需應用此規則－通常只有在私有局域網內才會如此）。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的－由於應用了最後的「Block Other TCP/UDP」規則，全局DHCP規則此時並不會起作用。
Allow Help Web Access：協議TCP，方向 出站，遠端連接阜 80，443，允許
?Windows幫助系統可能會通過svchost.exe發起網路連接－如果你不想使用幫助系統（或者是不希望微軟知道你何時使用的）則可以略過本規則。
Allow Time Synchronisation：協議 UDP，遠端連接阜 123，遠端地址 time.windows.com，time.nist.gov，允許
?用於時間同步－只有當你需要用到Windows XP這個特性時才需要創建該規則。
Block Other TCP Traffic：協議TCP，方向 出站，禁止
Block Other TCP Traffic：協議 TCP，方向 入站，禁止
Block Other UDP Traffic：協議 UDP，禁止
?把這些規則設定在規則列表的最下面－它們會阻止未設定規則的服務的規則向導彈出視窗。未來所新增的任何規則都應該置於這些規則之上。
商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系統服務所需放行的額外連接阜訊息。