outpost設定完全攻略!(徹底打造你的完美OP)
編者按:Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆,佔用資源相對較小,設定靈活方便,穩定強悍,可以算得上個人防火牆中的佼佼者了。東西雖好,可是很多人在使用中只是讓軟體的預設值設定在發揮作用,而防火牆的預設值設定往往更側重於相容性方面的考慮,想讓防火牆更好的發揮作用,就需要你根據自己的網路情況作出調整和組態。正好官方論壇中有一篇相關文章,編譯出來和大家一起學習交流。特此感謝原作者和 Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。
原文作者:Paranoid2000 (OP官方論壇) 導論: 本文是為了說明 Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟體喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊,對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。 因為本文涉及到了對預設值規則的調整,用戶最好事先對Outpost防火牆已經有一定熟悉度(按:並且最好對一些基本的網路知識和術語也有所瞭解)。 安全性和方便性永遠無法兩全,這就需要你根據自己的實際情況做出取捨-下文中一些改動可能需要你完成大量的調整工作,也會讓你的某些行為(如更換ISP)變得困難的多。某些(尤其是商業企業的)網路環境可能會導致文中某些部分出現問題,請在實施改動前詳細閱讀各個項目的優點和缺點-如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試,分析Outpost的相關日誌(尤其是被禁止連接的日誌),以便做出進一步的決策。本文中的推薦更多是關於安全性而不是方便性的考慮。 最後,請注意本文件並不是出自Agnitum公司,Agnitum公司也不對本文進行技術支持,相關問題和討論請在Outpost防火牆論壇提出,而不要與Agnitum公司直接聯繫。 致謝: 本文原作者為Paranoid2000,成文程序中根據Outpost論壇一些管理員和Agnitum公司的反饋做了增強,對以上相關人員致以謝意,尤其對 David在E2部分對於svchost.exe(其為Windows XP用戶面臨的一個嚴重的安全隱患)規則的發展和測試工作表示鄭重感謝。 Outpost免費版用戶注意: 文中涉及的設定沒有在免費版中進行測試,某些部分(如關於全局規則設定的D小節)也無法佈署(由於免費版中全局規則只能被禁用而無法修改),而某些特性(如元件控制)也是在Outpost Pro v2以後才出現的,然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。 A - 區域網路設定(位於「選項系統區域網路設定設定」) 改動收益:通過限制特權用戶的連接來提高安全性。 付出代價:需要進行更多的設定和維護工作,尤其是對大型區域網路來說。 本設定指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說,這裡列出的IP段越少越好,因為對這些位址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。(請查閱Outpost Rules Processing Order獲知詳情) 對非區域網路用戶來說,本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設定」的鉤選以防止Outpost自動增加預設值設定。 本部分設定只須處於如下環境的微機加以考慮: ? 位於區域網路(LAN)中,並且帶有需要共享的文件或者列印機的微機; ? 位於區域網路中並且需要通過網路應用程式進行連接,但是無法通過應用程式規則設定完成工作的微機; ? 位於網際網路連接共享網路閘道上的微機,其應將每一個共享客戶端的IP位址列為可信任位址。請查閱LAN and DNS settings for V2獲知詳情。 上述任一種情況下由Outpost提供的預設值網路設定都是過於寬鬆的,因為它總是假設同一網路中的任何微機都應該被包括在內。 步驟: ? 取消鉤選「自動檢測新的網路設定」以防止Outpost自動增加新的設定。注意如果日後安裝了新的網路卡,在此項禁止的情況下新的位址需要手動增加進去。 ? 逐個增加每個PC的位址(所增加項隨後會以帶網路掩碼255.255.255.255的形式出現)。網際網路位址絕不應該出現在該位置。 ? 鉤選涉及到文件列印機共享的微機後面的「NetBIOS」選項。 ? 鉤選涉及到網路應用程式的微機後面的「信任」選項。 如果你位於一個大型區域網路內,逐個列出每個微機就是不太現實的了,此時一個可用的方案就是用Blockpost插件列出IP段然後遮閉該IP段中不需要的位址(Blockpost插件允許用戶定義任意IP段,這是Outpost現階段還做不到的)。 請注意區域網路內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題(尤其是Windows網路中存在Browse Master和Domain Controller的情況下),請在本文F4部分搜尋通過插件設定避免問題的詳細內容。 B – ICMP設定(位於「選項系統ICMP設定」) ICMP(Internet Control Message Protocol)是用於傳送診斷訊息與出錯資訊的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。 該部分預設值設定允許如下活動: ? 通過Ping指令進行的基本網路連接測試(由Echo Request Out和Echo Reply In實現) - 對本地機進行的Ping將被攔截以掩藏本地機的在線狀態。 ? 對探測者顯示本地機網路位址不可用(由Destination Unreachable In and Out 實現)。 ? 對探測者顯示本地機位址無法連接(由流入資料超時而引起),該類連接由Tracert指令發起-進入類跟蹤路由企圖將被攔截以掩藏本地機在線狀態。 本項的預設值設定對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定檔案類型的掃瞄中會暴露你微機的存在(絕大部分已被Outpost攔截),所以對該項的改動可以讓你的微機的隱匿性更強。 改動收益:使你的微機逃過某些可以避開Outpost檢測的掃瞄。 付出代價:在某些情況下(如緩慢的DNS回應)Destination Unreachables訊息的傳送是合法的,此時就會顯示為被遮閉,結果就是可能導致一些網路應用程式的延遲和超時(如P2P軟體)。 步驟: ? 取消對「Destination Unreachable 」Out的鉤選。 如果你在執行Server程序,那麼對Ping和Tracert指令的回應可能就是需要的。一些網際網路服務提供商(ISP)可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。 改動收益:允許用戶檢查與Server之間的連接和網路效能,這些可能是某些ISP要求實現的。 付出代價:讓你的系統處於被Denial-of-Service(DoS)攻擊的危險之中。 步驟: ?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的回應。 ?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的回應。 可選步驟:上述做法會使本地機對任意位址的Ping和Tracert指令做出回應,還有一個可選的方案是用一個全局規則來實現只允許來自可信任位址的ICMP 訊息-但是這樣會導致其漠視Outpost的ICMP設定而允許所有的ICMP訊息流通。然而當特定 位址已知時,這樣做也未嘗不可。通過如下步驟實現: ?新增一個如下設定的全局規則: Allow Trusted ICMP:指定的傳輸協定IP 檔案類型ICMP,指定的遠端主機 <填入受信IP位址>,允許 注意該規則不要定義方向(流入和流出的資料都需要獲得權限)。 C - 防火牆模式(位於「選項系統防火牆模式」) 保持預設值設定「增強」,不建議作改動。 |
Outpost防火牆套用技巧攻略- -
常在河邊走,哪有不濕鞋。經常上網的朋友大都有過被黑客、病毒攻擊的經歷,於是自己的一些諸如郵信箱帳號、QQ密碼、論壇帳號等重要資料就存在被竊取的危險。而在更多的情況下,則往往會發生系統不斷重啟、無顯示甚至系統癱瘓等現象。 為了防止這些惡意攻擊,一款好用的防火牆自然必不可少,比如大家所熟知的「天網防火牆」、「瑞星個人防火牆」、「諾頓防火牆」等。不過今天我要給大家介紹一款小巧易用而功能又很強大的工具,它便是「Outpost Firewall」。它除了能夠預防來自Cookies、廣告、電子郵件病毒、後門木馬、間諜軟體、廣告軟體和其他 Internet潛在的危險外,還可以利用插件去讓功能得到進一步拓展,使該款產品更加超值。 本機高速下載Outpost Firewall 一、Outpost Firewall的基本套用方法 將該防火牆安裝後,軟體會要求進行「自動組態個人防火牆規則」,一般選項「自動組態防火牆規則」即可;而在下一步的「網路組態」中,一般可以選項「使用自動組態規則」,當完成這些後,必須重新啟動操作系統。 步驟1 重啟系統後,它就開始發揮作用了,在啟動程序中若某個程序需要連接網路,那麼便會彈出有關為該程序新增規則的對話視窗。在該對話視窗中,我們可以從對話視窗的標題名稱或者頁面上的程序名稱,瞭解到該程序到底為何種程序。 防火牆規則設定 步驟2 如果該程序值得信任,用戶也對它非常瞭解,那麼只要點選「允許這個應用程式的所有動作」選項,就可以讓該程序順利通過防火牆的驗證;若是用戶得知該程序具有一定的危害性,那麼不妨點選「擋截這個應用程式的所有動作」選項,這種該程序就不會再與網路發生連接關係。 步驟3 若是用戶對該程序不甚瞭解,那麼不妨按下「本次允許」或「本次擋截」按鈕,去臨時允許或攔截該程序的連網動作。當瞭解了該程序的具體內容及作用後,便可為其設定永久性的動作。當設定完成後,按下「確定」按鈕即可。 二、更改防火牆執行模式 之所以會彈出上述新增規則對話視窗,這是因為「Outpost Firewall」預設值的執行模式是「規則嚮導模式」。如果你對頻頻彈出的新增規則對話視窗感到厭煩,那麼不妨雙按系統中的防火牆圖示開啟其主界面,依次開啟主表單「選項→執行模式」選項指令,在彈出的對話視窗中便可更改防火牆的執行模式。 更改執行模式 其中按下「禁用模式」選項,便可讓防火牆失去作用,當前系統便不會受到防火牆的任何防護;按下「允許大部分通訊模式」選項,那些沒有被禁止的通訊都可允許出入本地機系統;按下「禁止大部分通訊模式」選項,則可讓所有沒有被允許的通訊禁止出入本地機系統;而按下「停止通訊模式」,就可以使本地機與網路的連接完全中斷連線。 三、為程序「量身定做」通訊方式 在選項防火牆的執行模式時,我們發現「允許的通訊」和「禁止的通訊」這些表述,那麼到底在哪裡才能設定這些「允許的通訊」和「禁止的通訊」呢?為了便於說明,我們以禁止和允許QQ應用程式進行通訊為例。 1、禁止QQ通訊 步驟1 在開啟的主界面中,依次開啟「選項→應用程式」選項指令,在出現的對話視窗中選「禁止的應用程式」選項。 步驟2 按下「增加」按鈕,在開啟的視窗中選項QQ主程序,即可將QQ程序增加到「禁止的應用程式」中,然後按下「確定」按鈕。此時若再次登入QQ,便會發現QQ已經無法登入了。 禁止和允許執行的程序 2、允許QQ通訊 步驟1 若打算讓QQ登入成功「復活」,那麼可在「禁止的應用程式」區域中選QQ程序,而後按下「移除」按鈕,就可以將QQ程序從「禁止的應用程式」移除。 步驟2 選「部分允許的應用程式」選項,按下「增加」按鈕,選項QQ主程序進行增加,在增加時會彈出一個規則對話視窗,只要按下「確定」按鈕,便可將QQ程序添入其中。 當再次執行QQ程序時,便會彈出一個「為QQ.EXE新增規則」對話視窗。如果你只打算暫時執行QQ,那麼可按下「本次允許」按鈕,這樣便可臨時讓QQ登入。當QQ成功登入後,我們會發現QQ的程序名稱仍保留在「部分允許的應用程式」區域中。 為某個應用程式新增規則 如果在新增規則時,直接點選「允許這個應用程式的所有動作」選項,按下「確定」按鈕,那麼在「部分允許的應用程式」中就不會再發現QQ的主程序名稱,此時它會被移至「信任的應用程式」區域中。 設定信任的應用程式 而用戶若是需要一直套用某個程序去進行通訊,那麼不妨選項「信任的應用程式」選項,按下「增加」按鈕直接將該程序加入其中,這樣便不會再彈出要求為該程序新增規則的對話視窗了。 以上是「Outpost Firewall」的基本套用方法,當學會這些方法後,新手朋友們就可以借助它為自己的電腦構築一道防火牆了。 四、關閉危險的連接阜 如今網路上各種病毒層出不窮,特別是一些蠕蟲病毒,當這些蠕蟲成功入侵後,便會開啟某些連接阜,繼續侵入網路內其他主機,並對本地機系統造成種種危害。而我們的應對之法便是將那些連接阜關閉,就可以杜絕病毒的入侵。在此以關閉「衝擊波」病毒攻擊的常用連接阜「135」為例。 步驟1 依次開啟主界面「選項→系統」選項指令,在開啟的頁面中會看到「系統和應用程式全局規則」區域。 關閉危險的連接阜 步驟2 在該區域中按下「設定」按鈕,在跳出的「系統和應用程式全局規則」的對話視窗中按下「增加」按鈕,此時又會出現「規則」對話視窗。 步驟3 在該對話視窗的「選項規則要處理的事件」區域中,分別勾選「當指定的傳輸協定是」和「當指定的方向是」前的複選框,此時會在「規則描述」區域中出現相應的規則。 Outpost防火牆的規則描述,類似Outlook 步驟4 按下「當傳輸協定是」後的「未定義」連接,由於我們打算關閉的135連接阜,所以可以在彈出的「選項傳輸協定」對話視窗中點選「TCP」; 關閉某項傳輸協定 按下「並且當方向是」後的「未定義」連接,由於病毒是從外入侵本地機,所以可以「方向」對話視窗中點選「入站:從遠端主機到你的電腦」,按下「確定」按鈕完成設定。 出站和入站設定 步驟5 此時再次返回「規則」對話視窗,勾選「當指定的本機連接阜是」前的複選框,按下「規則描述」區域中「並且當本機連接阜是」後的「未定義」連接,此時會開啟「選項本地機連接阜」對話視窗。在該對話視窗中的輸入框裡輸入打算關閉的連接阜號,比如「135」。若想增加其它連接阜號,只要在輸入時用逗號將它們分隔開即可。 本地機連接阜 步驟6 在「選項規則要處理的事件」區域中,還可勾選「當指定的時間間隔是」選項,然後按下「規則描述」區域中「並且活動時間段是」後的「未定義」連接,在彈出的「規則有效時間」對話視窗中,可指定在某個時間段內才執行該項安全規則。 步驟7 在「規則」對話視窗的「選項規則要回應的操作」區域中,勾選「禁止」和「全狀態檢測」前的複選項,在「規則名稱」一欄中輸入自訂的名稱,比如「關閉135」,最後按下「確定」按鈕就可以了。 規則設定五、通透瞭解網路通訊情況 如果用戶想獲悉自己的系統中進行了哪些通訊以及開啟了哪些連接阜,在「Outpost Firewall」中同樣可以非常方便地瞭解到相關資訊。 在主界面的左側列表中,按下「網路活動」選項,即可在下方展出當前正在通訊的程序。在程序中按下滑鼠右鍵,便可在出現的右鍵表單中為它設定相應的通訊規則,同時在右側視窗中,則會顯現出更為詳盡的網路活動訊息。而選進行通訊的程序,還可以單獨列出有關該程序的工作名稱、遠端位址、遠端連接阜等更為詳細的網路活動訊息。 檢視開啟了哪些連接阜 按下左側列表中的「已開啟的連接阜」選項,就會在其下方展開當前開啟的連接阜號及傳輸協定,在右側視窗中則可以列出包括工作名稱、近端網址、本機連接阜和傳輸協定等詳細的訊息。雙按工作名稱,還可以列出該進行的開始時間及持續時間。 檢視開啟了哪些連接阜 六、強大的插件功能 在瀏覽網頁、收發郵件時,可能會存在能對系統造成危害的某些指令碼和附件,對此我們可以利用「Outpost Firewall」預設值的插件去做好預防工作。 在程序主界面中,依次開啟主表單「選項→插件設定」選項,在出現的對話視窗中選項「Attachment Quarantine」和「Active Content」選項,然後按下「啟動」按鈕,就可以使過濾插件生效。這樣便可有效防範某些指令碼和附件的危害了。 插件設定 「Outpost Firewall」所原有的的插件共有六項,我們還可以對它們進行一系列設定去實現自己要求,比如為防止使用本地機的用戶去搜尋那些不健康的網頁,我們可以對搜尋關鍵詞進行過濾。 步驟1 在「Outpost Firewall」主界面中,按下左側列表中的「插件」選項,在展開的下級表單中選項「內容過濾」選項。在該選項上按下滑鼠右鍵,選項右鍵表單上的「內容」選項。 內容過濾內容 步驟2 在彈出的「內容內容」對話視窗中按下「過濾關鍵字」選擇項,勾選頁面中的「過濾包含指定關鍵字的內容」,在文本項中輸入打算過濾的關鍵字後,按下「增加」按鈕,最後按下」「確定」按鈕結束。 指定要過濾的關鍵字內容 當此時再利用所禁止的關鍵字進行搜尋時,便會出現「因為含有不受歡迎的內容,該頁面禁止訪問。」的提示。 指定過濾關鍵字後,開啟含有該關鍵字頁面時的效果 除了以上所述之外,「Outpost Firewall」還有不少有用的功能,因篇幅所限,在此就不一一列舉了,有興趣的朋友不妨試用一番。 |
木馬/黑客常用連接阜資料庫文件,使用outpost的朋友可以對照檢查
-木馬/黑客常用連接阜資料庫文件 木馬/黑客常用連接阜資料庫文件 以下指出網路通信中最常用的幾個連接阜: 用於FTP(文件傳輸傳輸協定)的連接阜:21; 用於TELNET(遠端登入傳輸協定)的連接阜:23; 用於SMTP(郵件傳輸傳輸協定)的連接阜:25; 用於DNS(域名服務,即域名與IP之間的轉換)的連接阜:53; 用於HTTP(超文本傳輸傳輸協定)的連接阜:80; 用於POP3(電子郵件的一種接收傳輸協定)的連接阜:110; 用於ADSL(寬瀕路由器)的連接阜:254; WINDOWS中開放的連接阜:139; 除此之外,若還有其他連接阜開放,就應引起重視,進一步判斷是否為木馬入侵。 以下列出幾個流行的木馬所使用的通信連接阜(有的木馬連接阜可以重定義,下面只是其預設值連接阜): � 格式為:傳輸協定 連接阜號=木馬/黑客名稱 TCP2=Death TCP7=Echo TCP12=Bomber TCP16=Skun TCP17=Skun TCP18=消息傳輸傳輸協定,skun TCP20=FTP Data TCP21=文件傳輸,Blade Runner,Doly Trojan,Fore,FTP trojan,Invisible FTP,Larva, WebEx,WinCrash TCP22=遠端登入傳輸協定 TCP23=遠端登入(Telnet),Tiny Telnet Server (= TTS) TCP25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy, Haebu Coceda TCP27=Assasin TCP28=Amanda TCP29=MSG ICP TCP30=Agent 40421 TCP31=Agent 31,Hackers Paradise,Masters Paradise,Agent 40421 TCP37=Time,ADM worm TCP39=SubSARI TCP41=DeepThroat,Foreplay TCP42=Host Name Server TCP43=WHOIS TCP44=Arctic TCP48=DRAT TCP49=主機登入傳輸協定 TCP50=DRAT TCP51=Fuck Lamers Backdoor TCP52=MuSka52,Skun TCP53=DNS,Bonk (DOS Exploit) TCP54=MuSka52 TCP58=DMSetup TCP59=DMSetup TCP66=AL-Bareki TCP69=W32.Evala.Worm,BackGate Kit,Nimda,Pasana,Storm,Storm worm,Theef TCP70=Gopher服務,ADM worm TCP79=用戶查詢(Finger),Firehotcker,ADM worm TCP80=超文本伺服器(Http),Executor,RingZero TCP81=Chubo TCP99=Hidden Port TCP 108=SNA網路閘道訪問伺服器 TCP 109=Pop2 TCP 110=電子郵件(Pop3),ProMail TCP 113=Kazimas, Auther Idnet TCP 115=簡單文件傳輸傳輸協定 TCP 118=SQL Services, Infector 1.4.2 TCP 119=Newsgroup(Nntp), Happy 99 TCP 121=JammerKiller, Bo jammerkillah TCP 123=Net Controller TCP 129=Password Generator Protocol TCP 123=Net Controller TCP 133=Infector 1.x TCP 137=NetBios-NS TCP 138=NetBios-DGN TCP 139=NetBios-SSN TCP 143=IMAP TCP 146=FC Infector,Infector TCP 161=Snmp TCP 162=Snmp-Trap TCP 170=A-Trojan TCP 194=Irc TCP 256=Nirvana TCP 315=The Invasor TCP 420=Breach TCP 421=TCP Wrappers TCP 456=Hackers paradise,FuseSpark TCP 531=Rasmin TCP 555=Ini-Killer,Phase Zero,Stealth Spy TCP 605=SecretService TCP 606=Noknok8 TCP 661=Noknok8 TCP 666=Attack FTP,Satanz Backdoor,Back Construction,Dark Connection Inside 1.2 TCP 667=Noknok7.2 TCP 668=Noknok6 TCP 692=GayOL TCP 777=AIM Spy TCP 808=RemoteControl,WinHole TCP 815=Everyone Darling TCP 911=Dark Shadow TCP 999=DeepThroat TCP1000=Der Spaeher TCP1001=Silencer,WebEx,Der Spaeher TCP1003=BackDoor TCP1010=Doly TCP1011=Doly TCP1012=Doly TCP1015=Doly TCP1020=Vampire TCP1024=NetSpy.698(YAI) TCP1025=NetSpy.698 TCP1033=Netspy TCP1042=Bla TCP1045=Rasmin TCP1047=GateCrasher TCP1050=MiniCommand TCP1080=Wingate TCP1090=Xtreme, VDOLive TCP1095=Rat TCP1097=Rat TCP1098=Rat TCP1099=Rat TCP1170=Psyber Stream Server,Streaming Audio trojan,Voice TCP1200=NoBackO TCP1201=NoBackO TCP1207=Softwar TCP1212=Nirvana,Visul Killer TCP1234=Ultors TCP1243=BackDoor-G, SubSeven, SubSeven Apocalypse TCP1245=VooDoo Doll TCP1269=Mavericks Matrix TCP1313=Nirvana TCP1349=BioNet TCP1441=Remote Storm TCP1492=FTP99CMP(BackOriffice.FTP) TCP1509=Psyber Streaming Server TCP1600=Shivka-Burka TCP1703=Exloiter 1.1 TCP1807=SpySender TCP1966=Fake FTP 2000 TCP1976=Custom port TCP1981=Shockrave TCP1999=BackDoor, TransScout TCP2000=Der Spaeher,INsane Network TCP2001=Transmisson scout TCP2002=Transmisson scout TCP2003=Transmisson scout TCP2004=Transmisson scout TCP2005=TTransmisson scout TCP2023=Ripper,Pass Ripper,Hack City Ripper Pro TCP2115=Bugs TCP2121=Nirvana TCP2140=Deep Throat, The Invasor TCP2155=Nirvana TCP2208=RuX TCP2255=Illusion Mailer TCP2283=HVL Rat5 TCP2300=PC Explorer TCP2311=Studio54 TCP2565=Striker TCP2583=WinCrash TCP2600=Digital RootBeer TCP2716=Prayer Trojan TCP2801=Phineas Phucker TCP2989=Rat TCP3024=WinCrash trojan TCP3128=RingZero TCP3129=Masters Paradise TCP3150=Deep Throat, The Invasor TCP3210=SchoolBus TCP3456=Terror TCP3459=Eclipse 2000 TCP3700=Portal of Doom TCP3791=Eclypse TCP3801=Eclypse TCP4000=騰訊OICQ客戶端 TCP4092=WinCrash TCP4242=VHM TCP4321=BoBo TCP4444=Prosiakft remote TCP4567=File Nail TCP4590=ICQTrojan TCP4950=ICQTrojan TCP5000=WindowsXP伺服器,Blazer 5,Bubbel,Back Door Setup,Sockets de Troie TCP5001=Back Door Setup, Sockets de Troie TCP5011=One of the Last Trojans (OOTLT) TCP5031=Firehotcker,Metropolitan,NetMetro TCP5032=Metropolitan TCP5190=ICQ Query |
TCP5321=Firehotcker
TCP5333=Backage Trojan Box 3 TCP5343=WCrat TCP5400=Blade Runner, BackConstruction1.2 TCP5401=Blade Runner,Back Construction TCP5402=Blade Runner,Back Construction TCP5471=WinCrash TCP5521=Illusion Mailer TCP5550=Xtcp,INsane Network TCP5555=ServeMe TCP5556=BO Facil TCP5557=BO Facil TCP5569=Robo-Hack TCP5598=BackDoor 2.03 TCP5631=PCAnyWhere data TCP5637=PC Crasher TCP5638=PC Crasher TCP5698=BackDoor TCP5714=Wincrash3 TCP5741=WinCrash3 TCP5742=WinCrash TCP5881=Y3K RAT TCP5882=Y3K RAT TCP5888=Y3K RAT TCP5889=Y3K RAT TCP5900=WinVnc,華訊VGA廣播伺服器 TCP6000=Backdoor.AB TCP6006=Noknok8 TCP6272=SecretService TCP6267=廣外女生 TCP6400=Backdoor.AB,The Thing TCP6500=Devil 1.03 TCP6661=Teman TCP6666=TCPshell.c TCP6667=NT Remote Control,華訊視瀕接收連接阜 TCP6668=華訊視瀕廣播伺服器 TCP6669=Vampyre TCP6670=DeepThroat TCP6711=SubSeven TCP6712=SubSeven1.x TCP6713=SubSeven TCP6723=Mstream TCP6767=NT Remote Control TCP6771=DeepThroat TCP6776=BackDoor-G,SubSeven,2000 Cracks TCP6789=Doly Trojan TCP6838=Mstream TCP6883=DeltaSource TCP6912=Shit Heep TCP6939=Indoctrination TCP6969=GateCrasher, Priority, IRC 3 TCP6970=GateCrasher TCP7000=Remote Grab,NetMonitor,SubSeven1.x TCP7001=Freak88 TCP7201=NetMonitor TCP7215=BackDoor-G, SubSeven TCP7001=Freak88,Freak2k TCP7300=NetMonitor TCP7301=NetMonitor TCP7306=NetMonitor TCP7307=NetMonitor, ProcSpy TCP7308=NetMonitor, X Spy TCP7323=Sygate伺服器端 TCP7424=Host Control TCP7597=Qaz TCP7609=Snid X2 TCP7626=冰河 TCP7777=The Thing TCP7789=Back Door Setup, ICQKiller TCP7983=Mstream TCP8000=XDMA, 騰訊OICQ伺服器端 TCP8010=Logfile TCP8080=WWW 代理,Ring Zero,Chubo TCP8787=BackOfrice 2000 TCP8897=Hack Office,Armageddon TCP8989=Recon TCP9000=Netministrator TCP9325=Mstream TCP9400=InCommand TCP9401=InCommand TCP9402=InCommand TCP9872=Portal of Doom TCP9873=Portal of Doom TCP9874=Portal of Doom TCP9875=Portal of Doom TCP9876=Cyber Attacker TCP9878=TransScout TCP9989=Ini-Killer TCP9999=Prayer Trojan TCP 10067=Portal of Doom TCP 10084=Syphillis TCP 10085=Syphillis TCP 10086=Syphillis TCP 10101=BrainSpy TCP 10167=Portal Of Doom TCP 10520=Acid Shivers TCP 10607=Coma trojan TCP 10666=Ambush TCP 11000=Senna Spy TCP 11050=Host Control TCP 11051=Host Control TCP 11223=Progenic,Hack '99KeyLogger TCP 11831=TROJ_LATINUS.SVR TCP 12076=Gjamer, MSH.104b TCP 12223=Hack?9 KeyLogger TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill TCP 12346=GabanBus, NetBus, X-bill TCP 12349=BioNet TCP 12361=Whack-a-mole TCP 12362=Whack-a-mole TCP 12456=NetBus TCP 12623=DUN Control TCP 12624=Buttman TCP 12631=WhackJob, WhackJob.NB1.7 TCP 12701=Eclipse2000 TCP 12754=Mstream TCP 13000=Senna Spy TCP 13010=Hacker Brazil TCP 13013=Psychward TCP 13700=Kuang2 The Virus TCP 14456=Solero TCP 14500=PC Invader TCP 14501=PC Invader TCP 14502=PC Invader TCP 14503=PC Invader TCP 15000=NetDaemon 1.0 TCP 15092=Host Control TCP 15104=Mstream TCP 16484=Mosucker TCP 16660=Stacheldraht (DDoS) TCP 16772=ICQ Revenge TCP 16969=Priority TCP 17166=Mosaic TCP 17300=Kuang2 The Virus TCP 17490=CrazyNet TCP 17500=CrazyNet TCP 17569=Infector 1.4.x + 1.6.x TCP 17777=Nephron TCP 18753=Shaft (DDoS) TCP 19864=ICQ Revenge TCP 20000=Millennium II (GrilFriend) TCP 20001=Millennium II (GrilFriend) TCP 20002=AcidkoR TCP 20034=NetBus 2 Pro TCP 20203=Logged,Chupacabra TCP 20331=Bla TCP 20432=Shaft (DDoS) TCP 21544=Schwindler 1.82,GirlFriend TCP 21554=Schwindler 1.82,GirlFriend,Exloiter 1.0.1.2 TCP 22222=Prosiak,RuX Uploader 2.0 TCP 23432=Asylum 0.1.3 TCP 23456=Evil FTP, Ugly FTP, WhackJob TCP 23476=Donald Dick TCP 23477=Donald Dick TCP 23777=INet Spy TCP 26274=Delta TCP 26681=Spy Voice TCP 27374=Sub Seven 2.0+ TCP 27444=Tribal Flood Network,Trinoo TCP 27665=Tribal Flood Network,Trinoo TCP 29431=Hack Attack TCP 29432=Hack Attack TCP 29104=Host Control TCP 29559=TROJ_LATINUS.SVR TCP 29891=The Unexplained TCP 30001=Terr0r32 |
TCP 30003=Death,Lamers Death
TCP 30029=AOL trojan TCP 30100=NetSphere 1.27a,NetSphere 1.31 TCP 30101=NetSphere 1.31,NetSphere 1.27a TCP 30102=NetSphere 1.27a,NetSphere 1.31 TCP 30103=NetSphere 1.31 TCP NetSphere Final TCP 30303=Sockets de Troie TCP 30947=Intruse TCP 30999=Kuang2 TCP 21335=Tribal Flood Network,Trinoo TCP 31336=Bo Whack TCP 31337=Baron Night,BO client,BO2,Bo Facil,BackFire,Back Orifice,DeepBO,Freak2k,NetSpy TCP 31338=NetSpy,Back Orifice,DeepBO TCP 31339=NetSpy DK TCP 31554=Schwindler TCP 31666=BOWhack TCP 31778=Hack Attack TCP 31785=Hack Attack TCP 31787=Hack Attack TCP 31789=Hack Attack TCP 31791=Hack Attack TCP 31792=Hack Attack TCP 32100=PeanutBrittle TCP 32418=Acid Battery TCP 33333=Prosiak,Blakharaz 1.0 TCP 33577=Son Of Psychward TCP 33777=Son Of Psychward TCP 33911=Spirit 2001a TCP 34324=BigGluck,TN,Tiny Telnet Server TCP 34555=Trin00 (Windows) (DDoS) TCP 35555=Trin00 (Windows) (DDoS) TCP 37651=YAT TCP 40412=The Spy TCP 40421=Agent 40421,Masters Paradise.96 TCP 40422=Masters Paradise TCP 40423=Masters Paradise.97 TCP 40425=Masters Paradise TCP 40426=Masters Paradise 3.x TCP 41666=Remote Boot TCP 43210=Schoolbus 1.6/2.0 TCP 44444=Delta Source TCP 47252=Prosiak TCP 47262=Delta TCP 47878=BirdSpy2 TCP 49301=Online Keylogger TCP 50505=Sockets de Troie TCP 50766=Fore, Schwindler TCP 51966=CafeIni TCP 53001=Remote Windows Shutdown TCP 53217=Acid Battery 2000 TCP 54283=Back Door-G, Sub7 TCP 54320=Back Orifice 2000,Sheep TCP 54321=School Bus .69-1.11,Sheep, BO2K TCP 57341=NetRaider TCP 58339=ButtFunnel TCP 60000=Deep Throat TCP 60068=Xzip 6000068 TCP 60411=Connection TCP 60606=TROJ_BCKDOR.G2.A TCP 61466=Telecommando TCP 61603=Bunker-kill TCP 63485=Bunker-kill TCP 65000=Devil, DDoS TCP 65432=Th3tr41t0r, The Traitor TCP 65530=TROJ_WINMITE.10 TCP 65535=RC UDP146=Infector UDP1025=Maverick's Matrix 1.2 - 2.0 UDP1026=Remote Explorer 2000 UDP1027=Trojan.Huigezi.e UDP1028=KiLo,SubSARI UDP1029=SubSARI UDP1031=Xot UDP1032=Akosch4 UDP1104=RexxRave UDP1111=Daodan UDP1116=Lurker UDP1122=Last 2000,Singularity UDP1183=Cyn,SweetHeart UDP1200=NoBackO UDP1201=NoBackO UDP1342=BLA trojan UDP1344=Ptakks UDP1349=BO dll UDP1561=MuSka52 UDP1772=NetControle UDP1978=Slapper UDP1985=Black Diver UDP2000=A-trojan,Fear,Force,GOTHIC Intruder,Last 2000,Real 2000 UDP2001=Scalper UDP2002=Slapper UDP2130=Mini BackLash UDP2140=Deep Throat,Foreplay,The Invasor UDP2222=SweetHeart, Way UDP2339=Voice Spy UDP2702=Black Diver UDP2989=RAT UDP3150=Deep Throat UDP3215=XHX UDP3333=Daodan UDP3801=Eclypse UDP3996=Remote Anything UDP4128=RedShad UDP4156=Slapper UDP5419=DarkSky UDP5503=Remote Shell Trojan UDP5555=Daodan UDP5882=Y3K RAT UDP5888=Y3K RAT UDP6112=Battle.net Game UDP6666=KiLo UDP6667=KiLo UDP6766=KiLo UDP6767=KiLo,UandMe UDP6838=Mstream Agent-handler UDP7028=未知木馬 UDP7424=Host Control UDP7788=Singularity UDP7983=MStream handler-agent UDP8012=Ptakks UDP8090=Aphex's Remote Packet Sniffer UDP8127=9_119,Chonker UDP8488=KiLo UDP8489=KiLo UDP8787=BackOrifice 2000 UDP8879=BackOrifice 2000 UDP9325=MStream Agent-handler UDP 10000=XHX UDP 10067=Portal of Doom UDP 10084=Syphillis UDP 10100=Slapper UDP 10167=Portal of Doom UDP 10498=Mstream UDP 10666=Ambush UDP 11225=Cyn UDP 12321=Protoss UDP 12345=BlueIce 2000 UDP 12378=W32/Gibe@MM UDP 12623=ButtMan,DUN Control UDP 15210=UDP remote shell backdoor server UDP 15486=KiLo UDP 16514=KiLo UDP 16515=KiLo UDP 18753=Shaft handler to Agent UDP 20433=Shaft UDP 21554=GirlFriend UDP 22784=Backdoor.Intruzzo UDP 23476=Donald Dick UDP 25123=MOTD UDP 26274=Delta Source UDP 26374=Sub-7 2.1 UDP 26444=Trin00/TFN2K UDP 26573=Sub-7 2.1 UDP 27184=Alvgus trojan 2000 UDP 27444=Trinoo UDP 29589=KiLo UDP 29891=The Unexplained UDP 30103=NetSphere UDP 31320=Little Witch UDP 31335=Trin00 DoS Attack UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO UDP 31338=Back Orifice, NetSpy DK, DeepBO UDP 31339=Little Witch UDP 31340=Little Witch UDP 31416=Lithium UDP 31787=Hack aTack UDP 31789=Hack aTack UDP 31790=Hack aTack UDP 31791=Hack aTack UDP 33390=未知木馬 UDP 34555=Trinoo UDP 35555=Trinoo UDP 43720=KiLo UDP 44014=Iani UDP 44767=School Bus UDP 46666=Taskman UDP 47262=Delta Source UDP 47785=KiLo UDP 49301=OnLine keyLogger UDP 49683=Fenster UDP 49698=KiLo UDP 52901=Omega UDP 54320=Back Orifice UDP 54321=Back Orifice 2000 UDP 54341=NetRaider Trojan UDP 61746=KiLO UDP 61747=KiLO UDP 61748=KiLO UDP 65432=The Traitor |
我也是Outpost的使用者,一直苦於設定上的問題不解
哈哈 ~ 你的文章正好可以學習 不過得花一段時間 感謝分享!! |
Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆,佔用資源相對較小,設定靈活方便,穩定強悍,可以算得上個人防火牆中的佼佼者了。東西雖好,可是很多人在使用中只是讓軟體的預設設定在發揮作用,而防火牆的預設設定往往更側重於相容性方面的考慮,想讓防火牆更好的發揮作用,就需要你根據自己的網路情況作出調整和組態。正好官方論壇中有一篇相關文章,編譯出來和大家一起學習交流。特此感謝原作者和Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。
導論: 本文是為了說明 Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟體喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊,對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。 因為本文涉及到了對預設規則的調整,用戶最好事先對Outpost防火牆已經有一定熟悉度(按:並且最好對一些基本的網路知識和術語也有所瞭解)。 安全性和方便性永遠無法兩全,這就需要你根據自己的實際情況做出取捨-下文中一些改動可能需要你完成大量的調整工作,也會讓你的某些行為(如更換ISP)變得困難的多。某些(尤其是商業企業的)網路環境可能會導致文中某些部分出現問題,請在實施改動前詳 細閱讀各個項目的優點和缺點-如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試,分析Outpost的相關日誌(尤其是被禁止連接的日誌),以便做出進一步的決策。本文中的推薦更多是關於安全性而不是方便性的考慮。 最後,請注意本我的文件並不是出自Agnitum公司,Agnitum公司也不對本文進行技術支持,相關問題和討論請在Outpost防火牆論壇提出,而不要與Agnitum公司直接聯繫。 Outpost免費版用戶注意: 文中涉及的設定沒有在免費版中進行測試,某些部分(如關於全局規則設定的D小節)也無法佈署(由於免費版中全局規則只能被禁用而無法修改),而某些特性(如元件控制)也是在Outpost Pro v2以後才出現的,然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。 A - 區域網路設定(位於「選項系統區域網路設定設定」) 改動收益:通過限制特權用戶的連接來提高安全性。 付出代價:需要進行更多的設定和維護工作,尤其是對大型區域網路來說。 本設定指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說,這裡列出的IP段越少越好,因為對這些位址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。(請查閱Outpost Rules Processing Order獲知詳情) 對非區域網路用戶來說,本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設定」的鉤選以防止Outpost自動增加預設設定。 本部分設定只須處於如下環境的微機加以考慮: ● 位於區域網路(LAN)中,並且帶有需要共享的文件或者列印機的微機; ● 位於區域網路中並且需要通過網路應用程式進行連接,但是無法通過應用程式規則設定完成工作的微機; ● 位於網際網路連接共享網路閘道上的微機,其應將每一個共享客戶端的IP位址列為可信任位址。請查閱LAN and DNS settings for V2獲知詳情。 上述任一種情況下由Outpost提供的預設網路設定都是過於寬鬆的,因為它總是假設同一網路中的任何微機都應該被包括在內。 步驟: ● 取消鉤選「自動檢測新的網路設定」以防止Outpost自動增加新的設定。注意如果日後安裝了新的網路卡,在此項禁止的情況下新的位址需要手動增加進去。 ● 逐個增加每個PC的位址(所增加項隨後會以帶網路掩碼255.255.255.255的形式出現)。網際網路位址絕不應該出現在該位置。 ● 鉤選涉及到文件列印機共享的微機後面的「NetBIOS」選項。 ● 鉤選涉及到網路應用程式的微機後面的「信任」選項。 如果你位於一個大型區域網路內,逐個列出每個微機就是不太現實的了,此時一個可用的方案就是用Blockpost插件列出IP段然後遮閉該IP段中不需要的位址(Blockpost插件允許用戶定義任意IP段,這是Outpost現階段還做不到的)。 請注意區域網路內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題(尤其是Windows網路中存在Browse Master和Domain Controller的情況下),請在本文F4部分搜尋通過插件設定避免問題的詳細內容。 B – ICMP設定(位於「選項系統ICMP設定」) ICMP(Internet Control Message Protocol)是用於傳送診斷訊息與出錯資訊的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。 該部分預設設定允許如下活動: ● 通過Ping指令進行的基本網路連接測試(由Echo Request Out和Echo Reply In實現) - 對本地機進行的Ping將被攔截以掩藏本地機的在線狀態。 ● 對探測者顯示本地機網路位址不可用(由Destination Unreachable In and Out 實現)。 ● 對探測者顯示本地機位址無法連接(由流入資料超時而引起),該類連接由Tracert指令發起-進入類跟蹤路由企圖將被攔截以掩藏本地機在線狀態。 本項的預設設定對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定檔案類型的掃瞄中會暴露你微機的存在(絕大部分已被Outpost攔截),所以對該項的改動可以讓你的微機的隱匿性更強。 改動收益:使你的微機逃過某些可以避開Outpost檢測的掃瞄。 付出代價:在某些情況下(如緩慢的DNS回應)Destination Unreachables訊息的傳送是合法的,此時就會顯示為被遮閉,結果就是可能導致一些網路應用程式的延遲和超時(如P2P軟體)。 步驟: ● 取消對「Destination Unreachable 」Out的鉤選。 如果你在執行Server程序,那麼對Ping和Tracert指令的回應可能就是需要的。一些網際網路服務提供商(ISP)可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。 改動收益:允許用戶檢查與Server之間的連接和網路效能,這些可能是某些ISP要求實現的。 付出代價:讓你的系統處於被Denial-of-Service(DoS)攻擊的危險之中。 步驟: ●鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的回應。 ●鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的回應。 可選步驟:上述做法會使本地機對任意位址的Ping和Tracert指令做出回應,還有一個可選的方案是用一個全局規則來實現只允許來自可信任位址的ICMP訊息-但是這樣會導致其漠視Outpost的ICMP設定而允許所有的ICMP訊息流通。然而當特定 位址已知時,這樣做也未嘗不可。通過如下步驟實現: ●新增一個如下設定的全局規則: Allow Trusted ICMP:指定的傳輸協定IP 檔案類型ICMP,指定的遠端主機 <填入受信IP位址>,允許 注意該規則不要定義方向(流入和流出的資料都需要獲得權限)。 C - 防火牆模式(位於「選項系統防火牆模式」) 保持預設設定「增強」,不建議作改動。 D-系統和應用程式全局規則(位於「選項系統系統和應用程式全局規則」) D1-指定DNS伺服器位址 DNS(Domain Name System)是通過域名來確定IP位址的一種方法(如 otupostfirewall.com 的IP位址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities)。因為連接網站時DNS訊息必須通過防火牆以實現IP位址查詢,一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊位址限定為你的ISP所提供的DNS伺服器,這種偽DNS請求就可以被有效的攔截。有兩 種方法可以完成這項工作: (a). 「全局DNS」設定-把你的ISP的DNS伺服器位址加入到全局規則中 改動收益:通過少量工作即可完成上述工作。 付出代價:如果你通過多家ISP上網,那麼所有的伺服器位址都需要被增加進去-如果你更換了ISP或者ISP更改了它們的伺服器位址,那麼你就需要把新的位址更新進規則中去。如果你有程序或者網路環境需要套用反覆式DNS查詢(Windows環境下通常使 用遞回式查詢,反覆式通常是套用於DNS伺服器之間),那麼組態這條規則就可能會出現問題。 步驟: ●找到你的ISP使用的DNS伺服器位址。最簡單的方法就是在指令行視窗中使用「ipconfig –all」來查詢,Windows 9x/Me/Xp的用戶也可以在開始選單的「執行」對話視窗中使用winipcfg得到相關資訊。 ●把這些位址作為遠端主機位址加入到「Allow DNS Resolving」全局規則中。 Windows 2000/XP用戶還應該把這些位址加到應用程式規則中services.exe/svchost.exe的相關項目中(詳情參見E2部分)。 (b). 「應用程式DNS」設定-移除全局規則,逐個給每個程序增加DNS規則 改動收益:如此一來新增加的程序通常需要兩項規則(DNS規則和程序自身需要的規則)來減少可疑程序在意外情況下的通行。試圖與「老家」通訊的惡意程序現在就面臨著尋找必要IP位址的額外手續,這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到 。只通過DNS連接阜通訊的這類木馬程序現在就必須通過額外規則才可以通行,這也是現在唯一可以遮閉DNShell以及類似洩漏測試的方法。 付出代價:需要完成繁瑣的多的工作-每一個程序都需要增加一條額外的規則。更換ISP後需要把所有規則更新為新的DNS位址。 步驟: ●在Windows 2000和XP環境下,關掉「DNS客戶服務」(通過 開始/控制台/管理選項/服務)。這會強迫每個程序發出自己的DNS請求,而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。 ●停用或者移除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。 ●對每一個程序增加一個新規則,使用下列關鍵字: <軟體名> DNS Resolution:指定傳輸協定UDP,遠端連接阜53,遠端主機<你的ISP的DNS伺服器位址>,允許 可以通過設定本規則為預設規則來簡化工作。步驟如下:中斷連線網路,結束Outpost,開啟preset.lst文件(位於Outpost程式文件夾中)並在文件末尾增加下列規則: ; Application DNS Resolution [Application DNS Resolution] VisibleState: 1 RuleName: Application DNS Resolution Protocol: UDP RemotePort: 53 RemoteHost: 加入你的ISP的DNS伺服器位址,如有多個用逗號分隔 AllowIt 增加該預設規則後,日後碰到增加規則嚮導提示的時候只要選定該預設規則匯入即可(如果你想允許該程序通行的話)。這種情況下,IP位址在「選項/程序」中將以附帶(255.255.255.255)子網路遮罩的形式出現,此即指明了一個 列項的IP位址範圍,其與單獨一個IP位址所起作用相同。注意此時「工具/自動檢查昇級」選項應該被禁用,因為對preset.lst的改動可能被自動更新的文件覆蓋掉(雖然「自動更新」在覆蓋文件以前會提示),一個比較好的辦法是手動制作備份該檔案,然後再進去行更新,更新完畢後如有必要再把備份檔案覆蓋回去。 注意-兩種DNS設定都需要的規則 不管選項上述兩種設定中的哪一種,都需要考慮到一種情況-DNS查詢使用更多的是UDP(User Datagram Protocol)傳輸協定而不是TCP(Transport Control Protocol)傳輸協定。查詢使用到TCP傳輸協定的情況很少見而且通常是複雜查詢-實際使用中通常它們可以被遮閉,因為該查詢會用UDP傳輸協定再次傳送,因此在全局規則中可以增加一條規則如下: Block DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止 如果你想允許此類通訊,那麼或者是修改規則為「允許」(指全局DNS規則)或者是為每一個程序新增第二條DNS規則用TCP取代UDP(應用程式DNS規則)。 報告疑為木馬程序偽裝的DNS活動 任何對已設定DNS伺服器以外位址的查詢都應該被視為可疑活動而在預設情況下被禁止,此時可以在DOS視窗中用ipconfig /all指令來查詢是否ISP的DNS伺服器已改變而需要更新DNS規則設定。 此時可以通過在全局規則中其它DNS規則下方增加如下規則來解決-第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要: Possible Trojan DNS(UDP): 傳輸協定 UDP,遠端連接阜 53,禁止 並且報告 Possible Trojan DNS(TCP): 傳輸協定 TCP,方向 出站,遠端連接阜53,禁止並且報告 該規則會禁止任何可疑的DNS嘗試並且做出報告。注意該規則不推薦採用應用程式DNS設定的用戶使用,因為合法DNS伺服器位址需要從規則中排除以防止誤報(例如當一個沒有設定規則的程序發起請求的時候)-指定IP位址範圍可以解決該問題,但是Outpo st現有對IP段的處理能力並不是很完善。 D2-指定DHCP伺服器位址 DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP位址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊,這也就成為了木馬程序為了在不被探測到的情況下向外傳送訊息所可能採用的一種手段。除此之外,向特定位址用大量的DHCP訊息 進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。 如果你的系統使用固定IP位址(不管是因為位於局內網還是因為使用獲得動態位址的路由器)那麼此部分設定可以略過。想檢查DHCP是否被套用,可以在指令行視窗使用ipconfig /all來查詢-在視窗底部可以得到相關資訊。 限制DHCP通訊到某個特定伺服器比對DNS做出限制要稍微複雜一些,因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向(部分是由於DHCP傳輸協定使用UDP傳輸協定,部分是由於它能包括的IP位址的變化),因此本規則推薦對本機和遠 程連接阜而不是對方向進行限制。另外,第一次DHCP請求是對255.255.255.255位址發出的廣播形式(該通訊應該送達區域網路中所有的主機),因為機器啟動時無從得知DHCP伺服器的位址,後續的DHCP請求(為了更新IP位址分配)才會被傳送到 DHCP伺服器。 Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則(Windows 2000是services.exe,Windows XP是svchost.exe)來進一步限制DHCP通訊,請參考E2部分獲得更詳盡的訊息。 改動收益:防止對DHCP權限的濫用。 付出代價:如果使用多家ISP,每一家都需要單獨設定其伺服器位址。如果更換ISP,相關規則也需要做出更新。某些ISP可能會需要通過多項 列項進行設定-尤其是在其擁有具有多個連接點的大型網路時。 步驟: ●通過ipconfig /all或者winipcfg搜尋得到DHCP伺服器位址。注意DHCP伺服器與DNS伺服器位址通常是不同的。 ●Windows 9x/ME用戶新增全局規則: Allow DHCP Request: 傳輸協定 UDP,遠端位址 <你的ISP的DHCP伺服器位址>,255.255.255.255,遠端連接阜 67,本機連接阜 68,允許 ●Windows 2000/XP用戶新增全局規則: Allow DHCP Broadcast:傳輸協定 UDP,遠端位址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許 因為DHCP伺服器位址可能會發生改變,建議在IP位址分配碰到問題時禁止上述規則中對「遠端位址」的設定-如果一切正常就保留該設定,在重新允許該規則以前驗證並且更新(如有必要)DHCP伺服器位址。DHCP伺服器通常不會作出大範圍的網路轉移,所以 在其位址中使用萬用字元(例如192.168.2.*)可以有效減少該類問題的發生。 D3-禁止「Allow Loopback」規則 預設規則中的「Allow Loopback」全局規則給使用代理伺服器的用戶(例如AnalogX Proxy,Proxomitron,WebWasher以及某些反垃圾/反病毒軟體)帶來了一個極大的安全隱患,因為其允許任何未經指明遮閉的程序使用為代理設定的規則進行網際網路通訊,禁止或者移除該全局規則即可消除隱患。 改動收益:防止未經使用權的程序利用代理伺服器規則進行通訊。 付出代價:任何使用代理伺服器的程序(例如和Proxomitron配合使用的瀏覽器,等等)都需要設定一條額外的規則(其時彈出的規則嚮導中的建議組態在絕大多數情況下已經足夠應付)。 步驟: ●通過「選項系統系統和應用程式全局規則設定」進入全局規則列表 ●通過去除「Allow Loopback」的鉤選來禁止該項規則 D4-禁止不必要的全局規則 預設設定中的某些全局規則並不是很恰當,可以通過去除對其的鉤選來停用。這些規則包括: ●Allow Inbound Authentication - 一個簡陋而且不可靠的檢查網路連接端的規則,很少被用到。如果需要的時候,停用該規則可能會導致登入Email伺服器的延遲。 ●Allow GRE Protocol,Allow PPTP control connection - 這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的,如果沒有此需求可以停用這些規則。 改動收益:防止套用這些連接阜的訊息洩漏。 付出代價:禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲(此時可以重新啟動該規則,並把郵件伺服器增加為遠端位址) 步驟: ●通過「選項系統系統和應用程式全局規則設定」進入全局規則列表 ●清除對相應規則的鉤選 D5-遮閉未使用和未知的傳輸協定 全局規則可以對網際網路傳輸協定(IP)以及TCP和UDP傳輸協定作出限定,對IP涉及到的一系列傳輸協定建議全部加以遮閉,除了下面所述檔案類型: ●ICMP(1)-此傳輸協定通過ICMP相關規則來處理; ●IGMP(2)-多點廣播需要用到(如在線視瀕直播),如果需要套用到該項傳輸協定就不要禁用; ●ESP(50)和AH(51)-IPSec需要套用到這些傳輸協定,所以VPN(Virtual Private Network)用戶不要禁用這些設定。 企業用戶要謹慎處理這些設定-其中一些選項可能是區域網路中路由通訊所必需的。 可以設定一條全局規則來處理這些未知傳輸協定(包括類似IPX或者NetBEUI的傳輸協定)-建議設定該項規則來進行遮閉。 改動收益:防止未來可能經由這些連接阜的訊息洩漏。 付出代價:出於Outpost採用的處理規則的方式,這些改動可能會顯著增大相關處理流程的數量,尤其對於使用文件共享程序或者位於比較繁忙區域網路中的用戶來說。 步驟: 未使用的傳輸協定 ●進入「選項系統系統和應用程式全局規則設定」; ●點選「增加」新增新的全局規則; ●設定指定傳輸協定為IP,此時其後面所跟的「檔案類型」是「未定義」; ●點擊「未定義」進入IP檔案類型列表視窗; ●選定你想要遮閉的檔案類型然後點擊OK; ●設定回應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。 未知傳輸協定 ●進入「選項系統系統和應用程式全局規則設定」; ●點選「增加」新增新的全局規則; ●設定傳輸協定為「未知」,回應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。 E - 應用程式規則 (位於「選項應用程式」) E1-移除位於「信任的應用程式」組中的項目 即使程序需要正常的訪問網際網路,對其通訊不加過問的一律放行也不是明智的做法。某些程序可能會要求比所需更多的連接(浪費帶寬),有的程序會跟「老家」悄悄聯繫洩漏你的隱私訊息。出於這種考慮,應該把「信任的應用程式」組中的項目移入「部分允許的應用程式 」組,並且設定如下所建議的合適的規則。 E2-謹慎設定「部分允許的應用程式」 Outpost的自動組態功能將會給每一個探測到要求連接網路的程序組態預設的規則,然而這些預設規則是從易於使用的角度出發的,所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆組態中最富有挑戰性的部分,由於個人的使用環境和偏 好不同而產生很大的差別。 如果使用了D1部分提及的「應用程式DNS」設定,那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則,請注意這些應用程式規則的優先等級位於全局規則之上,詳情請見Outpost Rules Processing Order一般問題貼。 在規則中使用域名注意事項: 當域名被用作本機或遠端位址時,Outpost會立刻搜尋相應的IP位址(需要DNS連接),如果該域名的IP發生了改變,規則不會被自動更新-域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。 某些域名可能使用了多個IP位址-只有在「選項應用程式」中手動建立的規則Outpost才會自動尋找其所有IP位址,通過規則嚮導建立的規則則不行。因此,通過規則嚮導建立的規則需要重新在「選項應用程式」中手動輸入域名以確保所有IP位址能被找到 。 Svchost.exe(Windows XP系統獨有) Svchost.exe是一個棘手的程序-為了完成一些基本的網路工作它需要進行網際網路連接,但是給它完全的權限又會把系統至於RPC(例如Blaster、Welchia/Nachi等蠕蟲)洩漏的危險之中。給這個程序新增合適的規則也就變得格外的重要。 Allow DNS(UDP):傳輸協定 UDP,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許 Allow DNS(TCP):傳輸協定TCP,方向 出站,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許 Possible Trojan DNS(UDP):傳輸協定 UDP,遠端連接阜 53,禁止並且報告 Possible Trojan DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止並且報告 ●DNS規則 - 可在D1部分中檢視詳情,只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則,因為此時svchost.exe才會進行搜尋工作; ●因為此處只需要一條TCP規則,此規則被設定為「允許」; ●因為某些木馬程序試圖把它們的活動偽裝成DNS查詢,推薦把任何試圖與DNS伺服器以外的位址進行連接的嘗試視為可疑-Trojan DNS規則將報告類似的連接。如果連接是合法的(如果你的ISP更換了DNS伺服器位址這些「允許」規則需要及時進行更新)則對其做出報告很容易導致網路失去連接,此時應該從禁止日誌中查明原因。 Block Incoming SSDP:傳輸協定 UDP,本機連接阜 1900,禁止 Block Outgoing SSDP:傳輸協定 UDP,遠端連接阜 1900,禁止 ●這些規則遮閉了用於在區域網路中搜尋即插即用設備(UPnP)的簡單服務搜尋傳輸協定(SSDP)。由於即插即用設備會導致許多安全問題的出現,如非必要最好還是將其禁用-如果必須使用的話,則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用,即可防止SSDP起作用,所以這些規則是建議組態。 Block Incoming UPnP:傳輸協定 TCP,方向 入站,本機連接阜 5000,禁止 Block Outgoing UPnP:傳輸協定TCP,方向 出站,遠端連接阜 5000,禁止 ●這些規則遮閉了UPnP資料包-如同上面關於SSDP的規則,如果你非常需要UPnP則把規則改為「允許」,可是一定要把UPnP設備的IP位址設為遠端位址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用,即可防止UPnP起作用,所以這些規則是建議組態。 Block RPC(TCP):傳輸協定 TCP,方向 入站,本機連接阜 135,禁止 Block RPC(UDP):傳輸協定 UDP,本機連接阜 135,禁止 ●這些規則實際上是預設的全局規則中關於遮閉RPC/DCOM通訊的規則拷貝-所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接,則把這些規則改為「允許」,不過僅限於信任的遠端位址。 Allow DHCP Request:傳輸協定 UDP,遠端位址 ,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許 ●DHCP規則-請至D2部分檢視詳情(如果使用的是固定IP位址則不需套用此規則-通常只有在私有區域網路內才會如此)。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的-由於套用了最後的「Block Other TCP/UDP」規則,全局DHCP規則此時並不會起作用。 Allow Help Web Access:傳輸協定TCP,方向 出站,遠端連接阜 80,443,允許 ●Windows說明 系統可能會通過svchost.exe發起網路連接-如果你不想使用說明 系統(或者是不希望微軟知道你何時使用的)則可以略過本規則。 Allow Time Synchronisation:傳輸協定 UDP,遠端連接阜 123,遠端位址 time.windows.com,time.nist.gov,允許 ●用於時間同步-只有當你需要用到Windows XP這個特性時才需要新增該規則。 Block Other TCP Traffic:傳輸協定TCP,方向 出站,禁止 Block Other TCP Traffic:傳輸協定 TCP,方向 入站,禁止 Block Other UDP Traffic:傳輸協定 UDP,禁止 ●把這些規則設定在規則列表的最下面-它們會阻止未設定規則的服務的規則向導彈出視窗。未來所增加的任何規則都應該置於這些規則之上。 商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。 Services.exe(Windows 2000系統獨有) Allow DNS(UDP):傳輸協定UDP,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許 Allow DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53, 遠端位址 <你的ISP的DNS伺服器位址>,允許 Possible Trojan DNS(UDP):傳輸協定 UDP,遠端連接阜 53,禁止 並且報告 Possible Trojan DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止 並且報告 ●DNS規則-請至D1部分檢視詳情。只有當「DNS客戶端服務」沒有被停用時才需要上述規則,因為此時services.exe將會接手搜尋工作; ●因為這裡只需要TCP規則,所以操作設定為「允許」; ●與svchost規則一樣,「Possible Trojan」規則在攔截到連接其它位址的企圖時會作出報告。 Allow DHCP Request:傳輸協定 UDP,遠端位址 ,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許 ●DHCP規則-請至D2部分檢視詳情(注意如果使用的是靜態IP則不需設定-通常只有私有區域網路中才會如此)。需要設定的原因同上述svchost.exe。 Block Other TCP Traffic:傳輸協定 TCP,方向 出站,禁止 Block Other TCP Traffic:傳輸協定 TCP,方向 入站,禁止 Block Other UDP Traffic:傳輸協定 UDP,禁止 ●把這些規則列到最下面-它們會阻止未設定的程序的規則嚮導視窗彈出,任何後續增加的規則均需列到這些規則上方。 與上面的svchost.exe一樣,商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。 Outpost 昇級服務 除了DNS規則外,Outpost 2.0不再需要額外的網路連接,Outpost 2.1及後續版本可以從Agnitum下載新聞和插件訊息。套用此功能需要作出如下設定: Allow Outpost News and Plugin Info:傳輸協定 TCP,方向 出站,遠端連接阜 80,遠端位址 http://www.agnitum.com/,允許 還可以使用一條類似的規則用於程序的昇級: Allow Agnitum Update:傳輸協定 TCP,方向 出站,遠端連接阜 80,遠端位址 http://www.agnitum.com/,允許 網路瀏覽器(Internet explorer,NetscapeMozilla,Opera,等) Outpost的自動組態功能以及預設規則為瀏覽器提供了比較寬鬆的設定-對於大多數用戶來說可以將其進一步強化如下: Allow Web Access:傳輸協定 TCP,方向 出站,遠端連接阜80,允許 Allow Secure Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 443,允許 ●上述規則允許了建立標準(HTTP)和加密(HTTPS)網路連接。如果你使用了代理並且想使所有訊息都流經代理,則可考慮將上述規則設為「禁止」,注意此類代理將需要單獨為其設立一條規則(具體設定取決於代理所以此處不再作詳細說明)。 Allow Alternate Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 8000,8010,8080,允許 ●某些網站可能會把連接轉到其它遠端連接阜(比如8080-在URL中以http://domain.comort-number 的形式出現)-建議此規則在網站沒有此類連接無法工作時才加入。 Allow File Transfers:傳輸協定 TCP,方向 出站,遠端連接阜21,允許 ●此規則是為了文件傳輸而設。與「Web Access」的規則一樣,如果你想所有的傳輸都通過代理進行則將此規則設為「禁止」,文件傳輸通常還需要建立進一步的連接-Outpost會自動放行這類連接(詳情可查閱Stateful Inspection FAQ)。 如果瀏覽器還帶有email,新聞組,以及即時通信功能,則還應增加下文中指出的相應規則。 郵件客戶端(Outlook,Eudora,Thunderbird,等) 兩種傳輸協定(相應的也就是兩組規則)可以用於取信和發信。如果你套用代理來讀取及掃瞄郵件的防病毒軟體的話,那麼下面這些規則可能是你需要的-在此情形下客戶端應該只需要一條規則(Email Antivirus Access:傳輸協定 TCP,方向 出站,遠端連接阜 127.0.0.1,允許)來連接防病毒軟體。 此種情形下想建立一套合理的規則有一種簡單方法:讓Outpost在「規則嚮導模式」下執行,使用客戶端收發郵件,在彈出對話視窗中選項「使用預設規則:設定」來為客戶端和防毒軟體的代理建立規則。這樣設定完以後,從「選項應用程式」開啟這條規則手動增加 其它郵件伺服器名-這樣可以獲得具有多IP位址的伺服器的所有位址(規則嚮導對話視窗只包括一個IP位址)。 Read Email via POP3:傳輸協定 TCP,方向 出站,遠端連接阜 110,995,遠端位址 <你的POP3伺服器位址>,允許 ●本規則是為了通過被廣泛採用的POP3傳輸協定讀取郵件而設,顧及到了開放型(110連接阜)和加密型(995連接阜)連接。郵件伺服器的位址可以在客戶端的設定裡面找到,ISP可能會使用同一台伺服器來處理接收和傳送請求,也可能會為兩種傳輸協定分開設立伺服器。 Read Email via IMAP:傳輸協定 TCP,方向 出站,遠端連接阜 143,993,遠端位址 <你的IMAP伺服器位址>,允許 ●此規則是為使用IMAP傳輸協定讀取郵件而設,可以取代也可以與上面的POP3規則並存。是否使用取決於你的郵件程式的設定,規則顧及了開放型(143連接阜)和加密型(993連接阜)連接。 Send Email via SMTP:傳輸協定 TCP,方向 出站,遠端連接阜25,465,遠端位址 <你的SMTP伺服器位址>,允許 ●此規則是為通過SMTP傳輸協定傳送郵件而設,顧及了開放型(25連接阜)和加密型(465連接阜)連接。由於許多病毒都是通過郵件傳播,垃圾郵件傳送者也往往試圖通過劫持疏於防範的微機來傳送垃圾郵件,所以強烈建議此處只加入你的ISP的SMTP伺服器位址。 不管你上面設定的是POP3規則還是IMAP規則這條規則都是必需的。 Block Web Links:傳輸協定 TCP,方向 出站,遠端連接阜 80,禁止 ●此規則會防止客戶端下載HTML格式郵件中包含的任何連接。許多垃圾郵件用這種方法判斷是否郵件已經被閱讀(從而確定你的郵件位址是否「有效」)。合法的郵件也會受到此規則的影響,但是通常只有圖片無法顯示,文本(和作為附件的圖片)不受影響。 ●如果你需要察看某封郵件中的圖片,可在本規則之前加入一條規則允許與其域名的連接。 ●如果你使用瀏覽器來讀取郵件則不要使用本規則,否則正常的網路連接會被遮閉掉。 下載工具(GetRight,NetAnts,GoZilla,Download Accelerator,等) 特別提示:許多下載工具或加速器帶有可能會追蹤你的使用情況的廣告,碰到這種程序,要麼換一種不帶廣告的-如GetRight-要麼設定一條規則來遮閉其與自身廣告站點的連接並把這條規則置於最前,可以通過Outpost的「網路活動」視窗來查知廣告所連接的位址。 Allow File Transfer:傳輸協定 TCP,方向 出站,遠端連接阜21,允許 ●本規則允許了標準的文件傳輸。與瀏覽器規則一樣,如果你只想通過代理傳輸資料可以考慮設定為「禁止」。 Allow Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 80,允許 ●許多下載是通過HTTP傳輸協定進行的。 新聞組程序(Forte Agent,Gravity,等) 此類程序使用NNTP傳輸協定,詳情請查閱RFC 997 - Network News Transfer Protocol。 Allow Usenet Access:傳輸協定 TCP,方向 出站,遠端連接阜 119,允許 ●正常的新聞組連接所必需。 傳輸協定 TCP,方向 出站,遠端連接阜 563,允許 ●加密型新聞組連接必需。 英特網中繼聊天系統(mIRC,ViRC,等) 英特網中繼聊天系統可以用於在線交談以及通過DCC(Direct Client-to-Client)傳輸協定交流文件,詳情請查閱RFC 1459 - Internet Relay Chat Protocol。 特別提示:對於通過IRC接收到的文件要格外小心,因為惡意用戶可以很容易的利用其散佈病毒或者木馬,如有興趣可參閱IRC Security這篇文章。如果你經常需要傳送或接收文件,可以考慮安裝專用反木馬軟體(如TDS-3或TrojanHunter)與防病毒軟體配合使用,及時掃瞄流進流出系統的文件。 Allow IRC Chat:傳輸協定 TCP,方向 出站,遠端連接阜 6667,允許 ●在線聊天必需 Allow IRC Ident:傳輸協定 TCP,方向 入站,本機連接阜 113,允許 ●本規則是連接某些使用Ident/Auth傳輸協定的伺服器必需的,用於驗證你的連接-視情況增加。 Receive Files with IRC DCC:傳輸協定 TCP,方向 出站,遠端連接阜 1024-65535,允許 Send Files with IRC DCC:傳輸協定 TCP,方向 入站,本機連接阜 1024-65535,允許 ●如果你組態了這些DCC規則,建議你平時關閉,需要時再啟用。當你想傳送或接收文件時,啟用相應的規則,傳送一旦完成即可關閉之。 ●使用DCC,接收者必須啟始化連接-因此為了傳送文件,你的系統必須接收一個請求,如果你在使用NAT路由器,則需對其作出調整使此類請求得以通行,請查閱路由器的我的文件獲知詳情。 ●因為DCC是隨機選項連接阜(某些客戶端使用的連接阜範圍會小一些),所以這個範圍不可能設的很小。換個思法,可以試著找出對方的IP位址(可以通過IRC中查得或查閱Outpost的日誌中失敗的連接企圖)並作為遠端位址加入到規則中。 ●DCC傳輸是在你和另一方的系統之間建立起的連接,IRC伺服器被跳過了-因此Outpost的Stateful Packet Inspection選項無法起作用。 E3-元件控制 建議本項設定為MAXIMUM-會導致時常出現彈出視窗。如果覺得彈出視窗過於頻繁,可以從Outpost資料夾中移除modules.ini和modules.0文件以強制Outpost重新掃瞄元件。 設定改為NORMAL可以減少彈出的次數,但是會導致某些洩漏測試的失敗。 F-Outpost模式設定(位於「選項模式」) 只有「規則嚮導模式」和「禁止大部分通訊模式」應該酌情選用。大多數情況下,應該選用「規則嚮導模式」因為其會對任何未經設定的通訊作出提示,可以立刻設定新的相應規則。 不過如果已經進行了完善的設定工作並且確定近期不會再作出變更,可以選用「禁止大部分通訊模式」,當進行在線安全檢測時為了防止頻繁彈出提示視窗也可選用此模式。 G-Outpost插件設定(位於「選項插件」) G1-活動內容過濾 推薦把其中的所有選項設為「禁止」,只允許特定的網站通行,除非你採用了別的軟體來把關。其中的例外情況就是Referers(連接某些網站時會出現「hard-to-track」問題)以及,對Outpost 2.1來說,動畫GIF圖片(從安全性角度來說並不重要)。照此設定即可防止惡意網站隨意修改瀏覽器的設定(如修改主頁或者增加書籤)或者是在用戶不知情的情況下安裝不必要(甚至是有害)的軟體。此類手段通常被黃色或者賭博或者破解站點採用,但也不排除某 些不道德的公司會套用。請查閱Adware and Under-Wear - The Definitive Guide 獲知更詳盡的訊息。 如此嚴格的設定不會適用於所有站點,如果碰到問題請放寬此設定。此時最好是把該站點增加到「排除」項目中並為其設定自用的選項-在全局中設定「允許」會導致第三方站點、廣告站點等執行其內容。根據日誌中的記錄的症狀和細節來「允許」下列選項並且重載網頁( 注意重載網頁前需要清除瀏覽器的快取-不過許多瀏覽器允許你在點擊「重載」健的同時按住「Shift」健來「強制重載網頁」)。 改動收益:通過阻止網站任意安裝軟體以及更改瀏覽器設定來增強系統安全性,阻止通過cookie來追蹤用戶以保護用戶隱私。 付出代價:許多網站會無法完全正常的工作,甚至完全無法工作。雖然大多數情況下活動內容都是非必要的,一些站點仍然需要為其單獨進行設定。找出具體設定值將會消耗大量時間。 Cookies 如果網站無法「記住」你提供的訊息-如用戶名、登入訊息或者購物籃訊息(購物網站的)在你選定商品後仍然留空。 Java指令碼 如果網頁中的按鈕在被點擊後沒有反應,或者是點擊後重載本網頁而不是進入相應位址。 彈出視窗(Outpost 2.0特有) VB指令碼彈出視窗(Outpost 2.1及後續版本) 在Java指令碼已被啟用並且日誌中仍然出現相應被遮閉記錄的情況下,按鈕被點擊後仍然沒有反應。 第三方活動內容(Outpost 2.1及後續版本) 如果必需的網頁元素被[EXT]替代。 G2-廣告過濾 強烈建議把Eric Howes的AGNIS名單加入廣告過濾名單中,該名單包括了已知的間諜軟體和有害軟體站點以及發佈廣告的第三方站點並且,即使在「活動內容過濾」未啟用的情況下,提供妥善的防護。 拜該名單的綜合性所賜,頁面中一些需要的內容可能也會被過濾掉。此時應查詢「廣告過濾」日誌獲知其關鍵字(或者大小),然後從過濾名單中去除該 列項或者(Outpost 2.1版中)把站點加入到「信任站點」中-會停止過濾此站點所有廣告。 套用名單後經常遇到問題的用戶可以考慮採用AGNIS名單精簡版。 改動收益:移除廣告會加速頁面載入速度以及使網頁更加清爽。已知的有害軟體安裝站點會得以遮閉。 付出代價:需要的網頁元素可能也會遭到過濾。如果所有人都遮閉廣告一些依靠廣告點擊生存的站點將無以為繼。 步驟: ●從上述指出的位址下載AGNIS名單-如果下載了.zip版請用相應程序(如Winzip)解壓; ●如果你想手動增加 列項,使用記事本程序開啟ag-ads.ctl文件(如果你使用的是精簡版則是ag-lite.ctl文件)將其增加到最後。建議將自訂規則另存為一個文件以便於AGNIS的昇級; ●在Outpost主視窗左側的「廣告過濾」項點擊右鍵並且選項「內容」; ●鉤選「在桌面上顯示廣告資源回收箱」-會彈出一個「開啟」對話視窗; ●選定ag-ads.ctl或ag-lite.ctl文件開啟。 G3-附件過濾 除了啟用本插件(以防止任意郵件附件的自動執行)沒有別的推薦設定,當然開啟附件前還要使用防病毒軟體事先掃瞄之。 G4-入侵檢測 此處的推薦設定取決於用戶是否採用了額外的防火牆(比如外置路由器)。如果採用了,很多掃瞄或者自動攻擊之類的「地面噪音」就已經被其過濾掉了-而能到達Outpost的就應該予以重視了。 警告等級: ●最高 報告檢測到的攻擊(Outpost 2.1及後續版本): ●如果還採用了其它防火牆則鉤選此選項。 ●如果沒有採用則留空以避免過多的彈出視窗。 遮閉入侵者: ●如果頻繁受到攻擊則啟用此功能。啟用此功能需要謹慎考慮因為合法的通訊可能也會被遮閉。 拒絕服務(DoS)攻擊: ●只有處於區域網路中時才需啟用。 忽略來自信任站點的攻擊 入侵檢測插件可能會把連續的連接請求誤認為攻擊,在Windows網路中的Browse Master和Domain Controller主機會定期對所有微機進行連接,這就導致了誤會的產生。可以通過停用「入侵檢測」插件或者是中斷連線網路並關閉Outpost後編輯protect.lst文件的方法來防止此類情況的發生。 改動收益:防止例行的網路連接被誤判為攻擊行為並遭到遮閉。 付出代價:從這些主機發動的攻擊將再也無法被探測到及作出報告,此時應格外注意對這些主機的防護。 步驟: 在protect.lst文件的末尾應該是部分-把信任主機的位址按如下格式增加進去(本例採用的是192.168.0.3和192.168.0.10)。把修改後的文件制作備份到另一資料夾中以便於Outpost的昇級(建議取消「工具自動檢查昇級」,自己手動進行昇級)。 # # # 192.168.3.0/255.255.255.0 #Local Network # # # 192.168.0.3/255.255.255.255 192.168.0.10/255.255.255.255 G5-內容過濾 無推薦組態。 G6-DNS快取 無推薦組態 G7-Blockpost Blockpost是可在Outpost防火牆論壇中找到的一個第三方插件(Dmut』s Blockpost Plug-In子論壇),它可以漠視任何Outpost防火牆的設定而遮閉與特定IP位址的任何通訊。可以用於兩種情況: ●通過名單遮閉與已知間諜軟體廣告軟體站點的連接。 ●防止與已知的有害位址的連接(對使用P2P軟體如KaZaA,eMule,Gnutella等的用戶尤為重要),使用此類軟體的用戶可訪問Bluetack論壇獲得清單和相關程序。 注意由於Blockpost只對IP位址有效,所以需要定期更新其清單以令其更好的發揮作用。它不會提供完全的防護或者是隱匿性,因為攻擊者可以獲得新的(未列於名單中的)IP位址,當然它會用其它方式遮閉任何TCP、UDP或者是ICMP形式的掃瞄。 注意如果你使用代理來訪問網際網路,Blockpost不會過濾經由那個代理的訊息(因為這些訊息帶有的是代理的IP位址而非目標站點的IP)-如果你希望遮閉與可疑站點的連接,可以對你的瀏覽器進行設定(如果可能)使其不使用代理訪問那些站點,如此從可疑 站點的IP位址發起的連接企圖即可被Blockpost遮閉。 G8-HTTPLog HTTPLog是又一個可從Outpost防火牆論壇獲得的第三方插件(Muchod』s HTTPLog Plug-In子論壇)。它記錄了所有到過的網頁的詳細資料,因此對於檢查過濾規則的有效性和監控任意程序通過HTTP進行的活動都是十分有用的。 G9-SuperStelth SuperStelth是另一個可從Outpost防火牆論壇獲得的第三方插件(Dmut』s Super Stealth Plug-In子論壇)。它過濾了ARP(Address Resolution Protocol)通訊,只允許與特定位址的往來通訊通行。 SuperStealth對於網際網路的安全性沒有實際意義,它提供了對於位於區域網路中的乙太網通訊的控制。這是一個特別設計的工具,只適用於對ARP和乙太網比較熟悉的用戶。 |
outpost中文系統下昇級報告錯誤解決辦法:outpost昇級錯誤,並不是key的原因,而是非unicode語言所至,中文xp預設非unicode語言是中文,我們只要把這個選項改為英語即可正常昇級。
關於beta版昇級方法: 修改C:\Program Files\Common Files\Agnitum Shared\aupdate\update.ini文件,將ServerDir修改為ServerDir=/update_beta25 zonealarm pro 防火牆6.0.629.00 zonealarm pro 防火牆6.0.629.00 http://download.zonelabs.com/bin/fre...9_000_beta.exe OP使用技藝:Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆,佔用資源相對較小,設定靈活方便,穩定強悍,可以算得上個人防火牆中的佼佼者了。東西雖好,可是很多人在使用中只是讓軟體的預設設定在發揮作用,而防火牆的預設設定往往更側重於相容性方面的考慮,想讓 防火牆更好的發揮作用,就需要你根據自己的網路情況作出調整和組態。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。 導論: 本文是為了說明 Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟體喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊,對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。 因為本文涉及到了對預設規則的調整,用戶最好事先對Outpost防火牆已經有一定熟悉度(按:並且最好對一些基本的網路知識和術語也有所瞭解)。 安全性和方便性永遠無法兩全,這就需要你根據自己的實際情況做出取捨-下文中一些改動可能需要你完成大量的調整工作,也會讓你的某些行為(如更換ISP)變得困難的多。某些(尤其是商業企業的)網路環境可能會導致文中某些部分出現問題,請在實施改動前詳 細閱讀各個項目的優點和缺點-如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試,分析Outpost的相關日誌(尤其是被禁止連接的日誌),以便做出進一步的決策。本文中的推薦更多是關於安全性而不是方便性的考慮。 最後,請注意本我的文件並不是出自Agnitum公司,Agnitum公司也不對本文進行技術支持,相關問題和討論請在Outpost防火牆論壇提出,而不要與Agnitum公司直接聯繫。 致謝: 本文原作者為Paranoid2000,成文程序中根據Outpost論壇一些管理員和Agnitum公司的反饋做了增強,對以上相關人員致以謝意,尤其對David在E2部分對於svchost.exe(其為Windows XP用戶面臨的一個嚴重的安全隱患)規則的發展和測試工作表示鄭重感謝。 Outpost免費版用戶注意: 文中涉及的設定沒有在免費版中進行測試,某些部分(如關於全局規則設定的D小節)也無法佈署(由於免費版中全局規則只能被禁用而無法修改),而某些特性(如元件控制)也是在Outpost Pro v2以後才出現的,然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。 A - 區域網路設定(位於「選項系統區域網路設定設定」) 改動收益:通過限制特權用戶的連接來提高安全性。 付出代價:需要進行更多的設定和維護工作,尤其是對大型區域網路來說。 本設定指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說,這裡列出的IP段越少越好,因為對這些位址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。(請查閱Outpost Rules Processing Order獲知詳情) 對非區域網路用戶來說,本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設定」的鉤選以防止Outpost自動增加預設設定。 本部分設定只須處於如下環境的微機加以考慮: ? 位於區域網路(LAN)中,並且帶有需要共享的文件或者列印機的微機; ? 位於區域網路中並且需要通過網路應用程式進行連接,但是無法通過應用程式規則設定完成工作的微機; ? 位於網際網路連接共享網路閘道上的微機,其應將每一個共享客戶端的IP位址列為可信任位址。請查閱LAN and DNS settings for V2獲知詳情。 上述任一種情況下由Outpost提供的預設網路設定都是過於寬鬆的,因為它總是假設同一網路中的任何微機都應該被包括在內。 步驟: ? 取消鉤選「自動檢測新的網路設定」以防止Outpost自動增加新的設定。注意如果日後安裝了新的網路卡,在此項禁止的情況下新的位址需要手動增加進去。 ? 逐個增加每個PC的位址(所增加項隨後會以帶網路掩碼255.255.255.255的形式出現)。網際網路位址絕不應該出現在該位置。 ? 鉤選涉及到文件列印機共享的微機後面的「NetBIOS」選項。 ? 鉤選涉及到網路應用程式的微機後面的「信任」選項。 如果你位於一個大型區域網路內,逐個列出每個微機就是不太現實的了,此時一個可用的方案就是用Blockpost插件列出IP段然後遮閉該IP段中不需要的位址(Blockpost插件允許用戶定義任意IP段,這是Outpost現階段還做不到的)。 請注意區域網路內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題(尤其是Windows網路中存在Browse Master和Domain Controller的情況下),請在本文F4部分搜尋通過插件設定避免問題的詳細內容。 B – ICMP設定(位於「選項系統ICMP設定」) ICMP(Internet Control Message Protocol)是用於傳送診斷訊息與出錯資訊的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。 該部分預設設定允許如下活動: ? 通過Ping指令進行的基本網路連接測試(由Echo Request Out和Echo Reply In實現) - 對本地機進行的Ping將被攔截以掩藏本地機的在線狀態。 ? 對探測者顯示本地機網路位址不可用(由Destination Unreachable In and Out 實現)。 ? 對探測者顯示本地機位址無法連接(由流入資料超時而引起),該類連接由Tracert指令發起-進入類跟蹤路由企圖將被攔截以掩藏本地機在線狀態。 本項的預設設定對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定檔案類型的掃瞄中會暴露你微機的存在(絕大部分已被Outpost攔截),所以對該項的改動可以讓你的微機的隱匿性更強。 改動收益:使你的微機逃過某些可以避開Outpost檢測的掃瞄。 付出代價:在某些情況下(如緩慢的DNS回應)Destination Unreachables訊息的傳送是合法的,此時就會顯示為被遮閉,結果就是可能導致一些網路應用程式的延遲和超時(如P2P軟體)。 步驟: ? 取消對「Destination Unreachable 」Out的鉤選。 如果你在執行Server程序,那麼對Ping和Tracert指令的回應可能就是需要的。一些網際網路服務提供商(ISP)可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。 改動收益:允許用戶檢查與Server之間的連接和網路效能,這些可能是某些ISP要求實現的。 付出代價:讓你的系統處於被Denial-of-Service(DoS)攻擊的危險之中。 步驟: ?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的回應。 ?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的回應。 可選步驟:上述做法會使本地機對任意位址的Ping和Tracert指令做出回應,還有一個可選的方案是用一個全局規則來實現只允許來自可信任位址的ICMP訊息-但是這樣會導致其漠視Outpost的ICMP設定而允許所有的ICMP訊息流通。然而當特定 位址已知時,這樣做也未嘗不可。通過如下步驟實現: ?新增一個如下設定的全局規則: Allow Trusted ICMP:指定的傳輸協定IP 檔案類型ICMP,指定的遠端主機 <填入受信IP位址>,允許 注意該規則不要定義方向(流入和流出的資料都需要獲得權限)。 C - 防火牆模式(位於「選項系統防火牆模式」) 保持預設設定「增強」,不建議作改動。 D-系統和應用程式全局規則(位於「選項系統系統和應用程式全局規則」) D1-指定DNS伺服器位址 DNS(Domain Name System)是通過域名來確定IP位址的一種方法(如 otupostfirewall.com的IP位址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities)。因為連接網站時DNS訊息必須通過防火牆以實現IP位址查詢,一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊位址限定為你的ISP所提供的DNS伺服器,這種偽DNS請求就可以被有效的攔截。有兩 種方法可以完成這項工作: (a). 「全局DNS」設定-把你的ISP的DNS伺服器位址加入到全局規則中 改動收益:通過少量工作即可完成上述工作。 付出代價:如果你通過多家ISP上網,那麼所有的伺服器位址都需要被增加進去-如果你更換了ISP或者ISP更改了它們的伺服器位址,那麼你就需要把新的位址更新進規則中去。如果你有程序或者網路環境需要套用反覆式DNS查詢(Windows環境下通常使 用遞回式查詢,反覆式通常是套用於DNS伺服器之間),那麼組態這條規則就可能會出現問題。 步驟: ?找到你的ISP使用的DNS伺服器位址。最簡單的方法就是在指令行視窗中使用「ipconfig –all」來查詢,Windows 9x/Me/Xp的用戶也可以在開始選單的「執行」對話視窗中使用winipcfg得到相關資訊。 ?把這些位址作為遠端主機位址加入到「Allow DNS Resolving」全局規則中。 Windows 2000/XP用戶還應該把這些位址加到應用程式規則中services.exe/svchost.exe的相關項目中(詳情參見E2部分)。 (b). 「應用程式DNS」設定-移除全局規則,逐個給每個程序增加DNS規則 改動收益:如此一來新增加的程序通常需要兩項規則(DNS規則和程序自身需要的規則)來減少可疑程序在意外情況下的通行。試圖與「老家」通訊的惡意程序現在就面臨著尋找必要IP位址的額外手續,這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到 。只通過DNS連接阜通訊的這類木馬程序現在就必須通過額外規則才可以通行,這也是現在唯一可以遮閉DNShell以及類似洩漏測試的方法。 付出代價:需要完成繁瑣的多的工作-每一個程序都需要增加一條額外的規則。更換ISP後需要把所有規則更新為新的DNS位址。 步驟: ?在Windows 2000和XP環境下,關掉「DNS客戶服務」(通過 開始/控制台/管理選項/服務)。這會強迫每個程序發出自己的DNS請求,而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。 ?停用或者移除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。 ?對每一個程序增加一個新規則,使用下列關鍵字: <軟體名> DNS Resolution:指定傳輸協定UDP,遠端連接阜53,遠端主機<你的ISP的DNS伺服器位址>,允許 可以通過設定本規則為預設規則來簡化工作。步驟如下:中斷連線網路,結束Outpost,開啟preset.lst文件(位於Outpost程式文件夾中)並在文件末尾增加下列規則: ; Application DNS Resolution [Application DNS Resolution] VisibleState: 1 RuleName: Application DNS Resolution Protocol: UDP RemotePort: 53 RemoteHost: 加入你的ISP的DNS伺服器位址,如有多個用逗號分隔 AllowIt 增加該預設規則後,日後碰到增加規則嚮導提示的時候只要選定該預設規則匯入即可(如果你想允許該程序通行的話)。這種情況下,IP位址在「選項/程序」中將以附帶(255.255.255.255)子網路遮罩的形式出現,此即指明了一個 列項的IP位址範圍,其與單獨一個IP位址所起作用相同。注意此時「工具/自動檢查昇級」選項應該被禁用,因為對preset.lst的改動可能被自動更新的文件覆蓋掉(雖然「自動更新」在覆蓋文件以前會提示),一個比較好的辦法是手動制作備份該檔案,然後再進去行更新,更新完畢後如有必要再把備份檔案覆蓋回去。 注意-兩種DNS設定都需要的規則 不管選項上述兩種設定中的哪一種,都需要考慮到一種情況-DNS查詢使用更多的是UDP(User Datagram Protocol)傳輸協定而不是TCP(Transport Control Protocol)傳輸協定。查詢使用到TCP傳輸協定的情況很少見而且通常是複雜查詢-實際使用中通常它們可以被遮閉,因為該查詢會用UDP傳輸協定再次傳送,因此在全局規則中可以增加一條規則如下: Block DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止 如果你想允許此類通訊,那麼或者是修改規則為「允許」(指全局DNS規則)或者是為每一個程序新增第二條DNS規則用TCP取代UDP(應用程式DNS規則)。 報告疑為木馬程序偽裝的DNS活動 任何對已設定DNS伺服器以外位址的查詢都應該被視為可疑活動而在預設情況下被禁止,此時可以在DOS視窗中用ipconfig /all指令來查詢是否ISP的DNS伺服器已改變而需要更新DNS規則設定。 此時可以通過在全局規則中其它DNS規則下方增加如下規則來解決-第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要: Possible Trojan DNS(UDP): 傳輸協定 UDP,遠端連接阜 53,禁止 並且報告 Possible Trojan DNS(TCP): 傳輸協定 TCP,方向 出站,遠端連接阜53,禁止 並且報告 該規則會禁止任何可疑的DNS嘗試並且做出報告。注意該規則不推薦採用應用程式DNS設定的用戶使用,因為合法DNS伺服器位址需要從規則中排除以防止誤報(例如當一個沒有設定規則的程序發起請求的時候)-指定IP位址範圍可以解決該問題,但是Outpo st現有對IP段的處理能力並不是很完善。 D2-指定DHCP伺服器位址 DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP位址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊,這也就成為了木馬程序為了在不被探測到的情況下向外傳送訊息所可能採用的一種手段。除此之外,向特定位址用大量的DHCP訊息 進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。 如果你的系統使用固定IP位址(不管是因為位於局內網還是因為使用獲得動態位址的路由器)那麼此部分設定可以略過。想檢查DHCP是否被套用,可以在指令行視窗使用ipconfig /all來查詢-在視窗底部可以得到相關資訊。 限制DHCP通訊到某個特定伺服器比對DNS做出限制要稍微複雜一些,因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向(部分是由於DHCP傳輸協定使用UDP傳輸協定,部分是由於它能包括的IP位址的變化),因此本規則推薦對本機和遠 程連接阜而不是對方向進行限制。另外,第一次DHCP請求是對255.255.255.255位址發出的廣播形式(該通訊應該送達區域網路中所有的主機),因為機器啟動時無從得知DHCP伺服器的位址,後續的DHCP請求(為了更新IP位址分配)才會被傳送到 DHCP伺服器。 Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則(Windows 2000是services.exe,Windows XP是svchost.exe)來進一步限制DHCP通訊,請參考E2部分獲得更詳盡的訊息。 改動收益:防止對DHCP權限的濫用。 付出代價:如果使用多家ISP,每一家都需要單獨設定其伺服器位址。如果更換ISP,相關規則也需要做出更新。某些ISP可能會需要通過多項 列項進行設定-尤其是在其擁有具有多個連接點的大型網路時。 步驟: ?通過ipconfig /all或者winipcfg搜尋得到DHCP伺服器位址。注意DHCP伺服器與DNS伺服器位址通常是不同的。 ?Windows 9x/ME用戶新增全局規則: Allow DHCP Request: 傳輸協定 UDP,遠端位址 <你的ISP的DHCP伺服器位址>,255.255.255.255,遠端連接阜 67,本機連接阜 68,允許 ?Windows 2000/XP用戶新增全局規則: Allow DHCP Broadcast:傳輸協定 UDP,遠端位址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許 因為DHCP伺服器位址可能會發生改變,建議在IP位址分配碰到問題時禁止上述規則中對「遠端位址」的設定-如果一切正常就保留該設定,在重新允許該規則以前驗證並且更新(如有必要)DHCP伺服器位址。DHCP伺服器通常不會作出大範圍的網路轉移,所以 在其位址中使用萬用字元(例如192.168.2.*)可以有效減少該類問題的發生。 D3-禁止「Allow Loopback」規則 預設規則中的「Allow Loopback」全局規則給使用代理伺服器的用戶(例如AnalogX Proxy,Proxomitron,WebWasher以及某些反垃圾/反病毒軟體)帶來了一個極大的安全隱患,因為其允許任何未經指明遮閉的程序使用為代理設定的規則進行網際網路通訊,禁止或者移除該全局規則即可消除隱患。 改動收益:防止未經使用權的程序利用代理伺服器規則進行通訊。 付出代價:任何使用代理伺服器的程序(例如和Proxomitron配合使用的瀏覽器,等等)都需要設定一條額外的規則(其時彈出的規則嚮導中的建議組態在絕大多數情況下已經足夠應付)。 步驟: ?通過「選項系統系統和應用程式全局規則設定」進入全局規則列表 ?通過去除「Allow Loopback」的鉤選來禁止該項規則 D4-禁止不必要的全局規則 預設設定中的某些全局規則並不是很恰當,可以通過去除對其的鉤選來停用。這些規則包括: ?Allow Inbound Authentication - 一個簡陋而且不可靠的檢查網路連接端的規則,很少被用到。如果需要的時候,停用該規則可能會導致登入Email伺服器的延遲。 ?Allow GRE Protocol,Allow PPTP control connection - 這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的,如果沒有此需求可以停用這些規則。 改動收益:防止套用這些連接阜的訊息洩漏。 付出代價:禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲(此時可以重新啟動該規則,並把郵件伺服器增加為遠端位址) 步驟: ?通過「選項系統系統和應用程式全局規則設定」進入全局規則列表 ?清除對相應規則的鉤選 D5-遮閉未使用和未知的傳輸協定 全局規則可以對網際網路傳輸協定(IP)以及TCP和UDP傳輸協定作出限定,對IP涉及到的一系列傳輸協定建議全部加以遮閉,除了下面所述檔案類型: ?ICMP(1)-此傳輸協定通過ICMP相關規則來處理; ?IGMP(2)-多點廣播需要用到(如在線視瀕直播),如果需要套用到該項傳輸協定就不要禁用; ?ESP(50)和AH(51)-IPSec需要套用到這些傳輸協定,所以VPN(Virtual Private Network)用戶不要禁用這些設定。 企業用戶要謹慎處理這些設定-其中一些選項可能是區域網路中路由通訊所必需的。 可以設定一條全局規則來處理這些未知傳輸協定(包括類似IPX或者NetBEUI的傳輸協定)-建議設定該項規則來進行遮閉。 改動收益:防止未來可能經由這些連接阜的訊息洩漏。 付出代價:出於Outpost採用的處理規則的方式,這些改動可能會顯著增大相關處理流程的數量,尤其對於使用文件共享程序或者位於比較繁忙區域網路中的用戶來說。 步驟: 未使用的傳輸協定 ?進入「選項系統系統和應用程式全局規則設定」; ?點選「增加」新增新的全局規則; ?設定指定傳輸協定為IP,此時其後面所跟的「檔案類型」是「未定義」; ?點擊「未定義」進入IP檔案類型列表視窗; ?選定你想要遮閉的檔案類型然後點擊OK; ?設定回應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。 未知傳輸協定 ?進入「選項系統系統和應用程式全局規則設定」; ?點選「增加」新增新的全局規則; ?設定傳輸協定為「未知」,回應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。 E - 應用程式規則 (位於「選項應用程式」) E1-移除位於「信任的應用程式」組中的項目 即使程序需要正常的訪問網際網路,對其通訊不加過問的一律放行也不是明智的做法。某些程序可能會要求比所需更多的連接(浪費帶寬),有的程序會跟「老家」悄悄聯繫洩漏你的隱私訊息。出於這種考慮,應該把「信任的應用程式」組中的項目移入「部分允許的應用程式 」組,並且設定如下所建議的合適的規則。 E2-謹慎設定「部分允許的應用程式」 Outpost的自動組態功能將會給每一個探測到要求連接網路的程序組態預設的規則,然而這些預設規則是從易於使用的角度出發的,所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆組態中最富有挑戰性的部分,由於個人的使用環境和偏 好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦組態和參考組態。 推薦組態用紅色表示 建議組態用藍色表示 可選組態用綠色表示 如果使用了D1部分提及的「應用程式DNS」設定,那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則,請注意這些應用程式規則的優先等級位於全局規則之上,詳情請見Outpost Rules Processing Order一般問題貼。 在規則中使用域名注意事項: 當域名被用作本機或遠端位址時,Outpost會立刻搜尋相應的IP位址(需要DNS連接),如果該域名的IP發生了改變,規則不會被自動更新-域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。 某些域名可能使用了多個IP位址-只有在「選項應用程式」中手動建立的規則Outpost才會自動尋找其所有IP位址,通過規則嚮導建立的規則則不行。因此,通過規則嚮導建立的規則需要重新在「選項應用程式」中手動輸入域名以確保所有IP位址能被找到 。 Svchost.exe(Windows XP系統獨有) Svchost.exe是一個棘手的程序-為了完成一些基本的網路工作它需要進行網際網路連接,但是給它完全的權限又會把系統至於RPC(例如Blaster、Welchia/Nachi等蠕蟲)洩漏的危險之中。給這個程序新增合適的規則也就變得格外的重要。 Allow DNS(UDP):傳輸協定 UDP,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許 Allow DNS(TCP):傳輸協定TCP,方向 出站,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許 Possible Trojan DNS(UDP):傳輸協定 UDP,遠端連接阜 53,禁止並且報告 Possible Trojan DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止並且報告 ?DNS規則 - 可在D1部分中檢視詳情,只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則,因為此時svchost.exe才會進行搜尋工作; ?因為此處只需要一條TCP規則,此規則被設定為「允許」; ?因為某些木馬程序試圖把它們的活動偽裝成DNS查詢,推薦把任何試圖與DNS伺服器以外的位址進行連接的嘗試視為可疑-Trojan DNS規則將報告類似的連接。如果連接是合法的(如果你的ISP更換了DNS伺服器位址這些「允許」規則需要及時進行更新)則對其做出報告很容易導致網路失去連接,此時應該從禁止日誌中查明原因。 Block Incoming SSDP:傳輸協定 UDP,本機連接阜 1900,禁止 Block Outgoing SSDP:傳輸協定 UDP,遠端連接阜 1900,禁止 ?這些規則遮閉了用於在區域網路中搜尋即插即用設備(UPnP)的簡單服務搜尋傳輸協定(SSDP)。由於即插即用設備會導致許多安全問題的出現,如非必要最好還是將其禁用-如果必須使用的話,則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用,即可防止SSDP起作用,所以這些規則是建議組態。 Block Incoming UPnP:傳輸協定 TCP,方向 入站,本機連接阜 5000,禁止 Block Outgoing UPnP:傳輸協定TCP,方向 出站,遠端連接阜 5000,禁止 ?這些規則遮閉了UPnP資料包-如同上面關於SSDP的規則,如果你非常需要UPnP則把規則改為「允許」,可是一定要把UPnP設備的IP位址設為遠端位址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用,即可防止UPnP起作用,所以這些規則是建議組態。 Block RPC(TCP):傳輸協定 TCP,方向 入站,本機連接阜 135,禁止 Block RPC(UDP):傳輸協定 UDP,本機連接阜 135,禁止 ?這些規則實際上是預設的全局規則中關於遮閉RPC/DCOM通訊的規則拷貝-所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接,則把這些規則改為「允許」,不過僅限於信任的遠端位址。 Allow DHCP Request:傳輸協定 UDP,遠端位址 <ISP的DHCP伺服器位址>,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許 ?DHCP規則-請至D2部分檢視詳情(如果使用的是固定IP位址則不需套用此規則-通常只有在私有區域網路內才會如此)。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的-由於套用了最後的「Block Other TCP/UDP」規則,全局DHCP規則此時並不會起作用。 Allow Help Web Access:傳輸協定TCP,方向 出站,遠端連接阜 80,443,允許 ?Windows說明 系統可能會通過svchost.exe發起網路連接-如果你不想使用說明 系統(或者是不希望微軟知道你何時使用的)則可以略過本規則。 Allow Time Synchronisation:傳輸協定 UDP,遠端連接阜 123,遠端位址 time.windows.com,time.nist.gov,允許 ?用於時間同步-只有當你需要用到Windows XP這個特性時才需要新增該規則。 Block Other TCP Traffic:傳輸協定TCP,方向 出站,禁止 Block Other TCP Traffic:傳輸協定 TCP,方向 入站,禁止 Block Other UDP Traffic:傳輸協定 UDP,禁止 ?把這些規則設定在規則列表的最下面-它們會阻止未設定規則的服務的規則向導彈出視窗。未來所增加的任何規則都應該置於這些規則之上。 商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。 Services.exe(Windows 2000系統獨有) Allow DNS(UDP):傳輸協定UDP,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許 Allow DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53, 遠端位址 <你的ISP的DNS伺服器位址>,允許 Possible Trojan DNS(UDP):傳輸協定 UDP,遠端連接阜 53,禁止 並且報告 Possible Trojan DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止 並且報告 ?DNS規則-請至D1部分檢視詳情。只有當「DNS客戶端服務」沒有被停用時才需要上述規則,因為此時services.exe將會接手搜尋工作; ?因為這裡只需要TCP規則,所以操作設定為「允許」; ?與svchost規則一樣,「Possible Trojan」規則在攔截到連接其它位址的企圖時會作出報告。 Allow DHCP Request:傳輸協定 UDP,遠端位址 <ISP的DHCP伺服器位址>,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許 ?DHCP規則-請至D2部分檢視詳情(注意如果使用的是靜態IP則不需設定-通常只有私有區域網路中才會如此)。需要設定的原因同上述svchost.exe。 Block Other TCP Traffic:傳輸協定 TCP,方向 出站,禁止 Block Other TCP Traffic:傳輸協定 TCP,方向 入站,禁止 Block Other UDP Traffic:傳輸協定 UDP,禁止 ?把這些規則列到最下面-它們會阻止未設定的程序的規則嚮導視窗彈出,任何後續增加的規則均需列到這些規則上方。 與上面的svchost.exe一樣,商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。 Outpost 昇級服務 除了DNS規則外,Outpost 2.0不再需要額外的網路連接,Outpost 2.1及後續版本可以從Agnitum下載新聞和插件訊息。套用此功能需要作出如下設定: Allow Outpost News and Plugin Info:傳輸協定 TCP,方向 出站,遠端連接阜 80,遠端位址 http://www.agnitum.com/,允許 還可以使用一條類似的規則用於程序的昇級: Allow Agnitum Update:傳輸協定 TCP,方向 出站,遠端連接阜 80,遠端位址 http://www.agnitum.com/,允許 網路瀏覽器(Internet explorer,NetscapeMozilla,Opera,等) Outpost的自動組態功能以及預設規則為瀏覽器提供了比較寬鬆的設定-對於大多數用戶來說可以將其進一步強化如下: Allow Web Access:傳輸協定 TCP,方向 出站,遠端連接阜80,允許 Allow Secure Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 443,允許 ?上述規則允許了建立標準(HTTP)和加密(HTTPS)網路連接。如果你使用了代理並且想使所有訊息都流經代理,則可考慮將上述規則設為「禁止」,注意此類代理將需要單獨為其設立一條規則(具體設定取決於代理所以此處不再作詳細說明)。 Allow Alternate Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 8000,8010,8080,允許 ?某些網站可能會把連接轉到其它遠端連接阜(比如8080-在URL中以http://domain.comort-number 的形式出現)-建議此規則在網站沒有此類連接無法工作時才加入。 Allow File Transfers:傳輸協定 TCP,方向 出站,遠端連接阜21,允許 ?此規則是為了文件傳輸而設。與「Web Access」的規則一樣,如果你想所有的傳輸都通過代理進行則將此規則設為「禁止」,文件傳輸通常還需要建立進一步的連接-Outpost會自動放行這類連接(詳情可查閱Stateful Inspection FAQ)。 如果瀏覽器還帶有email,新聞組,以及即時通信功能,則還應增加下文中指出的相應規則。 郵件客戶端(Outlook,Eudora,Thunderbird,等) 兩種傳輸協定(相應的也就是兩組規則)可以用於取信和發信。如果你套用代理來讀取及掃瞄郵件的防病毒軟體的話,那麼下面這些規則可能是你需要的-在此情形下客戶端應該只需要一條規則(Email Antivirus Access:傳輸協定 TCP,方向 出站,遠端連接阜 127.0.0.1,允許)來連接防病毒軟體。 此種情形下想建立一套合理的規則有一種簡單方法:讓Outpost在「規則嚮導模式」下執行,使用客戶端收發郵件,在彈出對話視窗中選項「使用預設規則:設定」來為客戶端和防毒軟體的代理建立規則。這樣設定完以後,從「選項應用程式」開啟這條規則手動增加 其它郵件伺服器名-這樣可以獲得具有多IP位址的伺服器的所有位址(規則嚮導對話視窗只包括一個IP位址)。 Read Email via POP3:傳輸協定 TCP,方向 出站,遠端連接阜 110,995,遠端位址 <你的POP3伺服器位址>,允許 ?本規則是為了通過被廣泛採用的POP3傳輸協定讀取郵件而設,顧及到了開放型(110連接阜)和加密型(995連接阜)連接。郵件伺服器的位址可以在客戶端的設定裡面找到,ISP可能會使用同一台伺服器來處理接收和傳送請求,也可能會為兩種傳輸協定分開設立伺服器。 Read Email via IMAP:傳輸協定 TCP,方向 出站,遠端連接阜 143,993,遠端位址 <你的IMAP伺服器位址>,允許 ?此規則是為使用IMAP傳輸協定讀取郵件而設,可以取代也可以與上面的POP3規則並存。是否使用取決於你的郵件程式的設定,規則顧及了開放型(143連接阜)和加密型(993連接阜)連接。 Send Email via SMTP:傳輸協定 TCP,方向 出站,遠端連接阜25,465,遠端位址 <你的SMTP伺服器位址>,允許 ?此規則是為通過SMTP傳輸協定傳送郵件而設,顧及了開放型(25連接阜)和加密型(465連接阜)連接。由於許多病毒都是通過郵件傳播,垃圾郵件傳送者也往往試圖通過劫持疏於防範的微機來傳送垃圾郵件,所以強烈建議此處只加入你的ISP的SMTP伺服器位址。 不管你上面設定的是POP3規則還是IMAP規則這條規則都是必需的。 Block Web Links:傳輸協定 TCP,方向 出站,遠端連接阜 80,禁止 ?此規則會防止客戶端下載HTML格式郵件中包含的任何連接。許多垃圾郵件用這種方法判斷是否郵件已經被閱讀(從而確定你的郵件位址是否「有效」)。合法的郵件也會受到此規則的影響,但是通常只有圖片無法顯示,文本(和作為附件的圖片)不受影響。 ?如果你需要察看某封郵件中的圖片,可在本規則之前加入一條規則允許與其域名的連接。 ?如果你使用瀏覽器來讀取郵件則不要使用本規則,否則正常的網路連接會被遮閉掉。 下載工具(GetRight,NetAnts,GoZilla,Download Accelerator,等) 特別提示:許多下載工具或加速器帶有可能會追蹤你的使用情況的廣告,碰到這種程序,要麼換一種不帶廣告的-如GetRight-要麼設定一條規則來遮閉其與自身廣告站點的連接並把這條規則置於最前,可以通過Outpost的「網路活動」視窗來查知廣告所連接的位址。 Allow File Transfer:傳輸協定 TCP,方向 出站,遠端連接阜21,允許 ?本規則允許了標準的文件傳輸。與瀏覽器規則一樣,如果你只想通過代理傳輸資料可以考慮設定為「禁止」。 Allow Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 80,允許 ?許多下載是通過HTTP傳輸協定進行的。 新聞組程序(Forte Agent,Gravity,等) 此類程序使用NNTP傳輸協定,詳情請查閱RFC 997 - Network News Transfer Protocol。 Allow Usenet Access:傳輸協定 TCP,方向 出站,遠端連接阜 119,允許 ?正常的新聞組連接所必需。 傳輸協定 TCP,方向 出站,遠端連接阜 563,允許 ?加密型新聞組連接必需。 英特網中繼聊天系統(mIRC,ViRC,等) 英特網中繼聊天系統可以用於在線交談以及通過DCC(Direct Client-to-Client)傳輸協定交流文件,詳情請查閱RFC 1459 - Internet Relay Chat Protocol。 特別提示:對於通過IRC接收到的文件要格外小心,因為惡意用戶可以很容易的利用其散佈病毒或者木馬,如有興趣可參閱IRC Security這篇文章。如果你經常需要傳送或接收文件,可以考慮安裝專用反木馬軟體(如TDS-3或TrojanHunter)與防病毒軟體配合使用,及時掃瞄流進流出系統的文件。 Allow IRC Chat:傳輸協定 TCP,方向 出站,遠端連接阜 6667,允許 ?在線聊天必需 Allow IRC Ident:傳輸協定 TCP,方向 入站,本機連接阜 113,允許 ?本規則是連接某些使用Ident/Auth傳輸協定的伺服器必需的,用於驗證你的連接-視情況增加。 Receive Files with IRC DCC:傳輸協定 TCP,方向 出站,遠端連接阜 1024-65535,允許 Send Files with IRC DCC:傳輸協定 TCP,方向 入站,本機連接阜 1024-65535,允許 ?如果你組態了這些DCC規則,建議你平時關閉,需要時再啟用。當你想傳送或接收文件時,啟用相應的規則,傳送一旦完成即可關閉之。 ?使用DCC,接收者必須啟始化連接-因此為了傳送文件,你的系統必須接收一個請求,如果你在使用NAT路由器,則需對其作出調整使此類請求得以通行,請查閱路由器的我的文件獲知詳情。 ?因為DCC是隨機選項連接阜(某些客戶端使用的連接阜範圍會小一些),所以這個範圍不可能設的很小。換個思法,可以試著找出對方的IP位址(可以通過IRC中查得或查閱Outpost的日誌中失敗的連接企圖)並作為遠端位址加入到規則中。 ?DCC傳輸是在你和另一方的系統之間建立起的連接,IRC伺服器被跳過了-因此Outpost的Stateful Packet Inspection選項無法起作用。 E3-元件控制 建議本項設定為MAXIMUM-會導致時常出現彈出視窗。如果覺得彈出視窗過於頻繁,可以從Outpost資料夾中移除modules.ini和modules.0文件以強制Outpost重新掃瞄元件。 設定改為NORMAL可以減少彈出的次數,但是會導致某些洩漏測試的失敗。 F-Outpost模式設定(位於「選項模式」) 只有「規則嚮導模式」和「禁止大部分通訊模式」應該酌情選用。大多數情況下,應該選用「規則嚮導模式」因為其會對任何未經設定的通訊作出提示,可以立刻設定新的相應規則。 不過如果已經進行了完善的設定工作並且確定近期不會再作出變更,可以選用「禁止大部分通訊模式」,當進行在線安全檢測時為了防止頻繁彈出提示視窗也可選用此模式。 G-Outpost插件設定(位於「選項插件」) G1-活動內容過濾 推薦把其中的所有選項設為「禁止」,只允許特定的網站通行,除非你採用了別的軟體來把關。其中的例外情況就是Referers(連接某些網站時會出現「hard-to-track」問題)以及,對Outpost 2.1來說,動畫GIF圖片(從安全性角度來說並不重要)。照此設定即可防止惡意網站隨意修改瀏覽器的設定(如修改主頁或者增加書籤)或者是在用戶不知情的情況下安裝不必要(甚至是有害)的軟體。此類手段通常被黃色或者賭博或者破解站點採用,但也不排除某 些不道德的公司會套用。請查閱Adware and Under-Wear - The Definitive Guide 獲知更詳盡的訊息。 如此嚴格的設定不會適用於所有站點,如果碰到問題請放寬此設定。此時最好是把該站點增加到「排除」項目中並為其設定自用的選項-在全局中設定「允許」會導致第三方站點、廣告站點等執行其內容。根據日誌中的記錄的症狀和細節來「允許」下列選項並且重載網頁( 注意重載網頁前需要清除瀏覽器的快取-不過許多瀏覽器允許你在點擊「重載」健的同時按住「Shift」健來「強制重載網頁」)。 改動收益:通過阻止網站任意安裝軟體以及更改瀏覽器設定來增強系統安全性,阻止通過cookie來追蹤用戶以保護用戶隱私。 付出代價:許多網站會無法完全正常的工作,甚至完全無法工作。雖然大多數情況下活動內容都是非必要的,一些站點仍然需要為其單獨進行設定。找出具體設定值將會消耗大量時間。 Cookies 如果網站無法「記住」你提供的訊息-如用戶名、登入訊息或者購物籃訊息(購物網站的)在你選定商品後仍然留空。 Java指令碼 如果網頁中的按鈕在被點擊後沒有反應,或者是點擊後重載本網頁而不是進入相應位址。 彈出視窗(Outpost 2.0特有) VB指令碼彈出視窗(Outpost 2.1及後續版本) 在Java指令碼已被啟用並且日誌中仍然出現相應被遮閉記錄的情況下,按鈕被點擊後仍然沒有反應。 第三方活動內容(Outpost 2.1及後續版本) 如果必需的網頁元素被[EXT]替代。 G2-廣告過濾 強烈建議把Eric Howes的AGNIS名單加入廣告過濾名單中,該名單包括了已知的間諜軟體和有害軟體站點以及發佈廣告的第三方站點並且,即使在「活動內容過濾」未啟用的情況下,提供妥善的防護。 拜該名單的綜合性所賜,頁面中一些需要的內容可能也會被過濾掉。此時應查詢「廣告過濾」日誌獲知其關鍵字(或者大小),然後從過濾名單中去除該 列項或者(Outpost 2.1版中)把站點加入到「信任站點」中-會停止過濾此站點所有廣告。 套用名單後經常遇到問題的用戶可以考慮採用AGNIS名單精簡版。 改動收益:移除廣告會加速頁面載入速度以及使網頁更加清爽。已知的有害軟體安裝站點會得以遮閉。 付出代價:需要的網頁元素可能也會遭到過濾。如果所有人都遮閉廣告一些依靠廣告點擊生存的站點將無以為繼。 步驟: ?從上述指出的位址下載AGNIS名單-如果下載了.zip版請用相應程序(如Winzip)解壓; ?如果你想手動增加 列項,使用記事本程序開啟ag-ads.ctl文件(如果你使用的是精簡版則是ag-lite.ctl文件)將其增加到最後。建議將自訂規則另存為一個文件以便於AGNIS的昇級; ?在Outpost主視窗左側的「廣告過濾」項點擊右鍵並且選項「內容」; ?鉤選「在桌面上顯示廣告資源回收箱」-會彈出一個「開啟」對話視窗; ?選定ag-ads.ctl或ag-lite.ctl文件開啟。 G3-附件過濾 除了啟用本插件(以防止任意郵件附件的自動執行)沒有別的推薦設定,當然開啟附件前還要使用防病毒軟體事先掃瞄之。 G4-入侵檢測 此處的推薦設定取決於用戶是否採用了額外的防火牆(比如外置路由器)。如果採用了,很多掃瞄或者自動攻擊之類的「地面噪音」就已經被其過濾掉了-而能到達Outpost的就應該予以重視了。 警告等級: ?最高 報告檢測到的攻擊(Outpost 2.1及後續版本): ?如果還採用了其它防火牆則鉤選此選項。 ?如果沒有採用則留空以避免過多的彈出視窗。 遮閉入侵者: ?如果頻繁受到攻擊則啟用此功能。啟用此功能需要謹慎考慮因為合法的通訊可能也會被遮閉。 拒絕服務(DoS)攻擊: ?只有處於區域網路中時才需啟用。 忽略來自信任站點的攻擊 入侵檢測插件可能會把連續的連接請求誤認為攻擊,在Windows網路中的Browse Master和Domain Controller主機會定期對所有微機進行連接,這就導致了誤會的產生。可以通過停用「入侵檢測」插件或者是中斷連線網路並關閉Outpost後編輯protect.lst文件的方法來防止此類情況的發生。 改動收益:防止例行的網路連接被誤判為攻擊行為並遭到遮閉。 付出代價:從這些主機發動的攻擊將再也無法被探測到及作出報告,此時應格外注意對這些主機的防護。 步驟:在protect.lst文件的末尾應該是<IgnoreHosts>部分-把信任主機的位址按如下格式增加進去(本例採用的是192.168.0.3和192.168.0.10)。把修改後的文件制作備份到另一資料夾中以便於Outpost的昇級(建議取消「工具自動檢查昇級」,自己手動進行昇級)。 # <IgnoreHosts> # # 192.168.3.0/255.255.255.0 #Local Network # # </IgnoreHosts> <IgnoreHosts> # 192.168.0.3/255.255.255.255 192.168.0.10/255.255.255.255 </IgnoreHosts> G5-內容過濾 無推薦組態。 G6-DNS快取 無推薦組態 G7-Blockpost Blockpost是可在Outpost防火牆論壇中找到的一個第三方插件(Dmut's Blockpost Plug-In子論壇),它可以漠視任何Outpost防火牆的設定而遮閉與特定IP位址的任何通訊。可以用於兩種情況: ?通過名單遮閉與已知間諜軟體廣告軟體站點的連接。 ?防止與已知的有害位址的連接(對使用P2P軟體如KaZaA,eMule,Gnutella等的用戶尤為重要),使用此類軟體的用戶可訪問Bluetack論壇獲得清單和相關程序。 注意由於Blockpost只對IP位址有效,所以需要定期更新其清單以令其更好的發揮作用。它不會提供完全的防護或者是隱匿性,因為攻擊者可以獲得新的(未列於名單中的)IP位址,當然它會用其它方式遮閉任何TCP、UDP或者是ICMP形式的掃瞄。 注意如果你使用代理來訪問網際網路,Blockpost不會過濾經由那個代理的訊息(因為這些訊息帶有的是代理的IP位址而非目標站點的IP)-如果你希望遮閉與可疑站點的連接,可以對你的瀏覽器進行設定(如果可能)使其不使用代理訪問那些站點,如此從可疑 站點的IP位址發起的連接企圖即可被Blockpost遮閉。 G8-HTTPLog HTTPLog是又一個可從Outpost防火牆論壇獲得的第三方插件(Muchod's HTTPLog Plug-In子論壇)。它記錄了所有到過的網頁的詳細資料,因此對於檢查過濾規則的有效性和監控任意程序通過HTTP進行的活動都是十分有用的。 G9-SuperStelth SuperStelth是另一個可從Outpost防火牆論壇獲得的第三方插件(Dmut's Super Stealth Plug-In子論壇)。它過濾了ARP(Address Resolution Protocol)通訊,只允許與特定位址的往來通訊通行。 SuperStealth對於網際網路的安全性沒有實際意義,它提供了對於位於區域網路中的乙太網通訊的控制。這是一個特別設計的工具,只適用於對ARP和乙太網比較熟悉的用戶。 |
OP3.5.641已經昇級成3.5.740,附昇級方法
昇級方法:先開啟C:\Program Files\Common Files\Agnitum Shared\aupdate\update.ini文件,將裡面的ServerDir=/update_pro35(或是ServerDir=/update_pro20)改成ServerDir=/update_test,然後儲存,將OB語言改成英文,然後點昇級,就可以升了,回到OP介面昇級後會出現對話視窗,選全部覆蓋就可以,兩次全選這個,就是左數第三個,昇級完後回要求重新啟動,這個就隨便了,重新啟動後將變成Outpost Firewall Pro ver. 3.5.740.6329 (461). 我昇級的註冊碼,還有300多天的. 0L6aOF5HdAH1VVsjh3Gh25v1zTgkR3dk/psh66j+HWb8 SdaKiWdQJivahbZPTE8cdoaIXD62gyw1tVF+CT44a7eQ MHjZQ/NTc3AJwukKMs7EkqxBRGLoiLheiHtEeqfy8DV/ 11Q/C6Y0U/JDfuCwoDnja0Rd7JHJjBVcnA2NTtJ3dUY+ 5Sxx+25BgKd0lfiAKz6F3iBtXUNbEkrBWlg== Outpost Firewall Pro ver. 3.5.740.6329 (461)四月一日官方更新 官方網頁:http://www.agnitum.com/products/outpost/ 主程序:http://dl2.agnitum.com/OutpostProInstall.exe 昇級方法: 首先找到C:\Program Files\Common Files\Agnitum Shared\Aupdate 這個目錄 打到update.ini文件,找到ServerDir=/update_Pro35這行改成ServerDir=/update_test,關閉儲存。 開啟同目錄下aupdrun.exe昇級,完成後會提示你的是否更新文件。(昇級時應把語言改為英文才能昇級最新版本) BT下載時變慢解決辦法:攻擊檢測-右鍵點擊內容-乙太網路-攔截使用虛假IP攻擊 去勾 OK! 使用時建議只開啟廣告攔截、DNS快取記憶、攻擊檢測(一定要開,建議開最大) 容易入侵的連接阜加強:攻擊檢測-進階-容易受攻擊的連接-指定445、137、139等連接阜 正版註冊碼: 0L6aOF5HdAH1VVsjh3Gh25v1zTgkR3dk/psh66j+HWb8 SdaKiWdQJivahbZPTE8cdoaIXD62gyw1tVF+CT44a7eQ MHjZQ/NTc3AJwukKMs7EkqxBRGLoiLheiHtEeqfy8DV/ 11Q/C6Y0U/JDfuCwoDnja0Rd7JHJjBVcnA2NTtJ3dUY+ 5 Sxx+25BgKd0lfiAKz6F3iBtXUNbEkrBWlg== |
於outpost不能更新間諜庫以及這幾天重複更新和連不上服務器問題的解決
首先說明一下,這些問題和License無關,我在OP的線上客服問過,客服說升級和License的類型是沒有關係的。 再說說今天更新無法連接到服務器的事,不知道大家有沒有和我一樣的情況,我這裡連OP的主頁也打不開,但是我把連接加密而且IP位址也換掉之後,OP主頁就可以打開了,於是想到用代理嘗試更新,隨便找了個韓國代理測試發現,連接相當順利……這說明OP本身更新服務器是沒問題的。 因此我懷疑是不是OP封了中國的IP,這個僅僅是猜測而已,未經考證,還要看接下來幾天情況會不會有好轉。但是如果你想連上更新服務器,用代理是可行的。 雖然用代理能成功連接,但是經我測試,重複更新的問題依然存在,同時間諜庫的時間也始終停留在2006-6-30,解決辦法如下: 在 控制面版→區域和語言選項→「高階」選擇項→將unicode改為「英語(美國)」(可能需要用到XP系統安裝盤)後重啟,再把OP進行更新,可以更新間諜庫同時也不會再重複更新了。但是這只是應急辦法,建議升完級後還是改回「中文(中國)」,因為unicode不用中文很多軟件顯示有問題。要治本,看來只有裝英文版的XP系統了…… 在霏凡看見一個貼子說OP歧視中國,語言用中文就不能升級,初一看上面的情況好像是這麼回事,但是我個人認為這應該不是歧視,可能就是軟件語言支持方面的BUG,因為上面講的升級間諜庫的方法是我在OP官方論壇裡看到一個小鬼子提出來的(汗一個~小鬼子看起來還比較友好,發問的也是個中國人),小鬼子說用日文版的XP也升不了級~ 最後附上我升級後的抓圖 |
談談Outpost中Active Content插件的正確使用方法
Active Content中的功能很豐富,如圖 Active Content 有時候更改了Active Content中的設置,其效果還是不能體現的,根本不起作用。 要讓Active Content生效,必需清空Temporary Internet Files中除了cookie外的其他文件 [系統硬碟符]:\Documents and Settings\[用戶名字]\Local Settings\Temporary Internet Files 最好是還要清空Content.IE5中除了index.dat外的所有文件 [系統硬碟符]:\Documents and Settings\[用戶名字]\Local Settings\Temporary Internet Files\Content.IE5 這樣才能使得Active Content生效,否則即使更改了Active Content中的設置,其效果還是不能體現的。 對於其他插件,比如ads,content....如果遇到更改了設置其效果還是不能體現的,也請試試清空如上提到的兩個資料夾中的內容。 再次提醒:如果你沒用到插件中cookie控制選項。其中cookie文件可以不要清空,否則還是清空cookie的好。 其他關於pop-block,flash,cookie等等的控制其他很多軟件也能實現。 特別要提的是 其中Animated gif的控制也很好用,就是只讓gif圖片顯示第一幀,而不是循環跳動。網站很多gif多了,看的眼花。 |
【下載】Virus Chaser /Outpost Firewall PRO /System Safety Monitor 系統安全組合及設置詳解
眾所周知 Virus Chaser 驅逐艦具有低記憶體消耗;反病毒,間諜,廣告;底層記憶體防護等強大功能。 然後單單的反病毒控制中心並不能抵禦所有的網路威脅和病毒破壞。 因此我們還需要強大的網路安全監控Outpost Firewall PRO 以及系統底層的完美保護System Safety Monitor 來構造三維立體式的金字塔維護 ******************************************************************* Virus Chaser 及時清除已知及未知的病毒(木馬,蠕蟲,後門,惡意腳本及代碼 ) 詳細介紹: 點擊有關文章 自動升級 與其它產品每週進行一次的升級不同,以自動升級功能對病毒進行最快的防範(升級容量為2-6KB,是其他產品的1/1000,對此正在申請專利)每天至少更新一種病毒庫樣本,每天後台自動升級12次以上,其中有效升級平均每天2次 智慧式恢復 升級時完美的本機/服務器文件對比,智慧式恢復本機不正常的文件.從而擁有一個乾淨的殺毒環境 掃瞄及修復 在國內首次獲得Virus Bulletin 100%的認證標誌,成為得到世界上廣泛認可的強有力的病毒掃瞄及修復引擎 底層保護 從windows9x到現在最新的windows 2003,在軟件正常啟動的情況下,即使我們殺毒軟件的EXE監控工作行程被惡意結束,但仍可從底層中保護您的電腦,病毒一樣無法執行.從而使病毒無法侵害到您的電腦.這也是我們獨樹一幟的特色 少佔用資源 不再像以往的殺毒軟件那樣,對電腦操作中的全局整體進行監控.本軟件採取的是文件變化保護模式.在設備驅動器層次上對病毒進行掃瞄及修復,從根本上截斷新種或變種病毒感染的強有力的算法 記憶體修復 檢測並修復常駐記憶體的統一代碼,從根本上截斷硬碟2次感染(只有Virus驅逐艦擁有的唯一技術) 完美檢查 支持所有已商用化的文件格式,可以完美地檢查隱藏在壓縮文件、電子郵件、公文文件、HTML等的病毒 ******************************************************************* Outpost Firewall PRO 抵制黑客入侵,監視網路活動狀況及程式的執行狀態。 註冊文件 ------------OUTPOST KEY BEGIN ---------- 0CpnKPKTRBweUN3TU21h8E5NwtI6D9gLwBCRTXQz 7UeFLBUrNgaq+JTKGhTToGWrLlYyp2nXPrHAFmS8 9rvtVRIppWQP6v4OIOe4yancSrLqvwDCSvD9oJ/f gprt1g0E58rbw2pNNT232yYpVF1KC4lDspGcIEEx RSK3VKfdzjs71zbkp+pccFqFBYhepaFBW騙人的QQ號是= ------------OUTPOST KEY END ------------ ------------OUTPOST KEY BEGIN ---------- 0j1UvD9d6OyNKdMikHwX/a1F45jYafwBxUsSlSol+4 uzdENAuCNSjUnc6gasOx8Lw/6ubkCuiWkTCE56ynmY /4EspUu8bSzVEe/oMxqXA51AoLT/zNPjhPlfEZyyaz +QPZsCoxAD7rt5B/M2svfv0Ewpi+OpzUmjEFzxRbqd Ew6fOFCP8/Wf1YlYteCrMFrOmqaXDjDRKpQ== ------------OUTPOST KEY END ------------ ------------OUTPOST KEY BEGIN ---------- 00zdQA8/QGFvpBFtD4SUFNQf17c2etby5UlFhFT4X8RgPEA87jFf8s4y5FY4D/ QqbQuilVoW41roOT1D9iMV+PCO c0SCWuDvowUH39vFe3ocNs4QX34ZFaIrXZxNFlU3pdb8KktzgdshPr7C2 A1Y+sSRBr38qSv4Dv9+9QJamtQCsIgq vHT2Nx/thi++il/ dOCHEedtUtZ0R2yNBSkA== ------------OUTPOST KEY END ------------ 下載位址 http://www.version-2.com/products/download/OutpostFirewallInstall3.51_hk.exe 詳細介紹:一款短小精悍的網路防火牆軟件,它的功能是同類PC軟件中最強的,甚至包括了廣告和圖片過濾、內容過濾、DNS快取記憶體等功能。它能夠預防來自Cookies、廣告、電子郵件病毒、後門、竊密軟件、解密高手、廣告軟件和其它 Internet 危險的威脅。該軟件不需配置就可使用,這對於許多新手來說,變得很簡單。尤為值得一提的是,這是市場上第一個支持插件的防火牆,這樣它的功能可以很容易地進行擴展。該軟件資源佔用也很小。 Outpost的其它強大功能毋庸多說,你親自試一試就知道了。 ******************************************************************* System Safety Monitor 系統的終極捍衛者。不但可以把程式監控精確到每個線程;甚至可以把每個工作行程所連帶的額外線程及子工作行程都顯示出來。類如rookit及加了殼的木馬都無法逃過她的法眼。 下載位址http://www.syssafety.com/files.html 破解方法:尋找註冊表文件 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1FD56677-3EAA-432b-88EE-3413FAF6BC0F}] 隨後把系統的時間往後推N年,不要太多,否則系統會出錯的。離線網路,刪除鍵值。 重啟後可以獲得相應的時間;即你的最後調整時間。修正檔見附件。 下載位址http://www.crsky.com/soft/5908.html 詳細介紹:SSM是一款對系統進行全方位監測的防火牆工具,它不同於傳統意義上的防火牆,系針對操作系統內部的存取管理,因此與任何網路/病毒防火牆都是不相衝突的。該軟件獲得了WebAttack的五星編輯推薦獎,十分優秀!到目前為止,該軟件仍是有期限免費的。 應歸類於針對有害程式及間諜程式等的 Windows 防護軟件範疇。雖如此,SSM 卻並非反病毒軟件 - 它並不提供針對特定有害程式的查找及移除特性,也不提供系統遭有害程式破壞後的恢復特性,而是真正的「防患於未然」!此類型軟件的基本概念猶如『個人防火牆』 - Personal Firewall,簡稱 PF,PF 可監控網路流量並選擇性地阻止某些程式對網路資源的存取,而 SSM 可調整程式性能並控制它們對本機資源的存取,在這層意義上我們可將 SSM 稱為『系統防火牆』 - System Firewall,簡稱 SF。 我向大家推薦 Virus Chaser,Outpost Firewall PRO,System Safety Monitor安全組合 設置詳解: Virus Chaser 提高監控力度:一般用戶可以設置為「高」。 建議:關閉郵件監控,優化性能。 Outpost Firewall PRO 建議:把常用的程式設置為信任模式,減少提示視窗的彈出頻率。啟用嚮導模式,簡化設置。 建議:加強安全性。啟用秘密模式執行。 另外LAN和ICMP的設定可以根據個人需要設置。 建議:選擇執行方式。有一般的正常執行和後台執行。256記憶體配製可以使用後台執行。同時設置較大的網頁面文件提高後台處理能力。 政策選擇:推薦「嚮導模式」。專業用戶可以使用「攔截大多數」。 建議:去掉不必要的插件功能,優化性能。保留ADS,反間諜(禁止監控,開啟個人隱私保護-攔截發送個人訊息),攻擊偵測。 System Safety Monitor 建議:如果你的記憶體不足512,可以使用System Safety Monitor替代Outpost Firewall PRO! 管理每個工作行程是否有執行的權限,有允許,禁止,高階三種分類。高階為用戶自定義,當啟用該工作行程的時候讓你選擇。 強大的工作行程監控,甚至可以顯示部分隱藏工作行程。將物理記憶體的消耗,虛擬記憶體消耗,ID以及內容都顯示出來,還有額外的擴展。 註冊表監控,驅動監控,開始表菜單保護,IE,視窗欄,用戶可以自定義選擇。為了提高安全級別可以使用註冊表監控。 日誌詳細記錄。如果你是SERVER系統可以作相關日誌儲存。如果你是XP,2000普通工作站建議保留「阻止」一項 採取密碼保護,防止被他人惡意修改。 詳細的工作行程設置適用於專業用戶 顏色鮮明的工作行程顯示,讓你不會因為看錯,錯誤地終結工作行程。 和殺毒軟件相互結合 命令除錯,一般不建議使用 「驅逐艦」工作行程介紹 Outpost和SSM 系統防護構思: 說明 綠色表示使用 紅色表示不使用 A 初級防護-適合大多數用戶 Virus Chaser /Outpost Firewall PRO /System Safety Monitor 級別:性能優化;強大監控 使用理念:記憶體在128MB-256MB Virus Chaser 病毒防護設為高;郵件監控開啟。 System Safety Monitor 打開註冊表監控和驅動監控-針對ROOTKIT和惡意木馬;以及黑客通過3389入侵,修改設置和進行操作。 B 中級防護-適合專業用戶 Virus Chaser /Outpost Firewall PRO /System Safety Monitor 級別:在初級安全基礎上提供前沿防護,預先抵制網路病毒和黑客入侵。提供最後防線:發現或阻止反彈木馬。使用理念:記憶體在256MB-512MB Virus Chaser 病毒防護設為高;郵件監控關閉。 System Safety Monitor 打開註冊表監控和驅動監控 Outpost Firewall PRO 使用部分插件ADS;入侵偵測;反間諜(僅開啟攔截發送隱私保護) C 高階防護-BT用戶 Virus Chaser /Outpost Firewall PRO /System Safety Monitor 級別:立體式防護。抵制一切網路入侵;病毒侵犯;黑客破壞。 使用理念:512MB以上。 Virus Chaser 病毒防護設為高;郵件監控關閉。 System Safety Monitor 打開註冊表監控和驅動監控 Outpost Firewall PRO 使用插件ADS;入侵偵測;反間諜(僅開啟攔截發送隱私保護);IP位址欺詐;內容過濾 |
所有時間均為台北時間。現在的時間是 11:24 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *