史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-11-03, 05:53 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 打磨你的Outpost防火牆

也不知道有人bbS發過了沒有

Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆,佔用資源相對較小,設定靈活方便,穩定強悍,可以算得上個人防火牆中的佼佼者了。


東西雖好,可是很多人在使用中只是讓軟體的預設設定在發揮作用,而防火牆的預設設定往往更側重於相容性方面的考慮,想讓 防火牆更好的發揮作用,就需要你根據自己的網路情況作出調整和組態。

正好官方論壇中有一篇相關文章,編譯出來和大家一起學習交流。特此感謝原作者和Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。

原文作者:Paranoid2000

原文連接:http://www.spam.com.cn/news_show.asp?NEWSID=1772

導論:

本文是為了說明 Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟體喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊,對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。

因為本文涉及到了對預設規則的調整,用戶最好事先對Outpost防火牆已經有一定熟悉度(按:並且最好對一些基本的網路知識和術語也有所瞭解)。

安全性和方便性永遠無法兩全,這就需要你根據自己的實際情況做出取捨-下文中一些改動可能需要你完成大量的調整工作,也會讓你的某些行為(如更換ISP)變得困難的多。


某些(尤其是商業企業的)網路環境可能會導致文中某些部分出現問題,請在實施改動前詳 細閱讀各個項目的優點和缺點-如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試,分析Outpost的相關日誌(尤其是被禁止連接的日誌),以便做出進一步的決策。本文中的推薦更多是關於安全性而不是方便性的考慮。

最後,請注意本我的文件並不是出自Agnitum公司,Agnitum公司也不對本文進行技術支持,相關問題和討論請在Outpost防火牆論壇提出,而不要與Agnitum公司直接聯係。


致謝:

本文原作者為Paranoid2000,成文程序中根據Outpost論壇一些管理員和Agnitum公司的反饋做了增強,對以上相關人員致以謝意,尤其對David在E2部分對於svchost.exe(其為Windows XP用戶面臨的一個嚴重的安全隱患)規則的發展和測試工作表示鄭重感謝。


Outpost免費版用戶注意:

文中涉及的設定沒有在免費版中進行測試,某些部分(如關於全局規則設定的D小節)也無法佈署(由於免費版中全局規則只能被禁用而無法修改),而某些特性(如元件控制)也是在Outpost Pro v2以後才出現的,然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。





A - 區域網路設定(位於「選項系統區域網路設定設定」)

改動收益:通過限制特權用戶的連接來提高安全性。
付出代價:需要進行更多的設定和維護工作,尤其是對大型區域網路來說。

本設定指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說,這裡列出的IP段越少越好,因為對這些位址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。(請查閱Outpost Rules Processing Order獲知詳情)

對非區域網路用戶來說,本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設定」的鉤選以防止Outpost自動增加預設設定。

本部分設定只須處於如下環境的微機加以考慮:
• 位於區域網路(LAN)中,並且帶有需要共享的文件或者列印機的微機;
• 位於區域網路中並且需要通過網路應用程式進行連接,但是無法通過應用程式規則設定完成工作的微機;
• 位於網際網路連接共享網路閘道上的微機,其應將每一個共享客戶端的IP位址列為可信任位址。請查閱LAN and DNS settings for V2獲知詳情。

上述任一種情況下由Outpost提供的預設網路設定都是過於寬鬆的,因為它總是假設同一網路中的任何微機都應該被包括在內。

步驟:
• 取消鉤選「自動檢測新的網路設定」以防止Outpost自動增加新的設定。注意如果日後安裝了新的網路卡,在此項禁止的情況下新的位址需要手動增加進去。
• 逐個增加每個PC的位址(所增加項隨後會以帶網路掩碼255.255.255.255的形式出現)。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 05:55 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

網際網路位址絕不應該出現在該位置。
• 鉤選涉及到文件列印機共享的微機後面的「NetBIOS」選項。
• 鉤選涉及到網路應用程式的微機後面的「信任」選項。

如果你位於一個大型區域網路內,逐個列出每個微機就是不太現實的了,此時一個可用的方案就是用Blockpost插件列出IP段然後遮閉該IP段中不需要的位址(Blockpost插件允許用戶定義任意IP段,這是Outpost現階段還做不到的)。

請注意區域網路內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題(尤其是Windows網路中存在Browse Master和Domain Controller的情況下),請在本文F4部分搜尋通過插件設定避免問題的詳細內容。

B – ICMP設定(位於「選項系統ICMP設定」)

ICMP(Internet Control Message Protocol)是用於傳送診斷訊息與出錯資訊的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。

該部分預設設定允許如下活動:

• 通過Ping指令進行的基本網路連接測試(由Echo Request Out和Echo Reply In實現) - 對本地機進行的Ping將被攔截以掩藏本地機的在線狀態。


• 對探測者顯示本地機網路位址不可用(由Destination Unreachable In and Out 實現)。
• 對探測者顯示本地機位址無法連接(由流入資料超時而引起),該類連接由Tracert指令發起-進入類跟蹤路由企圖將被攔截以掩藏本地機在線狀態。

本項的預設設定對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定檔案類型的掃瞄中會暴露你微機的存在(絕大部分已被Outpost攔截),所以對該項的改動可以讓你的微機的隱匿性更強。

改動收益:使你的微機逃過某些可以避開Outpost檢測的掃瞄。



付出代價:在某些情況下(如緩慢的DNS回應)Destination Unreachables訊息的傳送是合法的,此時就會顯示為被遮閉,結果就是可能導致一些網路應用程式的延遲和超時(如P2P軟體)。

步驟:
• 取消對「Destination Unreachable 」Out的鉤選。

如果你在執行Server程序,那麼對Ping和Tracert指令的回應可能就是需要的。一些網際網路服務提供商(ISP)可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。

改動收益:允許用戶檢查與Server之間的連接和網路效能,這些可能是某些ISP要求實現的。
付出代價:讓你的系統處於被Denial-of-Service(DoS)攻擊的危險之中。

步驟:
•鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的回應。
•鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的回應。

可選步驟:
上述做法會使本地機對任意位址的Ping和Tracert指令做出回應,還有一個可選的方案是用一個全局規則來實現只允許來自可信任位址的ICMP訊息-但是這樣會導致其漠視Outpost的ICMP設定而允許所有的ICMP訊息流通。然而當特定 位址已知時,這樣做也未嘗不可。通過如下步驟實現:

•新增一個如下設定的全局規則:
Allow Trusted ICMP:指定的傳輸協定IP 檔案類型ICMP,指定的遠端主機 <填入受信IP位址>,允許

注意該規則不要定義方向(流入和流出的資料都需要獲得權限)。

C - 防火牆模式(位於「選項系統防火牆模式」)
保持預設設定「增強」,不建議作改動。


D-系統和應用程式全局規則(位於「選項系統系統和應用程式全局規則」)
D1-指定DNS伺服器位址

DNS(Domain Name System)是通過域名來確定IP位址的一種方法(如 otupostfirewall.com的IP位址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities)。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 05:56 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

因為連接網站時DNS訊息必須通過防火牆以實現IP位址查詢,一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊位址限定為你的ISP所提供的DNS伺服器,這種偽DNS請求就可以被有效的攔截。有兩 種方法可以完成這項工作:

(a). 「全局DNS」設定-把你的ISP的DNS伺服器位址加入到全局規則中

改動收益:通過少量工作即可完成上述工作。
付出代價:如果你通過多家ISP上網,那麼所有的伺服器位址都需要被增加進去-如果你更換了ISP或者ISP更改了它們的伺服器位址,那麼你就需要把新的位址更新進規則中去。


如果你有程序或者網路環境需要套用反覆式DNS查詢(Windows環境下通常使 用遞回式查詢,反覆式通常是套用於DNS伺服器之間),那麼組態這條規則就可能會出現問題。

步驟:
•找到你的ISP使用的DNS伺服器位址。最簡單的方法就是在指令行視窗中使用「ipconfig –all」來查詢,Windows 9x/Me/Xp的用戶也可以在開始選單的「執行」對話視窗中使用winipcfg得到相關資訊。


•把這些位址作為遠端主機位址加入到「Allow DNS Resolving」全局規則中。

Windows 2000/XP用戶還應該把這些位址加到應用程式規則中services.exe/svchost.exe的相關項目中(詳情參見E2部分)。

(b). 「應用程式DNS」設定-移除全局規則,逐個給每個程序增加DNS規則

改動收益:如此一來新增加的程序通常需要兩項規則(DNS規則和程序自身需要的規則)來減少可疑程序在意外情況下的通行。


試圖與「老家」通訊的惡意程序現在就面臨著尋找必要IP位址的額外手續,這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到 。


只通過DNS連接阜通訊的這類木馬程序現在就必須通過額外規則才可以通行,這也是現在唯一可以遮閉DNShell以及類似洩漏測試的方法。
付出代價:需要完成繁瑣的多的工作-每一個程序都需要增加一條額外的規則。更換ISP後需要把所有規則更新為新的DNS位址。

步驟:

•在Windows 2000和XP環境下,關掉「DNS客戶服務」(通過 開始/控制台/管理選項/服務)。這會強迫每個程序發出自己的DNS請求,而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。


•停用或者移除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。
•對每一個程序增加一個新規則,使用下列關鍵字:
<軟體名> DNS Resolution:指定傳輸協定UDP,遠端連接阜53,遠端主機<你的ISP的DNS伺服器位址>,允許

可以通過設定本規則為預設規則來簡化工作。步驟如下:中斷連線網路,結束Outpost,開啟preset.lst文件(位於Outpost程式文件夾中)並在文件末尾增加下列規則:

; Application DNS Resolution

[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: 加入你的ISP的DNS伺服器位址,如有多個用逗號分隔
AllowIt

增加該預設規則後,日後碰到增加規則嚮導提示的時候只要選定該預設規則匯入即可(如果你想允許該程序通行的話)。這種情況下,IP位址在「選項/程序」中將以附帶(255.255.255.255)子網路遮罩的形式出現,此即指明了一個 列項的IP位址範圍,其與單獨一個IP位址所起作用相同。


注意此時「工具/自動檢查昇級」選項應該被禁用,因為對preset.lst的改動可能被自動更新的文件覆蓋掉(雖然「自動更新」在覆蓋文件以前會提示),一個比較好的辦法是手動制作備份該檔案,然後再進去行更新,更新完畢後如有必要再把備份檔案覆蓋回去。

注意-兩種DNS設定都需要的規則

不管選項上述兩種設定中的哪一種,都需要考慮到一種情況-DNS查詢使用更多的是UDP(User Datagram Protocol)傳輸協定而不是TCP(Transport Control Protocol)傳輸協定。


查詢使用到TCP傳輸協定的情況很少見而且通常是複雜查詢-實際使用中通常它們可以被遮閉,因為該查詢會用UDP傳輸協定再次傳送,因此在全局規則中可以增加一條規則如下:

Block DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止

如果你想允許此類通訊,那麼或者是修改規則為「允許」(指全局DNS規則)或者是為每一個程序新增第二條DNS規則用TCP取代UDP(應用程式DNS規則)。

報告疑為木馬程序偽裝的DNS活動

任何對已設定DNS伺服器以外位址的查詢都應該被視為可疑活動而在預設情況下被禁止,此時可以在DOS視窗中用ipconfig /all指令來查詢是否ISP的DNS伺服器已改變而需要更新DNS規則設定。

此時可以通過在全局規則中其它DNS規則下方增加如下規則來解決-第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要:

Possible Trojan DNS(UDP): 傳輸協定 UDP,遠端連接阜 53,禁止 並且報告
Possible Trojan DNS(TCP): 傳輸協定 TCP,方向 出站,遠端連接阜53,禁止 並且報告

該規則會禁止任何可疑的DNS嘗試並且做出報告。

注意該規則不推薦採用應用程式DNS設定的用戶使用,因為合法DNS伺服器位址需要從規則中排除以防止誤報(例如當一個沒有設定規則的程序發起請求的時候)-指定IP位址範圍可以解決該問題,但是Outpo st現有對IP段的處理能力並不是很完善。
D2-指定DHCP伺服器位址

DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP位址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊,這也就成為了木馬程序為了在不被探測到的情況下向外傳送訊息所可能採用的一種手段。


除此之外,向特定位址用大量的DHCP訊息 進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。

如果你的系統使用固定IP位址(不管是因為位於局內網還是因為使用獲得動態位址的路由器)那麼此部分設定可以略過。想檢查DHCP是否被套用,可以在指令行視窗使用ipconfig /all來查詢-在視窗底部可以得到相關資訊。

限制DHCP通訊到某個特定伺服器比對DNS做出限制要稍微複雜一些,因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向(部分是由於DHCP傳輸協定使用UDP傳輸協定,部分是由於它能包括的IP位址的變化),因此本規則推薦對本機和遠 程連接阜而不是對方向進行限制。

另外,第一次DHCP請求是對255.255.255.255位址發出的廣播形式(該通訊應該送達區域網路中所有的主機),因為機器啟動時無從得知DHCP伺服器的位址,後續的DHCP請求(為了更新IP位址分配)才會被傳送到 DHCP伺服器。

Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則(Windows 2000是services.exe,Windows XP是svchost.exe)來進一步限制DHCP通訊,請參考E2部分獲得更詳盡的訊息。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 05:57 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

改動收益:防止對DHCP權限的濫用。
付出代價:如果使用多家ISP,每一家都需要單獨設定其伺服器位址。如果更換ISP,相關規則也需要做出更新。某些ISP可能會需要通過多項 列項進行設定-尤其是在其擁有具有多個連接點的大型網路時。

步驟:

•通過ipconfig /all或者winipcfg搜尋得到DHCP伺服器位址。注意DHCP伺服器與DNS伺服器位址通常是不同的。
•Windows 9x/ME用戶新增全局規則:

Allow DHCP Request: 傳輸協定 UDP,遠端位址 <你的ISP的DHCP伺服器位址>,255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
•Windows 2000/XP用戶新增全局規則:

Allow DHCP Broadcast:傳輸協定 UDP,遠端位址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許

因為DHCP伺服器位址可能會發生改變,建議在IP位址分配碰到問題時禁止上述規則中對「遠端位址」的設定-如果一切正常就保留該設定,在重新允許該規則以前驗證並且更新(如有必要)DHCP伺服器位址。DHCP伺服器通常不會作出大範圍的網路轉移,所以 在其位址中使用萬用字元(例如192.168.2.*)可以有效減少該類問題的發生。

D3-禁止「Allow Loopback」規則

預設規則中的「Allow Loopback」全局規則給使用代理伺服器的用戶(例如AnalogX Proxy,Proxomitron,WebWasher以及某些反LJ/反病毒軟體)帶來了一個極大的安全隱患,因為其允許任何未經指明遮閉的程序使用為代理設定的規則進行網際網路通訊,禁止或者移除該全局規則即可消除隱患。

改動收益:防止未經使用權的程序利用代理伺服器規則進行通訊。
付出代價:任何使用代理伺服器的程序(例如和Proxomitron配合使用的瀏覽器,等等)都需要設定一條額外的規則(其時彈出的規則嚮導中的建議組態在絕大多數情況下已經足夠應付)。

步驟:
•通過「選項系統系統和應用程式全局規則設定」進入全局規則列表
•通過去除「Allow Loopback」的鉤選來禁止該項規則

D4-禁止不必要的全局規則

預設設定中的某些全局規則並不是很恰當,可以通過去除對其的鉤選來停用。這些規則包括:

•Allow Inbound Authentication - 一個簡陋而且不可靠的檢查網路連接端的規則,很少被用到。如果需要的時候,停用該規則可能會導致登入Email伺服器的延遲。
•Allow GRE Protocol,Allow PPTP control connection - 這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的,如果沒有此需求可以停用這些規則。

改動收益:防止套用這些連接阜的訊息洩漏。
付出代價:禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲(此時可以重新啟動該規則,並把郵件伺服器增加為遠端位址)

步驟:
•通過「選項系統系統和應用程式全局規則設定」進入全局規則列表
•清除對相應規則的鉤選

D5-遮閉未使用和未知的傳輸協定

全局規則可以對網際網路傳輸協定(IP)以及TCP和UDP傳輸協定作出限定,對IP涉及到的一系列傳輸協定建議全部加以遮閉,除了下面所述檔案類型:

•ICMP(1)-此傳輸協定通過ICMP相關規則來處理;
•IGMP(2)-多點廣播需要用到(如在線視瀕直播),如果需要套用到該項傳輸協定就不要禁用;
•ESP(50)和AH(51)-IPSec需要套用到這些傳輸協定,所以VPN(Virtual Private Network)用戶不要禁用這些設定。

企業用戶要謹慎處理這些設定-其中一些選項可能是區域網路中路由通訊所必需的。

可以設定一條全局規則來處理這些未知傳輸協定(包括類似IPX或者NetBEUI的傳輸協定)-建議設定該項規則來進行遮閉。

改動收益:防止未來可能經由這些連接阜的訊息洩漏。
付出代價:出於Outpost採用的處理規則的方式,這些改動可能會顯著增大相關處理流程的數量,尤其對於使用文件共享程序或者位於比較繁忙區域網路中的用戶來說。

步驟:

未使用的傳輸協定
•進入「選項系統系統和應用程式全局規則設定」;
•點選「增加」新增新的全局規則;
•設定指定傳輸協定為IP,此時其後面所跟的「檔案類型」是「未定義」;
•點擊「未定義」進入IP檔案類型列表視窗;
•選定你想要遮閉的檔案類型然後點擊OK;
•設定回應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。

未知傳輸協定
•進入「選項系統系統和應用程式全局規則設定」;
•點選「增加」新增新的全局規則;
•設定傳輸協定為「未知」,回應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。
E - 應用程式規則 (位於「選項應用程式」)

E1-移除位於「信任的應用程式」組中的項目

即使程序需要正常的訪問網際網路,對其通訊不加過問的一律放行也不是明智的做法。某些程序可能會要求比所需更多的連接(浪費帶寬),有的程序會跟「老家」悄悄聯係洩漏你的隱私訊息。出於這種考慮,應該把「信任的應用程式」組中的項目移入「部分允許的應用程式 」組,並且設定如下所建議的合適的規則。

E2-謹慎設定「部分允許的應用程式」

Outpost的自動組態功能將會給每一個探測到要求連接網路的程序組態預設的規則,然而這些預設規則是從易於使用的角度出發的,所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆組態中最富有挑戰性的部分,由於個人的使用環境和偏 好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦組態和參考組態。

推薦組態用紅色表示
建議組態用藍色表示
可選組態用綠色表示

如果使用了D1部分提及的「應用程式DNS」設定,那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則,請注意這些應用程式規則的優先等級位於全局規則之上,詳情請見Outpost Rules Processing Order一般問題貼。

在規則中使用域名注意事項:
當域名被用作本機或遠端位址時,Outpost會立刻搜尋相應的IP位址(需要DNS連接),如果該域名的IP發生了改變,規則不會被自動更新-域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。

某些域名可能使用了多個IP位址-只有在「選項應用程式」中手動建立的規則Outpost才會自動尋找其所有IP位址,通過規則嚮導建立的規則則不行。因此,通過規則嚮導建立的規則需要重新在「選項應用程式」中手動輸入域名以確保所有IP位址能被找到 。

Svchost.exe(Windows XP系統獨有)
Svchost.exe是一個棘手的程序-為了完成一些基本的網路工作它需要進行網際網路連接,但是給它完全的權限又會把系統至於RPC(例如Blaster、Welchia/Nachi等蠕蟲)洩漏的危險之中。給這個程序新增合適的規則也就變得格外的重要。

Allow DNS(UDP):傳輸協定 UDP,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許
Allow DNS(TCP):傳輸協定TCP,方向 出站,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許
Possible Trojan DNS(UDP):傳輸協定 UDP,遠端連接阜 53,禁止並且報告
Possible Trojan DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止並且報告
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 05:58 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

•DNS規則 - 可在D1部分中檢視詳情,只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則,因為此時svchost.exe才會進行搜尋工作;
•因為此處只需要一條TCP規則,此規則被設定為「允許」;
•因為某些木馬程序試圖把它們的活動偽裝成DNS查詢,推薦把任何試圖與DNS伺服器以外的位址進行連接的嘗試視為可疑-Trojan DNS規則將報告類似的連接。如果連接是合法的(如果你的ISP更換了DNS伺服器位址這些「允許」規則需要及時進行更新)則對其做出報告很容易導致網路失去連接,此時應該從禁止日誌中查明原因。

Block Incoming SSDP:傳輸協定 UDP,本機連接阜 1900,禁止
Block Outgoing SSDP:傳輸協定 UDP,遠端連接阜 1900,禁止

•這些規則遮閉了用於在區域網路中搜尋即插即用設備(UPnP)的簡單服務搜尋傳輸協定(SSDP)。由於即插即用設備會導致許多安全問題的出現,如非必要最好還是將其禁用-如果必須使用的話,則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用,即可防止SSDP起作用,所以這些規則是建議組態。

Block Incoming UPnP:傳輸協定 TCP,方向 入站,本機連接阜 5000,禁止
Block Outgoing UPnP:傳輸協定TCP,方向 出站,遠端連接阜 5000,禁止

•這些規則遮閉了UPnP資料包-如同上面關於SSDP的規則,如果你非常需要UPnP則把規則改為「允許」,可是一定要把UPnP設備的IP位址設為遠端位址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用,即可防止UPnP起作用,所以這些規則是建議組態。

Block RPC(TCP):傳輸協定 TCP,方向 入站,本機連接阜 135,禁止
Block RPC(UDP):傳輸協定 UDP,本機連接阜 135,禁止

•這些規則實際上是預設的全局規則中關於遮閉RPC/DCOM通訊的規則拷貝-所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接,則把這些規則改為「允許」,不過僅限於信任的遠端位址。

Allow DHCP Request:傳輸協定 UDP,遠端位址 <ISP的DHCP伺服器位址>,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許

•DHCP規則-請至D2部分檢視詳情(如果使用的是固定IP位址則不需套用此規則-通常只有在私有區域網路內才會如此)。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的-由於套用了最後的「Block Other TCP/UDP」規則,全局DHCP規則此時並不會起作用。

Allow Help Web Access:傳輸協定TCP,方向 出站,遠端連接阜 80,443,允許

•Windows說明 系統可能會通過svchost.exe發起網路連接-如果你不想使用說明 系統(或者是不希望微軟知道你何時使用的)則可以略過本規則。

Allow Time Synchronisation:傳輸協定 UDP,遠端連接阜 123,遠端位址 time.windows.com,time.nist.gov,允許

•用於時間同步-只有當你需要用到Windows XP這個特性時才需要新增該規則。

Block Other TCP Traffic:傳輸協定TCP,方向 出站,禁止
Block Other TCP Traffic:傳輸協定 TCP,方向 入站,禁止
Block Other UDP Traffic:傳輸協定 UDP,禁止

•把這些規則設定在規則列表的最下面-它們會阻止未設定規則的服務的規則向導彈出視窗。未來所增加的任何規則都應該置於這些規則之上。

商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。

Services.exe(Windows 2000系統獨有)

Allow DNS(UDP):傳輸協定UDP,遠端連接阜 53,遠端位址 <你的ISP的DNS伺服器位址>,允許
Allow DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53, 遠端位址 <你的ISP的DNS伺服器位址>,允許
Possible Trojan DNS(UDP):傳輸協定 UDP,遠端連接阜 53,禁止 並且報告
Possible Trojan DNS(TCP):傳輸協定 TCP,方向 出站,遠端連接阜 53,禁止 並且報告

•DNS規則-請至D1部分檢視詳情。只有當「DNS客戶端服務」沒有被停用時才需要上述規則,因為此時services.exe將會接手搜尋工作;
•因為這裡只需要TCP規則,所以操作設定為「允許」;
•與svchost規則一樣,「Possible Trojan」規則在攔截到連接其它位址的企圖時會作出報告。

Allow DHCP Request:傳輸協定 UDP,遠端位址 <ISP的DHCP伺服器位址>,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許

•DHCP規則-請至D2部分檢視詳情(注意如果使用的是靜態IP則不需設定-通常只有私有區域網路中才會如此)。需要設定的原因同上述svchost.exe。

Block Other TCP Traffic:傳輸協定 TCP,方向 出站,禁止
Block Other TCP Traffic:傳輸協定 TCP,方向 入站,禁止
Block Other UDP Traffic:傳輸協定 UDP,禁止

•把這些規則列到最下面-它們會阻止未設定的程序的規則嚮導視窗彈出,任何後續增加的規則均需列到這些規則上方。

與上面的svchost.exe一樣,商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 搜尋系統服務所需放行的額外連接阜訊息。

Outpost 昇級服務
除了DNS規則外,Outpost 2.0不再需要額外的網路連接,Outpost 2.1及後續版本可以從Agnitum下載新聞和插件訊息。套用此功能需要作出如下設定:

Allow Outpost News and Plugin Info:傳輸協定 TCP,方向 出站,遠端連接阜 80,遠端位址 http://www.agnitum.com/,允許

還可以使用一條類似的規則用於程序的昇級:

Allow Agnitum Update:傳輸協定 TCP,方向 出站,遠端連接阜 80,遠端位址 http://www.agnitum.com/,允許


網路瀏覽器(Internet explorer,NetscapeMozilla,Opera,等)
Outpost的自動組態功能以及預設規則為瀏覽器提供了比較寬鬆的設定-對於大多數用戶來說可以將其進一步強化如下:

Allow Web Access:傳輸協定 TCP,方向 出站,遠端連接阜80,允許
Allow Secure Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 443,允許

•上述規則允許了建立標準(HTTP)和加密(HTTPS)網路連接。如果你使用了代理並且想使所有訊息都流經代理,則可考慮將上述規則設為「禁止」,注意此類代理將需要單獨為其設立一條規則(具體設定取決於代理所以此處不再作詳細說明)。

Allow Alternate Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 8000,8010,8080,允許
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 05:59 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

•某些網站可能會把連接轉到其它遠端連接阜(比如8080-在URL中以http://domain.comort-number 的形式出現)-建議此規則在網站沒有此類連接無法工作時才加入。

Allow File Transfers:傳輸協定 TCP,方向 出站,遠端連接阜21,允許

•此規則是為了文件傳輸而設。與「Web Access」的規則一樣,如果你想所有的傳輸都通過代理進行則將此規則設為「禁止」,文件傳輸通常還需要建立進一步的連接-Outpost會自動放行這類連接(詳情可查閱Stateful Inspection FAQ)。

如果瀏覽器還帶有email,新聞組,以及即時通信功能,則還應增加下文中指出的相應規則。

郵件客戶端(Outlook,Eudora,Thunderbird,等)
兩種傳輸協定(相應的也就是兩組規則)可以用於取信和發信。如果你套用代理來讀取及掃瞄郵件的防病毒軟體的話,那麼下面這些規則可能是你需要的-在此情形下客戶端應該只需要一條規則(Email Antivirus Access:傳輸協定 TCP,方向 出站,遠端連接阜 127.0.0.1,允許)來連接防病毒軟體。

此種情形下想建立一套合理的規則有一種簡單方法:讓Outpost在「規則嚮導模式」下執行,使用客戶端收發郵件,在彈出對話視窗中選項「使用預設規則:設定」來為客戶端和防毒軟體的代理建立規則。這樣設定完以後,從「選項應用程式」開啟這條規則手動增加 其它郵件伺服器名-這樣可以獲得具有多IP位址的伺服器的所有位址(規則嚮導對話視窗只包括一個IP位址)。

Read Email via POP3:傳輸協定 TCP,方向 出站,遠端連接阜 110,995,遠端位址 <你的POP3伺服器位址>,允許

•本規則是為了通過被廣泛採用的POP3傳輸協定讀取郵件而設,顧及到了開放型(110連接阜)和加密型(995連接阜)連接。郵件伺服器的位址可以在客戶端的設定裡面找到,ISP可能會使用同一台伺服器來處理接收和傳送請求,也可能會為兩種傳輸協定分開設立伺服器。

Read Email via IMAP:傳輸協定 TCP,方向 出站,遠端連接阜 143,993,遠端位址 <你的IMAP伺服器位址>,允許

•此規則是為使用IMAP傳輸協定讀取郵件而設,可以取代也可以與上面的POP3規則並存。是否使用取決於你的郵件程式的設定,規則顧及了開放型(143連接阜)和加密型(993連接阜)連接。

Send Email via SMTP:傳輸協定 TCP,方向 出站,遠端連接阜25,465,遠端位址 <你的SMTP伺服器位址>,允許

•此規則是為通過SMTP傳輸協定傳送郵件而設,顧及了開放型(25連接阜)和加密型(465連接阜)連接。由於許多病毒都是通過郵件傳播,LJ郵件傳送者也往往試圖通過劫持疏於防範的微機來傳送LJ郵件,所以強烈建議此處只加入你的ISP的SMTP伺服器位址。 不管你上面設定的是POP3規則還是IMAP規則這條規則都是必需的。

Block Web Links:傳輸協定 TCP,方向 出站,遠端連接阜 80,禁止

•此規則會防止客戶端下載HTML格式郵件中包含的任何連接。許多LJ郵件用這種方法判斷是否郵件已經被閱讀(從而確定你的郵件位址是否「有效」)。合法的郵件也會受到此規則的影響,但是通常只有圖片無法顯示,文本(和作為附件的圖片)不受影響。
•如果你需要察看某封郵件中的圖片,可在本規則之前加入一條規則允許與其域名的連接。
•如果你使用瀏覽器來讀取郵件則不要使用本規則,否則正常的網路連接會被遮閉掉。

下載工具(GetRight,NetAnts,GoZilla,Download Accelerator,等)

特別提示:許多下載工具或加速器帶有可能會追蹤你的使用情況的廣告,碰到這種程序,要麼換一種不帶廣告的-如GetRight-要麼設定一條規則來遮閉其與自身廣告站點的連接並把這條規則置於最前,可以通過Outpost的「網路活動」視窗來查知廣告所連接的位址。

Allow File Transfer:傳輸協定 TCP,方向 出站,遠端連接阜21,允許

•本規則允許了標準的文件傳輸。與瀏覽器規則一樣,如果你只想通過代理傳輸資料可以考慮設定為「禁止」。

Allow Web Access:傳輸協定 TCP,方向 出站,遠端連接阜 80,允許

•許多下載是通過HTTP傳輸協定進行的。

新聞組程序(Forte Agent,Gravity,等)
此類程序使用NNTP傳輸協定,詳情請查閱RFC 997 - Network News Transfer Protocol。

Allow Usenet Access:傳輸協定 TCP,方向 出站,遠端連接阜 119,允許

•正常的新聞組連接所必需。

傳輸協定 TCP,方向 出站,遠端連接阜 563,允許

•加密型新聞組連接必需。

英特網中繼聊天系統(mIRC,ViRC,等)
英特網中繼聊天系統可以用於在線交談以及通過DCC(Direct Client-to-Client)傳輸協定交流文件,詳情請查閱RFC 1459 - Internet Relay Chat Protocol。

特別提示:對於通過IRC接收到的文件要格外小心,因為惡意用戶可以很容易的利用其散佈病毒或者木馬,如有興趣可參閱IRC Security這篇文章。如果你經常需要傳送或接收文件,可以考慮安裝專用反木馬軟體(如TDS-3或TrojanHunter)與防病毒軟體配合使用,及時掃瞄流進流出系統的文件。

Allow IRC Chat:傳輸協定 TCP,方向 出站,遠端連接阜 6667,允許

•在線聊天必需

Allow IRC Ident:傳輸協定 TCP,方向 入站,本機連接阜 113,允許

•本規則是連接某些使用Ident/Auth傳輸協定的伺服器必需的,用於驗證你的連接-視情況增加。

Receive Files with IRC DCC:傳輸協定 TCP,方向 出站,遠端連接阜 1024-65535,允許
Send Files with IRC DCC:傳輸協定 TCP,方向 入站,本機連接阜 1024-65535,允許

•如果你組態了這些DCC規則,建議你平時關閉,需要時再啟用。當你想傳送或接收文件時,啟用相應的規則,傳送一旦完成即可關閉之。
•使用DCC,接收者必須啟始化連接-因此為了傳送文件,你的系統必須接收一個請求,如果你在使用NAT路由器,則需對其作出調整使此類請求得以通行,請查閱路由器的我的文件獲知詳情。
•因為DCC是隨機選項連接阜(某些客戶端使用的連接阜範圍會小一些),所以這個範圍不可能設的很小。換個思法,可以試著找出對方的IP位址(可以通過IRC中查得或查閱Outpost的日誌中失敗的連接企圖)並作為遠端位址加入到規則中。
•DCC傳輸是在你和另一方的系統之間建立起的連接,IRC伺服器被跳過了-因此Outpost的Stateful Packet Inspection選項無法起作用。

E3-元件控制

建議本項設定為MAXIMUM-會導致時常出現彈出視窗。如果覺得彈出視窗過於頻繁,可以從Outpost資料夾中移除modules.ini和modules.0文件以強制Outpost重新掃瞄元件。

設定改為NORMAL可以減少彈出的次數,但是會導致某些洩漏測試的失敗。



•只有處於區域網路中時才需啟用。

忽略來自信任站點的攻擊
入侵檢測插件可能會把連續的連接請求誤認為攻擊,在Windows網路中的Browse Master和Domain Controller主機會定期對所有微機進行連接,這就導致了誤會的產生。可以通過停用「入侵檢測」插件或者是中斷連線網路並關閉Outpost後編輯protect.lst文件的方法來防止此類情況的發生。

改動收益:防止例行的網路連接被誤判為攻擊行為並遭到遮閉。
付出代價:從這些主機發動的攻擊將再也無法被探測到及作出報告,此時應格外注意對這些主機的防護。

步驟:在protect.lst文件的末尾應該是<IgnoreHosts>部分-把信任主機的位址按如下格式增加進去(本例採用的是192.168.0.3和192.168.0.10)。把修改後的文件制作備份到另一資料夾中以便於Outpost的昇級(建議取消「工具自動檢查昇級」,自己手動進行昇級)。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:00 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

# <IgnoreHosts>
#
# 192.168.3.0/255.255.255.0 #Local Network
#
# </IgnoreHosts>

<IgnoreHosts>
#
192.168.0.3/255.255.255.255
192.168.0.10/255.255.255.255
</IgnoreHosts>

G5-內容過濾

無推薦組態。

G6-DNS快取

無推薦組態




F-Outpost模式設定(位於「選項模式」)

只有「規則嚮導模式」和「禁止大部分通訊模式」應該酌情選用。大多數情況下,應該選用「規則嚮導模式」因為其會對任何未經設定的通訊作出提示,可以立刻設定新的相應規則。

不過如果已經進行了完善的設定工作並且確定近期不會再作出變更,可以選用「禁止大部分通訊模式」,當進行在線安全檢測時為了防止頻繁彈出提示視窗也可選用此模式。

G-Outpost插件設定(位於「選項插件」)

G1-活動內容過濾

推薦把其中的所有選項設為「禁止」,只允許特定的網站通行,除非你採用了別的軟體來把關。其中的例外情況就是Referers(連接某些網站時會出現「hard-to-track」問題)以及,對Outpost 2.1來說,動畫GIF圖片(從安全性角度來說並不重要)。照此設定即可防止惡意網站隨意修改瀏覽器的設定(如修改主頁或者增加書籤)或者是在用戶不知情的情況下安裝不必要(甚至是有害)的軟體。此類手段通常被黃色或者賭博或者破解站點採用,但也不排除某 些不道德的公司會套用。請查閱Adware and Under-Wear - The Definitive Guide 獲知更詳盡的訊息。

如此嚴格的設定不會適用於所有站點,如果碰到問題請放寬此設定。此時最好是把該站點增加到「排除」項目中並為其設定自用的選項-在全局中設定「允許」會導致第三方站點、廣告站點等執行其內容。根據日誌中的記錄的症狀和細節來「允許」下列選項並且重載網頁( 注意重載網頁前需要清除瀏覽器的快取-不過許多瀏覽器允許你在點擊「重載」健的同時按住「Shift」健來「強制重載網頁」)。

改動收益:通過阻止網站任意安裝軟體以及更改瀏覽器設定來增強系統安全性,阻止通過cookie來追蹤用戶以保護用戶隱私。
付出代價:許多網站會無法完全正常的工作,甚至完全無法工作。雖然大多數情況下活動內容都是非必要的,一些站點仍然需要為其單獨進行設定。找出具體設定值將會消耗大量時間。

Cookies
如果網站無法「記住」你提供的訊息-如用戶名、登入訊息或者購物籃訊息(購物網站的)在你選定商品後仍然留空。

Java指令碼
如果網頁中的按鈕在被點擊後沒有反應,或者是點擊後重載本網頁而不是進入相應位址。

彈出視窗(Outpost 2.0特有)
VB指令碼彈出視窗(Outpost 2.1及後續版本)
在Java指令碼已被啟用並且日誌中仍然出現相應被遮閉記錄的情況下,按鈕被點擊後仍然沒有反應。

第三方活動內容(Outpost 2.1及後續版本)
如果必需的網頁元素被[EXT]替代。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:02 PM   #8 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

G2-廣告過濾

強烈建議把Eric Howes的AGNIS名單加入廣告過濾名單中,該名單包括了已知的間諜軟體和有害軟體站點以及發佈廣告的第三方站點並且,即使在「活動內容過濾」未啟用的情況下,提供妥善的防護。

拜該名單的綜合性所賜,頁面中一些需要的內容可能也會被過濾掉。此時應查詢「廣告過濾」日誌獲知其關鍵字(或者大小),然後從過濾名單中去除該 列項或者(Outpost 2.1版中)把站點加入到「信任站點」中-會停止過濾此站點所有廣告。

套用名單後經常遇到問題的用戶可以考慮採用AGNIS名單精簡版。

改動收益:移除廣告會加速頁面載入速度以及使網頁更加清爽。已知的有害軟體安裝站點會得以遮閉。
付出代價:需要的網頁元素可能也會遭到過濾。如果所有人都遮閉廣告一些依靠廣告點擊生存的站點將無以為繼。

步驟:

•從上述指出的位址下載AGNIS名單-如果下載了.zip版請用相應程序(如Winzip)解壓;
•如果你想手動增加 列項,使用記事本程序開啟ag-ads.ctl文件(如果你使用的是精簡版則是ag-lite.ctl文件)將其增加到最後。建議將自訂規則另存為一個文件以便於AGNIS的昇級;
•在Outpost主視窗左側的「廣告過濾」項點擊右鍵並且選項「內容」;
•鉤選「在桌面上顯示廣告LJ箱」-會彈出一個「開啟」對話視窗;
•選定ag-ads.ctl或ag-lite.ctl文件開啟。

G3-附件過濾

除了啟用本插件(以防止任意郵件附件的自動執行)沒有別的推薦設定,當然開啟附件前還要使用防病毒軟體事先掃瞄之。

G4-入侵檢測

此處的推薦設定取決於用戶是否採用了額外的防火牆(比如外置路由器)。如果採用了,很多掃瞄或者自動攻擊之類的「地面噪音」就已經被其過濾掉了-而能到達Outpost的就應該予以重視了。

警告等級:

•最高

報告檢測到的攻擊(Outpost 2.1及後續版本):

•如果還採用了其它防火牆則鉤選此選項。
•如果沒有採用則留空以避免過多的彈出視窗。

遮閉入侵者:

•如果頻繁受到攻擊則啟用此功能。啟用此功能需要謹慎考慮因為合法的通訊可能也會被遮閉。

拒絕服務(DoS)攻擊:


G7-Blockpost

Blockpost是可在Outpost防火牆論壇中找到的一個第三方插件(Dmut"s Blockpost Plug-In子論壇),它可以漠視任何Outpost防火牆的設定而遮閉與特定IP位址的任何通訊。可以用於兩種情況:

•通過名單遮閉與已知間諜軟體廣告軟體站點的連接。
•防止與已知的有害位址的連接(對使用P2P軟體如KaZaA,eMule,Gnutella等的用戶尤為重要),使用此類軟體的用戶可訪問Bluetack論壇獲得清單和相關程序。

注意由於Blockpost只對IP位址有效,所以需要定期更新其清單以令其更好的發揮作用。它不會提供完全的防護或者是隱匿性,因為攻擊者可以獲得新的(未列於名單中的)IP位址,當然它會用其它方式遮閉任何TCP、UDP或者是ICMP形式的掃瞄。

注意如果你使用代理來訪問網際網路,Blockpost不會過濾經由那個代理的訊息(因為這些訊息帶有的是代理的IP位址而非目標站點的IP)-如果你希望遮閉與可疑站點的連接,可以對你的瀏覽器進行設定(如果可能)使其不使用代理訪問那些站點,如此從可疑 站點的IP位址發起的連接企圖即可被Blockpost遮閉。

G8-HTTPLog

HTTPLog是又一個可從Outpost防火牆論壇獲得的第三方插件(Muchod"s HTTPLog Plug-In子論壇)。它記錄了所有到過的網頁的詳細資料,因此對於檢查過濾規則的有效性和監控任意程序通過HTTP進行的活動都是十分有用的。

G9-SuperStelth

SuperStelth是另一個可從Outpost防火牆論壇獲得的第三方插件(Dmut"s Super Stealth Plug-In子論壇)。它過濾了ARP(Address Resolution Protocol)通訊,只允許與特定位址的往來通訊通行。

SuperStealth對於網際網路的安全性沒有實際意義,它提供了對於位於區域網路中的乙太網通訊的控制。這是一個特別設計的工具,只適用於對ARP和乙太網比較熟悉的用戶。


參考資料:

防火牆之爭——Outpost往左,LNS向右
http://www.slime2.com.tw/forums/show...BE%A4%F5%C0%F0
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:08 PM   #9 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

木馬/黑客常用連接阜資料庫文件,使用outpost的朋友可以對照檢查

-木馬/黑客常用連接阜資料庫文件
木馬/黑客常用連接阜資料庫文件
以下指出網路通信中最常用的幾個連接阜:
用於FTP(文件傳輸傳輸協定)的連接阜:21;
用於TELNET(遠端登入傳輸協定)的連接阜:23;
用於SMTP(郵件傳輸傳輸協定)的連接阜:25;
用於DNS(域名服務,即域名與IP之間的轉換)的連接阜:53;
用於HTTP(超文本傳輸傳輸協定)的連接阜:80;
用於POP3(電子郵件的一種接收傳輸協定)的連接阜:110;
用於ADSL(寬瀕路由器)的連接阜:254;
WINDOWS中開放的連接阜:139;
除此之外,若還有其他連接阜開放,就應引起重視,進一步判斷是否為木馬入侵。
以下列出幾個流行的木馬所使用的通信連接阜(有的木馬連接阜可以重定義,下面只是其預設連接阜): �
格式為:傳輸協定 連接阜號=木馬/黑客名稱
TCP2=Death
TCP7=Echo
TCP12=Bomber
TCP16=Skun
TCP17=Skun
TCP18=消息傳輸傳輸協定,skun
TCP20=FTP Data
TCP21=文件傳輸,Blade Runner,Doly Trojan,Fore,FTP trojan,Invisible FTP,Larva, WebEx,WinCrash
TCP22=遠端登入傳輸協定
TCP23=遠端登入(Telnet),Tiny Telnet Server (= TTS)
TCP25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy, Haebu Coceda
TCP27=Assasin
TCP28=Amanda
TCP29=MSG ICP
TCP30=Agent 40421
TCP31=Agent 31,Hackers Paradise,Masters Paradise,Agent 40421
TCP37=Time,ADM worm
TCP39=SubSARI
TCP41=DeepThroat,Foreplay
TCP42=Host Name Server
TCP43=WHOIS
TCP44=Arctic
TCP48=DRAT
TCP49=主機登入傳輸協定
TCP50=DRAT
TCP51=Fuck Lamers Backdoor
TCP52=MuSka52,Skun
TCP53=DNS,Bonk (DOS Exploit)
TCP54=MuSka52
TCP58=DMSetup
TCP59=DMSetup
TCP66=AL-Bareki
TCP69=W32.Evala.Worm,BackGate Kit,Nimda,Pasana,Storm,Storm worm,Theef
TCP70=Gopher服務,ADM worm
TCP79=用戶查詢(Finger),Firehotcker,ADM worm
TCP80=超文本伺服器(Http),Executor,RingZero
TCP81=Chubo
TCP99=Hidden Port
TCP 108=SNA網路閘道訪問伺服器
TCP 109=Pop2
TCP 110=電子郵件(Pop3),ProMail
TCP 113=Kazimas, Auther Idnet
TCP 115=簡單文件傳輸傳輸協定
TCP 118=SQL Services, Infector 1.4.2
TCP 119=Newsgroup(Nntp), Happy 99
TCP 121=JammerKiller, Bo jammerkillah
TCP 123=Net Controller
TCP 129=Password Generator Protocol
TCP 123=Net Controller
TCP 133=Infector 1.x
TCP 137=NetBios-NS
TCP 138=NetBios-DGN
TCP 139=NetBios-SSN
TCP 143=IMAP
TCP 146=FC Infector,Infector
TCP 161=Snmp
TCP 162=Snmp-Trap
TCP 170=A-Trojan
TCP 194=Irc
TCP 256=Nirvana
TCP 315=The Invasor
TCP 420=Breach
TCP 421=TCP Wrappers
TCP 456=Hackers paradise,FuseSpark
TCP 531=Rasmin
TCP 555=Ini-Killer,Phase Zero,Stealth Spy
TCP 605=SecretService
TCP 606=Noknok8
TCP 661=Noknok8
TCP 666=Attack FTP,Satanz Backdoor,Back Construction,Dark Connection Inside 1.2
TCP 667=Noknok7.2
TCP 668=Noknok6
TCP 692=GayOL
TCP 777=AIM Spy
TCP 808=RemoteControl,WinHole
TCP 815=Everyone Darling
TCP 911=Dark Shadow
TCP 999=DeepThroat
TCP1000=Der Spaeher
TCP1001=Silencer,WebEx,Der Spaeher
TCP1003=BackDoor
TCP1010=Doly
TCP1011=Doly
TCP1012=Doly
TCP1015=Doly
TCP1020=Vampire
TCP1024=NetSpy.698(YAI)
TCP1025=NetSpy.698
TCP1033=Netspy
TCP1042=Bla
TCP1045=Rasmin
TCP1047=GateCrasher
TCP1050=MiniCommand
TCP1080=Wingate
TCP1090=Xtreme, VDOLive
TCP1095=Rat
TCP1097=Rat
TCP1098=Rat
TCP1099=Rat
TCP1170=Psyber Stream Server,Streaming Audio trojan,Voice
TCP1200=NoBackO
TCP1201=NoBackO
TCP1207=Softwar
TCP1212=Nirvana,Visul Killer
TCP1234=Ultors
TCP1243=BackDoor-G, SubSeven, SubSeven Apocalypse
TCP1245=VooDoo Doll
TCP1269=Mavericks Matrix
TCP1313=Nirvana
TCP1349=BioNet
TCP1441=Remote Storm
TCP1492=FTP99CMP(BackOriffice.FTP)
TCP1509=Psyber Streaming Server
TCP1600=Shivka-Burka
TCP1703=Exloiter 1.1
TCP1807=SpySender
TCP1966=Fake FTP 2000
TCP1976=Custom port
TCP1981=Shockrave
TCP1999=BackDoor, TransScout
TCP2000=Der Spaeher,INsane Network
TCP2001=Transmisson scout
TCP2002=Transmisson scout
TCP2003=Transmisson scout
TCP2004=Transmisson scout
TCP2005=TTransmisson scout
TCP2023=Ripper,Pass Ripper,Hack City Ripper Pro
TCP2115=Bugs
TCP2121=Nirvana
TCP2140=Deep Throat, The Invasor
TCP2155=Nirvana
TCP2208=RuX
TCP2255=Illusion Mailer
TCP2283=HVL Rat5
TCP2300=PC Explorer
TCP2311=Studio54
TCP2565=Striker
TCP2583=WinCrash
TCP2600=Digital RootBeer
TCP2716=Prayer Trojan
TCP2801=Phineas Phucker
TCP2989=Rat
TCP3024=WinCrash trojan
TCP3128=RingZero
TCP3129=Masters Paradise
TCP3150=Deep Throat, The Invasor
TCP3210=SchoolBus
TCP3456=Terror
TCP3459=Eclipse 2000
TCP3700=Portal of Doom
TCP3791=Eclypse
TCP3801=Eclypse
TCP4000=騰訊OICQ客戶端
TCP4092=WinCrash
TCP4242=VHM
TCP4321=BoBo
TCP4444=Prosiakft remote
TCP4567=File Nail
TCP4590=ICQTrojan
TCP4950=ICQTrojan
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:10 PM   #10 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

TCP5000=WindowsXP伺服器,Blazer 5,Bubbel,Back Door Setup,Sockets de Troie
TCP5001=Back Door Setup, Sockets de Troie
TCP5011=One of the Last Trojans (OOTLT)
TCP5031=Firehotcker,Metropolitan,NetMetro
TCP5032=Metropolitan
TCP5190=ICQ Query
TCP5321=Firehotcker
TCP5333=Backage Trojan Box 3
TCP5343=WCrat
TCP5400=Blade Runner, BackConstruction1.2
TCP5401=Blade Runner,Back Construction
TCP5402=Blade Runner,Back Construction
TCP5471=WinCrash
TCP5521=Illusion Mailer
TCP5550=Xtcp,INsane Network
TCP5555=ServeMe
TCP5556=BO Facil
TCP5557=BO Facil
TCP5569=Robo-Hack
TCP5598=BackDoor 2.03
TCP5631=PCAnyWhere data
TCP5637=PC Crasher
TCP5638=PC Crasher
TCP5698=BackDoor
TCP5714=Wincrash3
TCP5741=WinCrash3
TCP5742=WinCrash
TCP5881=Y3K RAT
TCP5882=Y3K RAT
TCP5888=Y3K RAT
TCP5889=Y3K RAT
TCP5900=WinVnc,華訊VGA廣播伺服器
TCP6000=Backdoor.AB
TCP6006=Noknok8
TCP6272=SecretService
TCP6267=廣外女生
TCP6400=Backdoor.AB,The Thing
TCP6500=Devil 1.03
TCP6661=Teman
TCP6666=TCPshell.c
TCP6667=NT Remote Control,華訊視瀕接收連接阜
TCP6668=華訊視瀕廣播伺服器
TCP6669=Vampyre
TCP6670=DeepThroat
TCP6711=SubSeven
TCP6712=SubSeven1.x
TCP6713=SubSeven
TCP6723=Mstream
TCP6767=NT Remote Control
TCP6771=DeepThroat
TCP6776=BackDoor-G,SubSeven,2000 Cracks
TCP6789=Doly Trojan
TCP6838=Mstream
TCP6883=DeltaSource
TCP6912=Shit Heep
TCP6939=Indoctrination
TCP6969=GateCrasher, Priority, IRC 3
TCP6970=GateCrasher
TCP7000=Remote Grab,NetMonitor,SubSeven1.x
TCP7001=Freak88
TCP7201=NetMonitor
TCP7215=BackDoor-G, SubSeven
TCP7001=Freak88,Freak2k
TCP7300=NetMonitor
TCP7301=NetMonitor
TCP7306=NetMonitor
TCP7307=NetMonitor, ProcSpy
TCP7308=NetMonitor, X Spy
TCP7323=Sygate伺服器端
TCP7424=Host Control
TCP7597=Qaz

TCP7609=Snid X2
TCP7626=冰河
TCP7777=The Thing
TCP7789=Back Door Setup, ICQKiller
TCP7983=Mstream
TCP8000=XDMA, 騰訊OICQ伺服器端
TCP8010=Logfile
TCP8080=WWW 代理,Ring Zero,Chubo
TCP8787=BackOfrice 2000
TCP8897=Hack Office,Armageddon
TCP8989=Recon
TCP9000=Netministrator
TCP9325=Mstream
TCP9400=InCommand
TCP9401=InCommand
TCP9402=InCommand
TCP9872=Portal of Doom
TCP9873=Portal of Doom
TCP9874=Portal of Doom
TCP9875=Portal of Doom
TCP9876=Cyber Attacker
TCP9878=TransScout
TCP9989=Ini-Killer
TCP9999=Prayer Trojan
TCP 10067=Portal of Doom
TCP 10084=Syphillis
TCP 10085=Syphillis
TCP 10086=Syphillis
TCP 10101=BrainSpy
TCP 10167=Portal Of Doom
TCP 10520=Acid Shivers
TCP 10607=Coma trojan
TCP 10666=Ambush
TCP 11000=Senna Spy
TCP 11050=Host Control
TCP 11051=Host Control
TCP 11223=Progenic,Hack '99KeyLogger
TCP 11831=TROJ_LATINUS.SVR
TCP 12076=Gjamer, MSH.104b
TCP 12223=Hack?9 KeyLogger
TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill
TCP 12346=GabanBus, NetBus, X-bill
TCP 12349=BioNet
TCP 12361=Whack-a-mole
TCP 12362=Whack-a-mole
TCP 12456=NetBus
TCP 12623=DUN Control
TCP 12624=Buttman
TCP 12631=WhackJob, WhackJob.NB1.7
TCP 12701=Eclipse2000
TCP 12754=Mstream
TCP 13000=Senna Spy
TCP 13010=Hacker Brazil
TCP 13013=Psychward
TCP 13700=Kuang2 The Virus
TCP 14456=Solero
TCP 14500=PC Invader
TCP 14501=PC Invader
TCP 14502=PC Invader
TCP 14503=PC Invader
TCP 15000=NetDaemon 1.0
TCP 15092=Host Control
TCP 15104=Mstream
TCP 16484=Mosucker
TCP 16660=Stacheldraht (DDoS)
TCP 16772=ICQ Revenge
TCP 16969=Priority
TCP 17166=Mosaic
TCP 17300=Kuang2 The Virus
TCP 17490=CrazyNet
TCP 17500=CrazyNet
TCP 17569=Infector 1.4.x + 1.6.x
TCP 17777=Nephron
TCP 18753=Shaft (DDoS)
TCP 19864=ICQ Revenge
TCP 20000=Millennium II (GrilFriend)
TCP 20001=Millennium II (GrilFriend)
TCP 20002=AcidkoR
TCP 20034=NetBus 2 Pro
TCP 20203=Logged,Chupacabra
TCP 20331=Bla
TCP 20432=Shaft (DDoS)
TCP 21544=Schwindler 1.82,GirlFriend
TCP 21554=Schwindler 1.82,GirlFriend,Exloiter 1.0.1.2
TCP 22222=Prosiak,RuX Uploader 2.0
TCP 23432=Asylum 0.1.3
TCP 23456=Evil FTP, Ugly FTP, WhackJob
TCP 23476=Donald Dick
TCP 23477=Donald Dick
TCP 23777=INet Spy
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:11 PM   #11 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

TCP 26274=Delta
TCP 26681=Spy Voice
TCP 27374=Sub Seven 2.0+
TCP 27444=Tribal Flood Network,Trinoo
TCP 27665=Tribal Flood Network,Trinoo
TCP 29431=Hack Attack
TCP 29432=Hack Attack
TCP 29104=Host Control
TCP 29559=TROJ_LATINUS.SVR
TCP 29891=The Unexplained
TCP 30001=Terr0r32
TCP 30003=Death,Lamers Death
TCP 30029=AOL trojan
TCP 30100=NetSphere 1.27a,NetSphere 1.31
TCP 30101=NetSphere 1.31,NetSphere 1.27a
TCP 30102=NetSphere 1.27a,NetSphere 1.31
TCP 30103=NetSphere 1.31
TCP NetSphere Final
TCP 30303=Sockets de Troie
TCP 30947=Intruse
TCP 30999=Kuang2
TCP 21335=Tribal Flood Network,Trinoo
TCP 31336=Bo Whack
TCP 31337=Baron Night,BO client,BO2,Bo Facil,BackFire,Back Orifice,DeepBO,Freak2k,NetSpy
TCP 31338=NetSpy,Back Orifice,DeepBO
TCP 31339=NetSpy DK
TCP 31554=Schwindler
TCP 31666=BOWhack
TCP 31778=Hack Attack
TCP 31785=Hack Attack
TCP 31787=Hack Attack
TCP 31789=Hack Attack
TCP 31791=Hack Attack
TCP 31792=Hack Attack
TCP 32100=PeanutBrittle
TCP 32418=Acid Battery
TCP 33333=Prosiak,Blakharaz 1.0
TCP 33577=Son Of Psychward
TCP 33777=Son Of Psychward
TCP 33911=Spirit 2001a
TCP 34324=BigGluck,TN,Tiny Telnet Server
TCP 34555=Trin00 (Windows) (DDoS)
TCP 35555=Trin00 (Windows) (DDoS)
TCP 37651=YAT
TCP 40412=The Spy
TCP 40421=Agent 40421,Masters Paradise.96
TCP 40422=Masters Paradise
TCP 40423=Masters Paradise.97
TCP 40425=Masters Paradise
TCP 40426=Masters Paradise 3.x
TCP 41666=Remote Boot
TCP 43210=Schoolbus 1.6/2.0
TCP 44444=Delta Source
TCP 47252=Prosiak
TCP 47262=Delta
TCP 47878=BirdSpy2
TCP 49301=Online Keylogger
TCP 50505=Sockets de Troie
TCP 50766=Fore, Schwindler
TCP 51966=CafeIni
TCP 53001=Remote Windows Shutdown
TCP 53217=Acid Battery 2000
TCP 54283=Back Door-G, Sub7
TCP 54320=Back Orifice 2000,Sheep
TCP 54321=School Bus .69-1.11,Sheep, BO2K
TCP 57341=NetRaider
TCP 58339=ButtFunnel
TCP 60000=Deep Throat
TCP 60068=Xzip 6000068
TCP 60411=Connection
TCP 60606=TROJ_BCKDOR.G2.A
TCP 61466=Telecommando
TCP 61603=Bunker-kill
TCP 63485=Bunker-kill
TCP 65000=Devil, DDoS
TCP 65432=Th3tr41t0r, The Traitor
TCP 65530=TROJ_WINMITE.10
TCP 65535=RC
UDP146=Infector
UDP1025=Maverick's Matrix 1.2 - 2.0
UDP1026=Remote Explorer 2000
UDP1027=Trojan.Huigezi.e
UDP1028=KiLo,SubSARI
UDP1029=SubSARI
UDP1031=Xot
UDP1032=Akosch4
UDP1104=RexxRave
UDP1111=Daodan
UDP1116=Lurker
UDP1122=Last 2000,Singularity
UDP1183=Cyn,SweetHeart
UDP1200=NoBackO
UDP1201=NoBackO
UDP1342=BLA trojan
UDP1344=Ptakks
UDP1349=BO dll
UDP1561=MuSka52
UDP1772=NetControle
UDP1978=Slapper
UDP1985=Black Diver
UDP2000=A-trojan,Fear,Force,GOTHIC Intruder,Last 2000,Real 2000
UDP2001=Scalper
UDP2002=Slapper
UDP2130=Mini BackLash
UDP2140=Deep Throat,Foreplay,The Invasor
UDP2222=SweetHeart, Way
UDP2339=Voice Spy
UDP2702=Black Diver
UDP2989=RAT
UDP3150=Deep Throat
UDP3215=XHX
UDP3333=Daodan
UDP3801=Eclypse
UDP3996=Remote Anything
UDP4128=RedShad
UDP4156=Slapper
UDP5419=DarkSky
UDP5503=Remote Shell Trojan
UDP5555=Daodan
UDP5882=Y3K RAT
UDP5888=Y3K RAT
UDP6112=Battle.net Game
UDP6666=KiLo
UDP6667=KiLo
UDP6766=KiLo
UDP6767=KiLo,UandMe
UDP6838=Mstream Agent-handler
UDP7028=未知木馬
UDP7424=Host Control
UDP7788=Singularity
UDP7983=MStream handler-agent
UDP8012=Ptakks
UDP8090=Aphex's Remote Packet Sniffer
UDP8127=9_119,Chonker
UDP8488=KiLo
UDP8489=KiLo
UDP8787=BackOrifice 2000
UDP8879=BackOrifice 2000
UDP9325=MStream Agent-handler
UDP 10000=XHX
UDP 10067=Portal of Doom
UDP 10084=Syphillis
UDP 10100=Slapper
UDP 10167=Portal of Doom
UDP 10498=Mstream
UDP 10666=Ambush
UDP 11225=Cyn
UDP 12321=Protoss
UDP 12345=BlueIce 2000
UDP 12378=W32/Gibe@MM
UDP 12623=ButtMan,DUN Control
UDP 15210=UDP remote shell backdoor server
UDP 15486=KiLo
UDP 16514=KiLo
UDP 16515=KiLo
UDP 18753=Shaft handler to Agent
UDP 20433=Shaft
UDP 21554=GirlFriend
UDP 22784=Backdoor.Intruzzo
UDP 23476=Donald Dick
UDP 25123=MOTD
UDP 26274=Delta Source
UDP 26374=Sub-7 2.1
UDP 26444=Trin00/TFN2K
UDP 26573=Sub-7 2.1
UDP 27184=Alvgus trojan 2000
UDP 27444=Trinoo
UDP 29589=KiLo
UDP 29891=The Unexplained
UDP 30103=NetSphere
UDP 31320=Little Witch
UDP 31335=Trin00 DoS Attack
UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
UDP 31338=Back Orifice, NetSpy DK, DeepBO
UDP 31339=Little Witch
UDP 31340=Little Witch
UDP 31416=Lithium
UDP 31787=Hack aTack
UDP 31789=Hack aTack
UDP 31790=Hack aTack
UDP 31791=Hack aTack
UDP 33390=未知木馬
UDP 34555=Trinoo
UDP 35555=Trinoo
UDP 43720=KiLo
UDP 44014=Iani
UDP 44767=School Bus
UDP 46666=Taskman
UDP 47262=Delta Source
UDP 47785=KiLo
UDP 49301=OnLine keyLogger
UDP 49683=Fenster
UDP 49698=KiLo
UDP 52901=Omega
UDP 54320=Back Orifice
UDP 54321=Back Orifice 2000
UDP 54341=NetRaider Trojan
UDP 61746=KiLO
UDP 61747=KiLO
UDP 61748=KiLO
UDP 65432=The Traitor
=======================================
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:14 PM   #12 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:
關於Outpost Firewall3.0的問題!

Outpost Firewall上有很多插件,官網上也有幾個!
請問:那個該開啟,那個該關閉、或者全關!




A:

DNS緩衝建議用ADSL的朋友關(和XP原有的的一樣)

有關IE插件等一些防廣告的(4個過濾插件),建議不用IE,改用其它瀏覽器,一般非IE瀏覽器對廣告攔截夠用了,如遨遊。

那個入侵看情況了,外網的建議開,小區域網的也可以開試試。局內網沒太大必要。

剛加的查間諜功能自已看吧,個人認為對國內環境是雞肋。

反正OP插件一個實用全面性都沒用。個人官敢

另有些不是原有的的自已根據需要來下載安裝。



Q:

我開了2個,DNS快取,入侵檢測。其他的我的殺毒軟體或Maxthon有,就不用了。
別人的說DNS快取沒用?不是吧。有什麼理由?


A:
那個活動內容過濾包括一些指令碼和程序,通過阻止網站任意安裝軟體以及更改瀏覽器設定來增強系統安全性,阻止通過cookie來追蹤用戶以保護用戶隱私等。但付出代價是許多網站會無法完全正常的工作,甚至完全無法工作。

廣告過濾非常之強大,幾乎可以遮閉掉所有廣告,至少我是。

附件過濾是用來防止任意郵件附件的自動執行的。

入侵檢測是用來記錄很多掃瞄或者自動攻擊之類。建議一般玩家只啟動這個就夠了。

內容過濾,如果網頁中包含你定義的字句,那麼這部分內容就無法看見,一般是家長用來防止孩子閱讀到不良訊息才用到。

間諜清除就不用我解釋了吧。 如果系統裝有Ad-Aware等殺間諜軟體,這個功能可以關掉。

DNS快取也沒啥好講的,你開著就是了。不會佔用你多少記憶體的。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:24 PM   #13 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:

關於outpost 3.0遇攻擊斷網問題

outpost 3.0遇到需要阻止的攻擊就會斷網,只有重啟程序或者解除對攻擊者的阻止才能連網。

請問怎樣才能讓outpost遇到攻擊僅阻止攻擊者而非中斷連線整個網路聯結。謝謝


A:
你用attack detection插件了嗎?



Q:

用自己的IP上網從來沒有遇到過斷網的情況.
我用代理時,代理IP好像隔段時間復位一次.那時就遮閉IP斷網了.

在入侵檢測這個插件的設定選項中稍作調節即可):
block intruder IP for 幾秒
具體操作:將圖中紅色方框處的鉤選框取消


Q:
謝。
但是把阻擋時間取消後attack block detection這個插件還有用嗎?
把這個選項禁用了,就像別人偷你的東西,他會報告「有人偷你的東西了」,但是不去阻止。我認為就沒什麼用了。


A:
阻擋入侵者IP只是入侵檢測插件的某一項功能而已,禁用這一功能對全局並無影響,放心禁用吧!說得有趣,不過阻止本次連接和繼續遮閉該IPXX分鍾應該是兩種不同的行為你說對嗎?遮閉入侵者IP只是保證接下來的一段時間內使入侵者騷擾不到你而已:)



Q:
為什麼我的OUTPOST每次重啟或註銷都會變回未註冊呢?


A:


因為你的KEY已被BAN了呀,

去找個可用的KEY或使用換檔法的破解....



譬如用這個

0MIk1i6EB2Z+G/uexm+Q7n5zFQEbDY8iDU6Zf5xf
pShkhrXvK35B41N8gk0ctJXolAy姊姊dGjK/ojRfzY
y4VPMtXLDkt+gODh+2Vc6LTwQXKdRJnu0+SM9pw0
54SuwCHvvG0h960+OL2Yk+OR//7iBD1OfIG0JTZs
tntzP3trGAp9pgDoIvO+IEv/jXz9MFaCE/JIq

or...
Outpost Firewall Pro V3.0.543.431安裝後,使用輸入的註冊碼,只能用200到300天!現使用這個修正檔卻能使用3714天!推薦大家使用。
http://www.cncrk.com/downinfo/1394.html



回答完畢


Q:
Outpost防火牆的插件問題

最近在網上看到好多關於 Outpost防火牆的介紹,說它支持插件,我安裝了以後,看到了七個插件,可我看到有些介紹說它的插件很多,不止這些,我在網上收了很久,都沒收到,所以我想請教一下各位高手,outpost到底有哪些插件.能提供嗎?我想試試!



A:
http://www.outpostfirewall.com/forum...splay.php?f=56

上面是官方論壇 Plug專區,裡面有好幾種插件,根據你的喜歡下載使用

帶的有活動內容過濾、廣告過濾、附件過濾、入侵檢測、內容過濾、DNS快取、間諜清除,隨軟體安裝時一同安裝。

第三方的有Blockpost、HTTPLog、SuperStelth、PC Flank WhoEasy,Traffic Led等,這些可以在它(http://www.agnitum.com/products/outp...到,不過PC Flank WhoEasy需付費。

另外我簡單介紹,那個活動內容過濾包括一些指令碼和程序,通過阻止網站任意安裝軟體以及更改瀏覽器設定來增強系統安全性,阻止通過cookie來追蹤用戶以保護用戶隱私等。但付出代價是許多網站會無法完全正常的工作,甚至完全無法工作。

廣告過濾非常之強大,幾乎可以遮閉掉所有廣告,至少我是。

附件過濾是用來防止任意郵件附件的自動執行的。

入侵檢測是用來記錄很多掃瞄或者自動攻擊之類。建議一般玩家只啟動這個就夠了。

內容過濾,如果網頁中包含你定義的字句,那麼這部分內容就無法看見,一般是家長用來防止孩子閱讀到不良訊息才用到。

間諜清除就不用我解釋了吧。

DNS快取也沒啥好講的。

Blockpost是可在Outpost防火牆論壇中找到的一個第三方插件(Dmut's Blockpost Plug-In子論壇),它可以漠視任何Outpost防火牆的設定而遮閉與特定IP位址的任何通訊。

HTTPLog是又一個可從Outpost防火牆論壇獲得的第三方插件(Muchod's HTTPLog Plug-In子論壇)。它記錄了所有到過的網頁的詳細資料,因此對於檢查過濾規則的有效性和監控任意程序通過HTTP進行的活動都是十分有用的。


SuperStelth是另一個可從Outpost防火牆論壇獲得的第三方插件(Dmut's Super Stealth Plug-In子論壇)。它過濾了ARP(Address Resolution Protocol)通訊,只允許與特定位址的往來通訊通行。SuperStealth對於網際網路的安全性沒有實際意義,它提供了對於位於區域網路中的乙太網通訊的控制。

PC Flank WhoEasy類似搜尋IP位址功能,沒多大意義,真正想還擊別人靠這個是查不出來的,實在想查對方IP,還不如直接去網站。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:34 PM   #14 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:
【求助】在Outpost Firewall中如何設定BT的規則,開啟op後,bt很慢啊,關閉op後速度就正常了。

A:預設設定..就可
可以達到最大速度

選項——應用程式——選你用的那個BT程序——編輯——總是信任該程序 OK!
沒感到outpost對速度影響,但最近幾個版本bt的時候,cp佔有經常100%,開放連接阜欄狂閃。
允許 Udp
允許 出站 TCP
允許 入站 TCP -bitcimet.exe 到19771
或是;
先把OP里的规则删除,然后手动编辑规则。

Torrent HTTP Connection Rule
Where the protocol is TCP
and Where the direction is Outbound
and Where the remote port is HTTP
Allow it

Torrent HTTPS Connection Rule
Where the protocol is TCP
and Where the direction is Outbound
and Where the remote port is HTTPS
Allow it

Torrent Network TCP Inbound Rule
Where the protocol is TCP
and Where the direction is Inbound
and Where the local port is 6881
Allow it

Torrent Network TCP Outbound Rule
Where the protocol is TCP
and Where the direction is Outbound
and Where the remote port is 1024-65535
Allow it

Torrent Network UDP Inbound Rule
Where the protocol is UDP
and Where the direction is Inbound
and Where the local port is 6881
Allow it

Torrent Network UDP Outbound Rule
Where the protocol is UDP
and Where the direction is Outbound
and Where the remote port is 1024-65535
Allow it

Localhost Loopback Inbound Rule
Where the protocol is TCP
and Where the direction is Inbound
and Where the remote host is 127.0.0.1
Allow it

Application UDP DNS Resolution
Where the protocol is UDP
and Where the remote host is the IP address for your DNS server
and Where the remote port is DNS
Allow it

TCP Inbound Blockall Coverage Rule
Where the protocol is TCP
and Where the direction is Inbound
Block it

TCP Outbound Blockall Coverage Rule
Where the protocol is TCP
and Where the direction is Outbound
Block it

UDP Blockall Coverage Rule
Where the protocol is UDP
Block it

I need the "Localhost Loopback" and "Application UDP DNS Resolution" rules because I have followed the suggestions under "A Guide to Producing a Secure Configuration for Outpost." If you haven't done that you won't need them.
OP基本上不卡BT,尤其在你將他設定成完全信任的時候。根據經驗外網不會有問題但局內網沒試過,可能會因為BT局內網與外網的工作原理不一樣而與OP產生一些規則衝突吧!
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-11-03, 06:37 PM   #15 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

電驢和bt可以設為信任。沒什麼人用電驢和bt攻擊吧。不信任他們每個ip的資料都要問你要不要連接,煩死人。安全總是相對而言,如果真有能用電騾子和bt攻擊的,那也就任命了吧。還有,用bt要把attack detection plugin裡面的spoofs his ip那個選項的勾勾取消,不然op會讓你斷網。

部分信任當然就是只給指定的程序開啟有限的許可範圍,不允許亂動。比如ie就需要設為部分,這樣




一有不熟悉的活動op就會提示你,讓你選項。比如有些網站在你訪問的時候需要你outbound,這時候我多半都是阻止一次。沒必要為他們專門設一個規則。

component不要設為disable。如果被允許的程序出現更改,比如被感染,在disable規則下op就不提示你了。

process memory是op嚴格的提現。如果你用金山詞霸螢幕取詞,預設規則下op會把瀏覽器給你停掉。因為糍粑更改了別的程序的記憶體什麼的。在在設定裡面把詞霸的的執行程序增加進去就ok了。還有德國的那個什麼tune的windows最佳化2006版裡面有更改windows的style,也會遇到類似情況。不增加進取op不讓它們亂動。


加一個「防止多餘通信」規則就OK了啊。
在Emule應用程式規則的最後增加新規則:
1、Block Any Other Incoming TCP Packets
TCP
Incoming
Block
2、Block Any Other Outbound TCP Packets
TCP
Outbound
Block
3、Block Any Other UDP Packets
UDP
Block

此外,如果對於自己的設定比較放心最近又不會安裝什麼其他新網路軟體時,建議採用Block Most模式。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:24 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2022, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1