史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-23, 04:15 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - LooknStop防火牆的規則設定

LooknStop防火牆的規則設定

1.概述
LooknStop作為一款強大的防火牆,其採用的原型是非常嚴格的,首先,LooknStop先禁止所有本機和遠端的網路訪問操作,然後才逐項允許,在初始時不信任任何程序和網路操作,正是因為這過於嚴厲的原則原型,LooknStop才能成為一堵樹立在系統和網路之間的「牆」,而也正是因為這樣的模型,LooknStop也造成了一部分用戶安裝完畢後無法連接網路的問題——它把所有資料包都攔截了。所以我們首先要解決的就是大部分用戶面對LooknStop時吃的第一個下馬威:無法連接網路。
LooknStop的主介面並不難理解,從左到右分別為「歡迎」、「應用程式過濾」、「網際網路過濾」、「日誌」、「選項」和「註冊」,歡迎介面主要用於顯示一些概要訊息如連接狀態、IP位址、資料包情況等。
我們先解決第一個燃眉之急:如果你不幸成為安裝LooknStop後無法成功進行ADSL撥號的用戶,請先進入「網際網路過濾」介面,然後雙按最後一條規則「All other packets」,它就是罪魁禍首,選項「乙太網檔案類型」為IP,儲存套用即可。
這一故障是LooknStop預設值的嚴格規則造成的,它把所有未在規則裡定義的資料包都過濾了,於是電腦向遠端MODEM設備傳送的PPPoE傳輸協定包全部被扼殺在了系統的門口裡……由此可見,與某些防火牆比起來,LooknStop是多麼的嚴格!
解決這個問題後,我們回到正題。

2.關於介面的設定
既然LooknStop的規則如此嚴格,我們也遵循它的規則,嚴格依照從左到右的順序講解吧:P(老勇不許扔雞蛋!)
首先是「歡迎」介面,這裡是作為快捷資料統計而設的,用戶可以在這個介面看到基本的資料流量情況以及網路訊息,如果網路已經連通,LooknStop會報告你的電腦IP位址,如果這裡為0.0.0.0,則說明沒有連接網路或者LooknStop沒能檢測出活動的連接,用戶必須自己到「選項」的「網路接頭」裡手動式選項一個作為LooknStop的監控對象。

其次,是眾多軟體防火牆都會提供的「應用程式過濾」功能,LooknStop「不信任任何人」的思想在這裡又一次得到了發揮,每個程序第一次啟動的時候都會被攔截詢問,用戶允許通過的程序都在裡面列舉出來,並且在左邊出現一個活動列表,可是即使這樣,LooknStop仍然為每個程序列表設定了四個不同性質的可以隨時中斷該程序訪問的按鈕,分別為「過濾啟動」、「過濾檔案類型」、「工作使用」、「連接記錄」。

在「過濾啟動」裡可以選項兩種狀態,分別為「啟用」和「禁止」,用於告訴防火牆是否允許該應用程式按照後面的規則執行,如果狀態為「禁止」,則後面設定的獨立應用程式規則不起作用,但是這並不意味著程序能擺脫防火牆的限制——每次這個程序訪問網路的時候,防火牆都會再次詢問你是否允許這個程序訪問網路。

「過濾檔案類型」裡提供了3種檔案類型選項,分別為「允許」、「自訂」和「禁止」,如果用戶沒有為這個程序設定特殊規則,則只會在「允許」和「禁止」兩種檔案類型之間選項,否則為三種。直接雙按程式名稱字就可以設定「過濾檔案類型」,裡面分別提供了TCP和UDP傳輸協定的連接阜和IP設定,LooknStop強大的靈活設定效能再次體現了出來:單獨輸入IP或連接阜,則規定這個程序只能訪問用戶指定的IP或連接阜,多個連接阜之間用分號「;」分隔,IP同上。
看到這裡,一些用戶可能會想,是不是只能設定允許訪問的位址呀?其實不然,LooknStop的強大之處正是在於它能通過盡量少的對話視窗完成盡量多的操作——要設定程序禁止訪問的IP,只需要在同樣的設定對話視窗裡設定IP或連接阜時在前面加一個感歎號「!」即可,可以說,LooknStop把「簡潔就是美」的信奉發揮到了極致!

現在讓我們來看看「工作使用」,首先我要簡單介紹一下「工作使用」的概念,有時候,一個程序要訪問網路並不是通過它自身實現的,而是使用了外置的DLL函數,這樣的話,最終訪問網路的程序就是那個DLL文件而不是程序本身,許多防火牆都認為,通程序序宿主工作啟動進而訪問網路的模組也是符合條件的,因此不會做任何阻攔,但是LooknStop仍然不信任任何模組,它會忠實的報告並控制每個子工作DLL的網路連接並提示用戶,在如今這個「程式碼插上翅膀」(執行緒注射)越來越猖獗的年代裡,這樣的限制是十分有必要的,很多防火牆正因為過於信任程序使用的工作模組,導致一些DLL檔案類型的木馬得以搭載順風車,給用戶的系統安全帶來威脅。針對這種情況,LooknStop提供了「工作使用」的控制功能,分別為「允許」(雙箭頭標誌)和「禁止」(紅色停止標誌),一旦某個程序的「工作使用」被設定為禁止,該程序就只能通過自身訪問網路了,所有通過它使用的模組都無法突破限制,這個設定對一些經常被後門搭順風車的系統程序是很有用的,設定禁止後,我們就不用再怕灰鴿子之流通過IEXPLORE.EXE、Svchost.exe等程序突破傳統意義的防火牆連接了。

最後,是一個標示為感歎號的設定項,它代表「連接記錄」:灰色的點表示不記錄,兩個感歎號表示記錄該程序的所有連接,而單獨一個感歎號則是與「過濾啟動」配合使用的,如果你把一個程序的「過濾啟動」設定為「禁止」,以後這個程序再次請求訪問網路的時候就會被LooknStop記錄下來,如果一個奇怪的程序頻頻要求連接網路,那麼它是木馬的可能性將會很大!

從「應用程式過濾」這一部分就可以看出,LooknStop對程序的控制非常靈活和精巧,僅使用一個介面和一個對話視窗就能完成對4種程序控制方式,包括多達10個內容36種不同組合的控制能力,其對程序的控制能力可見一斑。
那麼,LooknStop對網路傳輸協定的控制功能又如何呢?讓我們進入「網際網路過濾」,這裡正是用戶噩夢開始的地方。
這裡同樣是簡潔而複雜的介面,簡潔在於按鈕的稀少,複雜在於太多列表控制的項目,一眼看去,幾乎能讓人摸不到頭腦,但是這裡正是所有防火牆思維的起點:防火牆規則集合。
從左到右依次為「啟用規則」、「規則模式」、「匹配時記錄」、「匹配規則後是否執行後續規則」、「匹配規則時聲音或警報提示」。
「啟用規則」裡提供了3種檔案類型選項,分別為「預設值方式啟用規則」、「自訂方式啟用規則」和「不啟用規則」,如果用戶沒有設定自訂規則,則只能在「預設值方式啟用規則」和「不啟用規則」之間切換。
「自訂方式啟用規則」取決於規則裡定義的「應用程式」項目,表示該規則只對特定的應用程式起作用,當符合條件的程序啟動後,這個暗紅色帶綠勾標誌變為綠色帶紅勾標誌,代表程序已經啟動並處於防火牆規則控制之下。

「規則模式」允許兩種選項:「攔截」和「允許」,LooknStop通過這裡的標幟決定符合該規則的程序是該允許訪問網路還是被阻止訪問網路,與其它防火牆產品對比,這樣的設定方法是非常方便的,用戶不需要重新進入規則設定便能直接修改規則行為。

「匹配時記錄」提供了兩個選項,「記錄」和「不記錄」,顧名思義,當一個滿足規則設定的操作發生時,防火牆會根據這裡的設定決定是否在日誌裡記錄下這次操作訊息。

「匹配規則後是否執行後續規則」是一個非常重要的規則行為標誌,它提供兩種選項,分別為「不匹配下一規則」和「匹配下一規則」,前面說過LooknStop的思想是阻止所有連接,而這裡的規則設定就是其思想的具體實施方案,為了讓程序能正常連接網路,同時也為了提高自身的執行效率,LooknStop提出了這個選項,它決定當一個符合防火牆設定的規則被執行後,是否要繼續匹配下一條相同性質的規則,在這裡我們可以方便的設定一些複雜的規則,例如我們需要增加一條允許本地機開啟80連接阜的規則,但是又不想為此開放所有低連接阜連接,那麼就可以增加一條允許80連接阜的規則,並設定其「後續規則」為「不匹配」,那麼就可以在保留原規則不變的同時增加本地機開放80連接阜的功能了。

「匹配規則時聲音或警報提示」有3種檔案類型選項,分別為「聲音報警」、「可視報警」和「不報警」,這個選項要與選項裡的「聲音」和「訊息框」配合使用,第一種表示規則匹配時發出聲音報警,第二種表示規則匹配時彈出訊息框並同時發出聲音報警,如果你覺得噪音擾民,可以設定為最後一種,還你一個安靜的環境。


防火牆LooknStop的 規則設定
任何防火牆都在各種規則的啟始下執行,LooknStop也不會例外,而其恰恰正是因為規則難以組態而「聞名」的,要真正馴服這個強悍的小傢伙,就必須理解並解決規則設定,在「網際網路過濾」介面裡點擊「增加」,會彈出一個略顯複雜的對話視窗出來。相對於大部分國內防火牆產品而言,LooknStop提供的可供設定的資料檔案類型和模式多了不少,如果用戶對各種傳輸協定的概念不是很瞭解,在面對這部分的時候就會很頭痛了,LooknStop在這個設定對話視窗裡提供了8大類設定,分別為「規則名稱」、「方向」、「規則說明」、「乙太網」、「IP」、「TCP標幟」、「來源」和「目標」。
「規則名稱」很容易理解,用戶就是在這裡設定特定規則名稱的,「規則說明」則是為了描述這條規則的功能和用途,除了這兩個選項不需要特別講解以外,其他部分請仔細聽好!
在開始動手之前,必須先瞭解一件LooknStop特有的事情,這款防火牆在編輯規則時是中性的,我們不能從這個介面裡設定某條規則是給予通行還是攔截,一旦你儲存這條規則,LooknStop則預設值了此規則是「允許通行」的,要設定為「攔截」的話必須在儲存後自行到主介面上相應的「規則模式」裡設定為「攔截」。
其次,LooknStop的信任關係是關於IP位址和MAC位址雙重檢測的,這是一種理想的信任關係模式,IP位址和MAC位址分別都是可以欺騙的,但是如果IP和MAC結合起來,就很難實施欺騙了,而且也正是這種信任模式,它的規則設定才容易讓人迷惑,其實只要理解了其思想,對這款防火牆的規則設定就不複雜了。
明白這兩個基本概念後,我們正式開始吧。

首先是「乙太網:檔案類型」區,這部分到底表達了什麼,筆者最初也是頭痛了很久,經過多次試驗後終於發現,這裡其實是讓防火牆知道你的機器環境是在區域網路內還是網際網路中的獨立機器,或者說,控制某條規則是適合在區域網路中使用還是在單機環境中使用。
這個區域裡提供了4種選項,分別是「全部」、「IP」、「ARP」和「其它」,「全部」表示包含後面三種檔案類型的傳輸協定,一般很少用到,除非你的機器所處的網路環境非常複雜,有多種系統一起運作,否則只需要選項「IP」檔案類型即可,這是一種最相容最常用的檔案類型。
「ARP」檔案類型只能在區域網路內使用,也就是專為區域網路環境設定的,由於它涉及MAC位址,故脫離了區域網路環境就無效了,除非你是在區域網路內使用機器,否則不要選項這個檔案類型。

其次是「IP」區,這裡又分為3個小區,最左邊的「傳輸協定」用於為當前規則指定傳輸協定,LooknStop提供了9種選項,除了「全部」以外,幾乎包含了各種一般傳輸協定檔案類型,一般只需要設定TCP、UDP或ICMP其中之一即可,雖然曾經有過IGMP Nuke,可是現在也基本上沒有人用Windows 98作為工作環境了吧,所以連IGMP防禦都可以免了……
右側的「碎片偏移」和「碎片標誌」分別用於更詳細的檢測過濾IP頭部的偏移位和標誌位,可以用於防止特定標誌位的碎片資料報攻擊,不過對於普通用戶來說,我們並不需要特別指定這裡的內容,一般選項「全部」即可。

然後到「TCP標幟」區,這裡其實不是只有一個功能設定的,它還可以變為「ICMP」區或「IGMP」區,視前一個「IP」區的傳輸協定檔案類型而定,用戶只有選項了TCP傳輸協定以後才能進入TCP標幟裡設定要具體控制的TCP標誌位,裡面一共有URG、ACK、PSH、RST、SYN和FIN這6種標誌位供用戶選項,主要針對一些有特殊TCP要求的用戶,例如某台機器被用作Internet網路閘道時,如果想阻止區域網路內的某台機器通過TCP傳輸協定連接某個外部連接阜,則可把TCP標誌位設定為ACK,阻止遠端連接傳回的回應請求,該連接自然就無法成功建立,最終達到攔截的目的。

現在到「來源」區,許多人覺得LooknStop難以組態,除了「乙太網檔案類型」難以理解以外,最容易混淆的就是「來源」區和旁邊的「目標」區,要成功組態LooknStop,首先要弄清楚一件事情:在LooknStop的規則設定裡,「來源」完全表示本機,「目標」則表示遠端,而不管實際的連接請求或者資料包方向是從哪裡發出的。所有與本地機網路有關的設定如開放本機某個連接阜、允許或阻止本機網路的某個IP,都是在「來源」裡設定的,這裡通常是和「目標」區搭配使用的,例如組態開放本地機的80連接阜,那麼就不應該去管「目標」區的任何設定,除非你要限制對方IP範圍或連接阜範圍那就另當別論。要開放本地機80連接阜,首先應該在「來源」區的「IP:位址」裡選項「等於本地機在」,「TCP/UDP:連接阜」裡選項「等於」,下面的第一個選項裡輸入連接阜80,第二個選項置空即可。如果要開放一段連續的連接阜,則在第二個選項裡填入另一個數位,然後把「全部」改為「在A:B範圍內」即可,需要提醒一點,普通的開放本地機連接阜操作在「目標」區裡不用填寫任何東西!其他更多的選項可以根據這個舉一反三。

最後是「目標」區,這裡和「來源」區相反,它表示遠端主機連接的參數,無論你在「方向」裡選了什麼,這個地方出現的都必須是遠端機器的資料,永遠不要出現你的本機資料!
「目標」區主要是作為限制本地機對遠端訪問資料而設定的,例如阻止本地機程序訪問任何外部位址的8000連接阜,則在「目標」區裡設定「IP:位址」為「全部」,「TCP/UDP:連接阜」為「8000」即可,而「來源」區裡完全不用設定任何東西。

在上面幾個大區之外,還有個名為「應用程式」的按鈕,這裡用於設定特定的程序規則,其中可供選項的程序在右邊列出的已經被記錄訪問過網路的程序列表中選項增加,以後此條規則就專門針對這個列表裡的程序使用了,LooknStop這種思想大大增加了應用程式訪問規則的靈活性。


4. 監視的視窗——防火牆日誌
這裡是LooknStop的資料顯示視窗,如果你在規則裡設定了日誌記錄,這裡就會報告出來,顯示當前阻止和允許的連接數量和內容,還可以直接雙按列表直接檢視詳細的資料檔案類型,甚至完整的資料內容,在這一點上,LooknStop甚至可以替代Sniffer成為網路抓包工具!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
有 2 位會員向 psac 送花:
babk (2007-08-22),peggau (2007-08-09)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 05:38 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1