史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-06-02, 01:11 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - Outpost 4.0新特性預告

Outpost 4.0新特性預告

Agnitum Newsletter (29 May, 2006)


· Product update: Lets unveil some secrets about Outpost Firewall Pro 4.0
揭開4.0神秘面紗

· New technology: Increasing security with new anti-spam plug-in
新增的防LJ郵件插件

· Security insight newsletter: 1-year anniversary issue!


· Special Offer: AMUST Registry Cleaner 3.0 - get $10 off!



Product update: Lets unveil some secrets about Outpost Firewall Pro 4.0



Great news for Outpost fans around the world. The time is coming to the date of Outpost Firewall Pro 4.0 release. The release date is not set yet but this long waited event will happen in middle summer.
全世界OP粉絲的好消息。4.0發佈的日子即將來臨,發佈日期未定,但將會在中夏發佈。


We have talked about new features in Outpost Firewall Pro 4.0 in previous newsletter and will say just about additional ones. In addition to security issues that cover data anti leakage features, advanced anti spyware control there are some major changes in ImproveNet and usability.
我們在以前的訊息快遞裡已談及4.0的一些新特性,將再談談其它的一些。除保護資料防止洩露特性外,高階的防間諜控制方面有些變化,主要在「網路提高」及可用性方面。


An Improved ImproveNet
改良的ImproveNet (即通過網路來提高安全配置、規則等的意思吧)


ImproveNet was introduced in an earlier version of Outpost Firewall Pro as a means of saving users!/ time and providing additional security by collecting, approving, and redistributing commonly used rulesets amongst Outpost users.
Improvenet 曾在早期的版本裡提及,它通過收集、核准、分發一些大多數用戶規則來作為一種節省用戶時間和提高安全性的手段。


In Outpost 4.0, ImproveNet gathers information at the local PC level about how programs interact. These new local rules are automatically updated for ImproveNet subscribers and used to differentiate between safe and unsafe activities. This approach provides a new level of security over local processes.
在4.0里,「網路提高」將收集本機機器上程式間如何相互影響的一些訊息。這些新的本機規則將自動為「網路提高」的訂戶升級,並在安全及非安全行為之間區分開來。這種方式提供了一種新的基於本機工作行程這上的安全級別。


Improved usability
提高的可用性


Entertainment mode. When you!/re playing intense games or watching a movie online, you don!/t want to be interrupted by requests from your firewall to make a decision about allowing or rejecting a particular connection. So Outpost Firewall Pro 4.0 offers an !0entertainment mode!1 that suppresses firewall pop-up messages when specific programs (the list is customizable) are running. Switching to entertainment mode does not affect the security level of firewall while users are focused on the task at hand.
娛樂模式。當你玩遊戲或看線上電影時,你不想被防火牆的請求打斷。所以4.0提供了娛樂模式,即當某個特定程式(需自定義)啟動後防火牆禁止彈出消息窗。切換到娛樂模式並不影響你的安全級別。


For Advanced Users - Adaptive Firewall Rules. Outpost Firewall Pro 4.0 includes macro definitions for applications which allows users to manually define security rules for individual applications and Windows-based services. For example, users can now choose to limit DNS requests to the list of DNS services built into the network adaptor. If DNS is trying to reach an unlisted DNS server, the user will be prompted to allow or block this action.
對於高階用戶-有適用的規則。4.0包含了大量的程式預定義規則,也允許用戶為單個程式和WIndows服務定義規則。如,用戶現在可以選擇把DNS請求限制在綁定到網卡上的DNS服務列表中。也就是說如果DNS試圖到達一個未列入的DNS服務器,防火牆會提醒。


Stay tuned with forthcoming release of Outpost Firewall Pro 4.0 that will happen in the end of June-July 2006.
請觀注即將來臨的4.0,那一刻將發生在2006,6~7月間。


Anti spam technology: What is coming next for Outpost Users
防LJ郵件技術:這是下一個將為用戶帶來的東東。


Almost every user who has a personal e-mail address receives a lot of spam messages. There are many utilities that can identify spam messages and avoid unwanted messages to get to your mailbox. Some anti spam applications use black lists of servers that send spam messages, some use different algorithms to sort spam messages from normal ones. Still there is no high end tool that will stop spam messages once and for all.
幾乎所有的用戶都有某個郵件收到大量的LJ郵件。也有許多工具可以識別LJ郵件並避免收到LJ。一些防LJ郵件軟件使用了黑名單,一些使用了某種分類方法。始終沒有高效的終結LJ郵件的工具可以阻止LJ郵件。


Following the mission of the company, that is to provide users with a high security solution, Agnitum engineers have made a shift towards solving this challenging task of making a simple and powerful personal anti spam technology. Since August 2005, they have been developing this technology, which is based on Bayes algorithms. This technology is self learning and is installed as a toolbar in Outlook or Outlook Express. The interface is very simple, and user can set which messages to define as junk emails. Next time a user receives a spam message it is being compared with a spam messages database.
公司的後續任務是給用戶提供一套高效的安全方案,Agnutum的工程師們已經轉向尋找簡單面高效的防LJ郵件技術的任務上。從2005年8月開始,他們一直在開發這種技術,這種技術基於貝耶斯算法。這種技術是自學的,可以作為工具條被安裝在Outlook上。這種交互方式非常簡單,用戶可以定義LJ郵件。下一次,如果用戶收到了郵件則將會與LJ郵件資料進行比照。




Since spam messages are found they are put in Spam folders where a user can always check them and mark for non spam.
一旦發現LJ郵件則放進LJ郵件資料夾下,用戶可以再檢查一下或打上非LJ郵件標誌。






As spam mechanism is getting smarter, you can always view the result of a decision making process. This means that it will give you an explanation why the message is marked as spam or considered to be normal.
由於LJ郵件機制變得越來越聰明,你可以經常看看處理結果。這種方式讓你明白為什麼那些郵件被當成是LJ郵件或者是正常郵件。






When this application will be finally tested and approved, it will be integrated into Agnitum product line.
當這個應用被最終測試通過,將整合到Qgnitum的產品中。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-07-06, 08:13 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

outpost設置完全攻略!(徹底打造你的完美OP)
Outpost防火牆(以下簡稱OP)一直是我認為最好用的網路防火牆,他的功能非常強大,而且設置很靈活,關於網路狀況的檢視也很方便,附帶的插件甚至可以屏蔽廣告。和ZA不同的是,OP是基於入侵檢測的防火牆,所以占資源方面比ZA要少一些^_^。不過,他的設置還是挺複雜的,所以我就搭配抓圖寫一個簡單的設置指南,希望看了之後你能喜歡上這個防火牆~~~
1.界面篇
安裝好以後的界面是這樣的
http://www3.365mf.com/infoimg/20053261562453888.jpg
應該算是很友好的界面吧,這裡我們可以看到許多有用的訊息
http://www3.365mf.com/infoimg/200532615113927369.jpg
這裡是目前的網路活動,所有正在訪問網路的工作行程以及他們連接的IP地址,如果這裡有木馬的話也可以很方便的看到。紅色的是你禁止的網路活動,我這裡就禁止局域網的NETBIOS,所以用紅色顯示,如果對方是有惡意的話,嘿嘿
http://www3.365mf.com/infoimg/200532615275173692.jpg
這個是已打開的連接阜,稍微有些經驗的話,可以從這裡輕易的判斷是是否有黑客在連接你,注意一下常見的木馬連接阜或者高危連接阜,如果出現在這裡就比較可疑了。
http://www3.365mf.com/infoimg/200532615402035195.jpg
其實也有很多種分類方法的,所以才說他的檢視網路狀態很方便而且很靈活^_^
是該提到他的插件了,有了插件的擴展,OP會變得更加強大,嘿嘿
http://www3.365mf.com/infoimg/200532615481887125.jpg
廣告過濾,除了一般的按關鍵字過濾以外,也可以按照圖片大小過濾^_^,雜項中選擇用透明圖像替換廣告圖像,即可實現無聲過濾。
其他的插件就暫時先不說了,現在進入正題,開始設置了。
2.設置篇
現在正式進入OP的設置,首先打開OP的選項:
http://www3.365mf.com/infoimg/200532615515732595.jpg
這是一般選項,沒什麼可說的了,一般預定就好
http://www3.365mf.com/infoimg/20053261556615777.jpg
這是應用程式設置,關於應用程式設置,在OP中的彈性非常大,可以使用他預制的模板(有很多的),比如預定的規則中,你可以讓瀏覽器只訪問http連接阜,這樣即使這是黑客送出來的小甜點也不會對你構成威脅^_^
http://www3.365mf.com/infoimg/20053261653112176.jpg
如果你需要他訪問ftp的話,那麼可以在這裡右擊這個瀏覽器的名字,選擇修改規則,然後如下設置即可,是不是很容易啊~
http://www3.365mf.com/infoimg/20053261624589183.jpg
http://www3.365mf.com/infoimg/2005326167178643.jpg
關於這個隱藏的工作行程其實就是當一個程式執行的時候,呼叫了另外一個工作行程,那麼這另外的工作行程就是隱藏工作行程了,如下圖的提示
http://www3.365mf.com/infoimg/20053261681488020.jpg
這種隱藏的工作行程是插入式木馬常用的手段,如果你覺得有點煩人也可以關閉,嘿嘿,當然還是你自己選擇了^_^
http://www3.365mf.com/infoimg/200532616104462066.jpg
元件控制,這個我就不用多解釋了,看提示就知道。打開以後會出現如下提示,個人感覺他非常煩人,還是建議關閉
http://www3.365mf.com/infoimg/200532616123347734.jpg
最下面的工作行程控制,是否有些看不明白呢,比如說你用修改其改了一個,那麼這個遊戲就無法訪問網路了。還不明白?舉個更常見的例子,如果你用金山詞霸一類的詞典軟件在瀏覽器中取詞,那麼瀏覽器馬上就不能上網了。這樣明白了吧,還是關閉好了。
http://www3.365mf.com/infoimg/200532616161188155.jpg
系統設置,這裡比較麻煩一些,如果沒有經驗的話建議預定。主要來看看下面的設置。
http://www3.365mf.com/infoimg/200532616193017975.jpg
嗯,這裡就是新增專家規則的地方,和上面的新增應用程式規則有些類似。比如我要在本機開放FTP服務,那麼就做如下設置
http://www3.365mf.com/infoimg/200532616215722953.jpg
是不是覺得越來越簡單了啊,嘿嘿,其實本來也就不難的嘛。
底層通訊連接阜,就是那些不太常用的連接阜拉,如果有可疑的程式訪問他會提示的,比如你用黑軟的時候拉……
http://www3.365mf.com/infoimg/200532616251939389.jpg
這就是應用程式控制拉,預定的規則嚮導其實就是當一個新應用程式訪問網路時,會詢問你是否允許,這樣可以在木馬之前攔截住他,如果沒什麼問題的話建議使用這個。
http://www3.365mf.com/infoimg/200532616281271196.jpg
http://www3.365mf.com/infoimg/200532616341029901.jpg
插件中的入侵檢測,這個才是OP的主力拉,其實這個的設置也不難的,如果沒有特別要求的話,全部都預定好了^_^,當然那個安全級別的設置還是看你個人的感覺,嘿嘿~
3.總結篇
雖然說總結,不過真的要寫總結了反而不知道該寫什麼。洋洋灑灑的說了這麼多,看起來似乎是很麻煩吧,其實只要用預定設置就好了。其實OP真的是一款非常棒的防火牆,再次強力推薦。
編者按:Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆,佔用資源相對較小,設置靈活方便,穩定強悍,可以算得上個人防火牆中的佼佼者了。東西雖好,可是很多人在使用中只是讓軟件的預定設置在發揮作用,而防火牆的預定設定往往更側重於相容性方面的考慮,想讓防火牆更好的發揮作用,就需要你根據自己的網路情況作出調整和配置。正好官方論壇中有一篇相關文章,編譯出來和大家一起學習交流。特此感謝原作者和 Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。
原文作者:Paranoid2000 (OP官方論壇)
導論:
本文是為了幫助Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟件喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊,對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。
因為本文涉及到了對預定規則的調整,用戶最好事先對Outpost防火牆已經有一定熟悉度(按:並且最好對一些基本的網路知識和術語也有所瞭解)。
安全性和方便性永遠無法兩全,這就需要你根據自己的實際情況做出取捨-下文中一些改動可能需要你完成大量的調整工作,也會讓你的某些行為(如更換ISP)變得困難的多。某些(尤其是商業/企業的)網路環境可能會導致文中某些部分出現問題,請在實施改動前詳細閱讀各個專案的優點和缺點-如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試,分析Outpost的相關日誌(尤其是被禁止連接的日誌),以便做出進一步的決策。本文中的推薦更多是基於安全性而不是方便性的考慮。
最後,請注意本文檔並不是出自Agnitum公司,Agnitum公司也不對本文進行技術支持,相關問題和討論請在Outpost防火牆論壇提出,而不要與Agnitum公司直接聯繫。
致謝:
本文原作者為Paranoid2000,成文過程中根據Outpost論壇一些管理員和Agnitum公司的反饋做了擴展,對以上相關人員致以謝意,尤其對 David在E2部分對於svchost.exe(其為Windows XP用戶面臨的一個嚴重的安全隱患)規則的發展和測試工作表示鄭重感謝。
Outpost免費版用戶注意:
文中涉及的設置沒有在免費版中進行測試,某些部分(如關於全局規則設置的D小節)也無法部署(由於免費版中全局規則只能被禁用而無法修改),而某些特性(如元件控制)也是在Outpost Pro v2以後才出現的,然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。
A - 局域網設置(位於「選項/系統/局域網設置/設置」)
改動收益:通過限制特權用戶的連接來提高安全性。
付出代價:需要進行更多的設置和維護工作,尤其是對大型局域網來說。
本設置指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說,這裡列出的IP段越少越好,因為對這些地址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。(請查閱Outpost Rules Processing Order獲知詳情)
對非局域網用戶來說,本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設置」的鉤選以防止Outpost自動新增預定設置。
本部分設置只須處於如下環境的微機加以考慮:
? 位於局域網(LAN)中,並且帶有需要共享的文件或者印表機的微機;
? 位於局域網中並且需要通過網路應用程式進行連接,但是無法通過應用程式規則設定完成工作的微機;
? 位於互連網連接共享網關上的微機,其應將每一個共享客戶端的IP地址列為可信任地址。請查閱LAN and DNS settings for V2獲知詳情。
上述任一種情況下由Outpost提供的預定網路設置都是過於寬鬆的,因為它總是假設同一網路中的任何微機都應該被包括在內。
步驟:
? 取消鉤選「自動檢測新的網路設置」以防止Outpost自動新增新的設置。注意如果日後安裝了新的網卡,在此項禁止的情況下新的地址需要手動新增進去。
? 逐個新增每個PC的地址(所新增項隨後會以帶網路掩碼255.255.255.255的形式出現)。互連網地址絕不應該出現在該位置。
? 鉤選涉及到文件/印表機共享的微機後面的「NetBIOS」選項。
? 鉤選涉及到網路應用程式的微機後面的「信任」選項。
如果你位於一個大型局域網內,逐個列出每個微機就是不太現實的了,此時一個可用的方案就是用Blockpost插件列出IP段然後屏蔽該IP段中不需要的地址(Blockpost插件允許用戶定義任意IP段,這是Outpost現階段還做不到的)。
請注意局域網內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題(尤其是Windows網路中存在Browse Master和Domain Controller的情況下),請在本文F4部分查找通過插件設置避免問題的詳細內容。
B – ICMP設置(位於「選項/系統/ICMP/設置」)
ICMP(Internet Control Message Protocol)是用於傳送診斷訊息與出錯訊息的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。
該部分預定設置允許如下活動:
? 通過Ping命令進行的基本網路連接測試(由Echo Request Out和Echo Reply In實現) - 對本機進行的Ping將被攔截以掩藏本機的線上狀態。
? 對探測者顯示本機網路地址不可用(由Destination Unreachable In and Out 實現)。
? 對探測者顯示本機地址無法連接(由流入資料超時而引起),該類連接由Tracert命令發起-進入類跟蹤路由企圖將被攔截以掩藏本機線上狀態。
本項的預定設置對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定類型的掃瞄中會暴露你微機的存在(絕大部分已被Outpost攔截),所以對該項的改動可以讓你的微機的隱匿性更強。
改動收益:使你的微機逃過某些可以避開Outpost檢測的掃瞄。
付出代價:在某些情況下(如緩慢的DNS回應)Destination Unreachables訊息的傳送是合法的,此時就會顯示為被屏蔽,結果就是可能導致一些網路應用程式的延遲和超時(如P2P軟件)。
步驟:
? 取消對「Destination Unreachable 」Out的鉤選。
如果你在執行Server程式,那麼對Ping和Tracert命令的響應可能就是需要的。一些互連網服務提供商(ISP)可能也會要求你對它們的Ping做出回應以保持線上連接。這些情況下可以參考如下步驟。
改動收益:允許用戶檢查與Server之間的連接和網路性能,這些可能是某些ISP要求實現的。
付出代價:讓你的系統處於被Denial-of-Service(DoS)攻擊的危險之中。
步驟:
?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的響應。
?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的響應。
可選步驟:上述做法會使本機對任意地址的Ping和Tracert命令做出響應,還有一個可選擇的方案是用一個全局規則來實現只允許來自可信任地址的ICMP 訊息-但是這樣會導致其漠視Outpost的ICMP設置而允許所有的ICMP訊息流通。然而當特定 地址已知時,這樣做也未嘗不可。通過如下步驟實現:
?創建一個如下設置的全局規則:
Allow Trusted ICMP:指定的協議IP 類型ICMP,指定的遠端主機 ,允許
注意該規則不要定義方向(流入和流出的資料都需要獲得權限)。
C - 防火牆模式(位於「選項/系統/防火牆模式」)
保持預定設定「增強」,不建議作改動。
D-系統和應用程式全局規則(位於「選項/系統/系統和應用程式全局規則」)
D1-指定DNS服務器地址
DNS (Domain Name System)是通過域名來確定IP地址的一種方法(如 otupostfirewall.com的IP地址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities)。因為連接網站時DNS訊息必須通過防火牆以實現IP地址查詢,一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊地址限定為你的ISP所提供的DNS服務器,這種偽DNS請求就可以被有效的攔截。有兩 種方法可以完成這項任務:
(a). 「全局DNS」設置-把你的ISP的DNS服務器地址加入到全局規則中
改動收益:通過少量工作即可完成上述任務。
付出代價:如果你通過多家ISP上網,那麼所有的服務器地址都需要被新增進去-如果你更換了ISP或者ISP更改了它們的服務器地址,那麼你就需要把新的地址更新進規則中去。如果你有程式或者網路環境需要應用反覆式DNS查詢(Windows環境下通常使用遞歸式查詢,反覆式通常是應用於DNS服務器之間),那麼配置這條規則就可能會出現問題。
步驟:
?找到你的ISP使用的DNS服務器地址。最簡單的方法就是在命令行視窗中使用「ipconfig –all」來查詢,Windows 9x/Me/Xp的用戶也可以在開始表菜單的「執行」交談視窗中使用winipcfg得到相關訊息。
?把這些地址作為遠端主機地址加入到「Allow DNS Resolving」全局規則中。
Windows 2000/XP用戶還應該把這些地址加到應用程式規則中services.exe/svchost.exe的相關專案中(詳情參見E2部分)。
(b). 「應用程式DNS」設置-移除全局規則,逐個給每個程式新增DNS規則
改動收益:如此一來新新增的程式通常需要兩項規則(DNS規則和程式自身需要的規則)來減少可疑程式在意外情況下的通行。試圖與「老家」通訊的惡意程式現在就面臨著尋找必要IP地址的額外手續,這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到。只通過DNS連接阜通訊的這類木馬程式現在就必須通過額外規則才可以通行,這也是現在唯一可以屏蔽DNShell以及類似洩漏測試的方法。
付出代價:需要完成繁瑣的多的工作-每一個程式都需要新增一條額外的規則。更換ISP後需要把所有規則更新為新的DNS地址。
步驟:
?在Windows 2000和XP環境下,關掉「DNS客戶服務」(通過 開始/控制台/管理選項/服務)。這會強迫每個程式發出自己的DNS請求,而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。
?停用或者刪除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。
?對每一個程式新增一個新規則,使用下列關鍵字:
DNS Resolution:指定協議UDP,遠端連接阜53,遠端主機,允許
可以通過設定本規則為預設規則來簡化工作。步驟如下:離線網路,退出Outpost,打開preset.lst文件(位於Outpost程式資料夾中)並在文件末尾新增下列規則:
; Application DNS Resolution
[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: 加入你的ISP的DNS服務器地址,如有多個用逗號分隔
AllowIt
新增該預設規則後,日後碰到新增規則嚮導提示的時候只要選定該預設規則匯入即可(如果你想允許該程式通行的話)。這種情況下,IP地址在「選項/程式」中將以附帶(255.255.255.255)子網掩碼的形式出現,此即指明了一個條目的IP地址範圍,其與單獨一個IP地址所起作用相同。注意此時「工具/ 自動檢查升級」選項應該被禁用,因為對preset.lst的改動可能被自動更新的文件覆蓋掉(雖然「自動更新」在覆蓋文件以前會提示),一個比較好的辦法是手動備份該文件,然後再進行更新,更新完畢後如有必要再把備份文件覆蓋回去。
注意-兩種DNS設置都需要的規則
不管選擇上述兩種設置中的哪一種,都需要考慮到一種情況-DNS查詢使用更多的是UDP(User Datagram Protocol)協議而不是TCP(Transport Control Protocol)協議。查詢使用到TCP協議的情況很少見而且通常是複雜查詢-實際使用中通常它們可以被屏蔽,因為該查詢會用UDP協議再次發送,因此在全局規則中可以新增一條規則如下:
Block DNS(TCP):協議 TCP,方向 出站,遠端連接阜 53,禁止
如果你想允許此類通訊,那麼或者是修改規則為「允許」(指全局DNS規則)或者是為每一個程式創建第二條DNS規則用TCP取代UDP(應用程式DNS規則)。
報告疑為木馬程式偽裝的DNS活動
任何對已設定DNS服務器以外地址的查詢都應該被視為可疑活動而在預定情況下被禁止,此時可以在DOS視窗中用ipconfig /all命令來查詢是否ISP的DNS服務器已改變而需要更新DNS規則設置。
此時可以通過在全局規則中其它DNS規則下方新增如下規則來解決-第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要:
Possible Trojan DNS(UDP): 協議 UDP,遠端連接阜 53,禁止 並且報告
Possible Trojan DNS(TCP): 協議 TCP,方向 出站,遠端連接阜53,禁止 並且報告
該規則會禁止任何可疑的DNS嘗試並且做出報告。注意該規則不推薦採用應用程式DNS設置的用戶使用,因為合法DNS服務器地址需要從規則中排除以防止誤報(例如當一個沒有設置規則的程式發起請求的時候)-指定IP地址範圍可以解決該問題,但是Outpo st現有對IP段的處理能力並不是很完善。
D2-指定DHCP服務器地址
DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP地址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊,這也就成為了木馬程式為了在不被探測到的情況下向外發送訊息所可能採用的一種手段。除此之外,向特定地址用大量的DHCP訊息 進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。
如果你的系統使用固定IP地址(不管是因為位於內網還是因為使用獲得動態地址的路由器)那麼此部分設置可以略過。想檢查DHCP是否被應用,可以在命令行視窗使用ipconfig /all來查詢-在視窗底部可以得到相關訊息。
限制DHCP通訊到某個特定服務器比對DNS做出限制要稍微複雜一些,因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向(部分是由於DHCP協議使用UDP協議,部分是由於它能包括的IP地址的變化),因此本規則推薦對本機和遠端連接阜而不是對方向進行限制。另外,第一次DHCP請求是對255.255.255.255地址發出的廣播形式(該通訊應該送達局域網中所有的主機),因為機器啟動時無從得知DHCP服務器的地址,後續的DHCP請求(為了更新IP地址分配)才會被發送到 DHCP服務器。
Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則(Windows 2000是services.exe,Windows XP是svchost.exe)來進一步限制DHCP通訊,請參考E2部分獲得更詳盡的訊息。
改動收益:防止對DHCP權限的濫用。
付出代價:如果使用多家ISP,每一家都需要單獨設定其服務器地址。如果更換ISP,相關規則也需要做出更新。某些ISP可能會需要通過多項條目進行設定-尤其是在其擁有具有多個連接點的大型網路時。
步驟:
?通過ipconfig /all或者winipcfg查找得到DHCP服務器地址。注意DHCP服務器與DNS服務器地址通常是不同的。
?Windows 9x/ME用戶創建全局規則:
Allow DHCP Request: 協議 UDP,遠端地址 ,255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
?Windows 2000/XP用戶創建全局規則:
Allow DHCP Broadcast:協議 UDP,遠端地址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
因為DHCP服務器地址可能會發生改變,建議在IP地址分配碰到問題時禁止上述規則中對「遠端地址」的設定-如果一切正常就保留該設定,在重新允許該規則以前驗證並且更新(如有必要)DHCP服務器地址。DHCP服務器通常不會作出大範圍的網路轉移,所以在其地址中使用通配符(例如192.168.2.*)可以有效減少該類問題的發生。
D3-禁止「Allow Loopback」規則
預定規則中的「Allow Loopback」全局規則給使用代理服務器的用戶(例如AnalogX Proxy,Proxomitron,WebWasher以及某些反垃圾/反病毒軟件)帶來了一個極大的安全隱患,因為其允許任何未經指明屏蔽的程式使用為代理設置的規則進行互連網通訊,禁止或者刪除該全局規則即可消除隱患。
改動收益:防止未經授權的程式利用代理服務器規則進行通訊。
付出代價:任何使用代理服務器的程式(例如和Proxomitron配合使用的瀏覽器,等等)都需要設定一條額外的規則(其時彈出的規則嚮導中的建議配置在絕大多數情況下已經足夠應付)。
步驟:
?通過「選項/系統/系統和應用程式全局規則/設置」進入全局規則列表
?通過去除「Allow Loopback」的鉤選來禁止該項規則
D4-禁止不必要的全局規則
預定設置中的某些全局規則並不是很恰當,可以通過去除對其的鉤選來停用。這些規則包括:
?Allow Inbound Authentication - 一個簡陋而且不可靠的檢查網路連接端的規則,很少被用到。如果需要的時候,停用該規則可能會導致登入Email服務器的延遲。
?Allow GRE Protocol,Allow PPTP control connection - 這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的,如果沒有此需求可以停用這些規則。
改動收益:防止應用這些連接阜的訊息洩漏。
付出代價:禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲(此時可以重新啟動該規則,並把郵件服務器新增為遠端地址)
步驟:
?通過「選項/系統/系統和應用程式全局規則/設置」進入全局規則列表
?清除對相應規則的鉤選
D5-屏蔽未使用和未知的協議
全局規則可以對互連網協議(IP)以及TCP和UDP協議作出限定,對IP涉及到的一系列協議建議全部加以屏蔽,除了下面所述類型:
?ICMP(1)-此協議通過ICMP相關規則來處理;
?IGMP(2)-多點廣播需要用到(如線上視頻直播),如果需要應用到該項協議就不要禁用;
?ESP(50)和AH(51)-IPSec需要應用到這些協議,所以VPN(Virtual Private Network)用戶不要禁用這些設置。
企業用戶要謹慎處理這些設置-其中一些選項可能是局域網中路由通訊所必需的。
可以設定一條全局規則來處理這些未知協議(包括類似IPX或者NetBEUI的協議)-建議設定該項規則來進行屏蔽。
改動收益:防止未來可能經由這些連接阜的訊息洩漏。
付出代價:出於Outpost採用的處理規則的方式,這些改動可能會顯著增大相關處理流程的數量,尤其對於使用文件共享程式或者位於比較繁忙局域網中的用戶來說。
步驟:
未使用的協議
?進入「選項/系統/系統和應用程式全局規則/設置」;
?點選「新增」創建新的全局規則;
?設置指定協議為IP,此時其後面所跟的「類型」是「未定義」;
?點擊「未定義」進入IP類型列表視窗;
?選定你想要屏蔽的類型然後點擊OK;
?設定響應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。
未知協議
?進入「選項/系統/系統和應用程式全局規則/設置」;
?點選「新增」創建新的全局規則;
?設定協議為「未知」,響應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。
E - 應用程式規則 (位於「選項/應用程式」)
E1-移除位於「信任的應用程式」組中的專案
即使程式需要正常的訪問互連網,對其通訊不加過問的一律放行也不是明智的做法。某些程式可能會要求比所需更多的連接(浪費帶寬),有的程式會跟「老家」悄悄聯繫洩漏你的隱私訊息。出於這種考慮,應該把「信任的應用程式」組中的專案移入「部分允許的應用程式 」組,並且設置如下所建議的合適的規則。
E2-謹慎設置「部分允許的應用程式」
Outpost的自動配置功能將會給每一個探測到要求連接網路的程式配置預定的規則,然而這些預定規則是從易於使用的角度出發的,所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆配置中最富有挑戰性的部分,由於個人的使用環境和偏好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦配置和參考配置。
推薦配置用紅色表示
建議配置用藍色表示
可選配置用綠色表示
如果使用了D1部分提及的「應用程式DNS」設置,那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則,請注意這些應用程式規則的優先級位於全局規則之上,詳情請見Outpost Rules Processing Order常見問題貼。
在規則中使用域名注意事項:
當域名被用作本機或遠端地址時,Outpost會立刻查找相應的IP地址(需要DNS連接),如果該域名的IP發生了改變,規則不會被自動更新-域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。
某些域名可能使用了多個IP地址-只有在「選項/應用程式」中手動建立的規則Outpost才會自動尋找其所有IP地址,通過規則嚮導建立的規則則不行。因此,通過規則嚮導建立的規則需要重新在「選項/應用程式」中手動輸入域名以確保所有IP地址能被找到 。
Svchost.exe(Windows XP系統獨有)
Svchost.exe是一個棘手的程式-為了完成一些基本的網路任務它需要進行互連網連接,但是給它完全的權限又會把系統至於RPC(例如Blaster、Welchia/Nachi等蠕蟲)洩漏的危險之中。給這個程式創建合適的規則也就變得格外的重要。
Allow DNS(UDP):協議 UDP,遠端連接阜 53,遠端地址 ,允許
Allow DNS(TCP):協議TCP,方向 出站,遠端連接阜 53,遠端地址 ,允許
Possible Trojan DNS(UDP):協議 UDP,遠端連接阜 53,禁止並且報告
Possible Trojan DNS(TCP):協議 TCP,方向 出站,遠端連接阜 53,禁止並且報告
?DNS規則 - 可在D1部分中檢視詳情,只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則,因為此時svchost.exe才會進行查找工作;
?因為此處只需要一條TCP規則,此規則被設定為「允許」;
? 因為某些木馬程式試圖把它們的活動偽裝成DNS查詢,推薦把任何試圖與DNS服務器以外的地址進行連接的嘗試視為可疑-Trojan DNS規則將報告類似的連接。如果連接是合法的(如果你的ISP更換了DNS服務器地址這些「允許」規則需要及時進行更新)則對其做出報告很容易導致網路失去連接,此時應該從禁止日誌中查明原因。
Block Incoming SSDP:協議 UDP,本機連接阜 1900,禁止
Block Outgoing SSDP:協議 UDP,遠端連接阜 1900,禁止
? 這些規則屏蔽了用於在局域網中查找即插即用設備(UPnP)的簡單服務搜尋協議(SSDP)。由於即插即用設備會導致許多安全問題的出現,如非必要最好還是將其禁用-如果必須使用的話,則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用,即可防止SSDP起作用,所以這些規則是建議配置。
Block Incoming UPnP:協議 TCP,方向 入站,本機連接阜 5000,禁止
Block Outgoing UPnP:協議TCP,方向 出站,遠端連接阜 5000,禁止
? 這些規則屏蔽了UPnP資料包-如同上面關於SSDP的規則,如果你非常需要UPnP則把規則改為「允許」,可是一定要把UPnP設備的IP地址設為遠端地址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用,即可防止UPnP起作用,所以這些規則是建議配置。
Block RPC(TCP):協議 TCP,方向 入站,本機連接阜 135,禁止
Block RPC(UDP):協議 UDP,本機連接阜 135,禁止
?這些規則實際上是預定的全局規則中關於屏蔽RPC/DCOM通訊的規則拷貝-所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接,則把這些規則改為「允許」,不過僅限於信任的遠端地址。
Allow DHCP Request:協議 UDP,遠端地址 ,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許
?DHCP 規則-請至D2部分檢視詳情(如果使用的是固定IP地址則不需應用此規則-通常只有在私有局域網內才會如此)。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的-由於應用了最後的「Block Other TCP/UDP」規則,全局DHCP規則此時並不會起作用。
Allow Help Web Access:協議TCP,方向 出站,遠端連接阜 80,443,允許
?Windows幫助系統可能會通過svchost.exe發起網路連接-如果你不想使用幫助系統(或者是不希望微軟知道你何時使用的)則可以略過本規則。
Allow Time Synchronisation:協議 UDP,遠端連接阜 123,遠端地址 time.windows.com,time.nist.gov,允許
?用於時間同步-只有當你需要用到Windows XP這個特性時才需要創建該規則。
Block Other TCP Traffic:協議TCP,方向 出站,禁止
Block Other TCP Traffic:協議 TCP,方向 入站,禁止
Block Other UDP Traffic:協議 UDP,禁止
?把這些規則設定在規則列表的最下面-它們會阻止未設定規則的服務的規則向導彈出視窗。未來所新增的任何規則都應該置於這些規則之上。
商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系統服務所需放行的額外連接阜訊息。
outpost設置完全攻略!(徹底打造你的完美OP)
Outpost防火牆(以下簡稱OP)一直是我認為最好用的網路防火牆,他的功能非常強大,而且設置很靈活,關於網路狀況的檢視也很方便,附帶的插件甚至可以屏蔽廣告。和ZA不同的是,OP是基於入侵檢測的防火牆,所以占資源方面比ZA要少一些^_^。不過,他的設置還是挺複雜的,所以我就搭配抓圖寫一個簡單的設置指南,希望看了之後你能喜歡上這個防火牆~~~
1.界面篇
安裝好以後的界面是這樣的
http://www3.365mf.com/infoimg/20053261562453888.jpg
應該算是很友好的界面吧,這裡我們可以看到許多有用的訊息
http://www3.365mf.com/infoimg/200532615113927369.jpg
這裡是目前的網路活動,所有正在訪問網路的工作行程以及他們連接的IP地址,如果這裡有木馬的話也可以很方便的看到。紅色的是你禁止的網路活動,我這裡就禁止局域網的NETBIOS,所以用紅色顯示,如果對方是有惡意的話,嘿嘿
http://www3.365mf.com/infoimg/200532615275173692.jpg
這個是已打開的連接阜,稍微有些經驗的話,可以從這裡輕易的判斷是是否有黑客在連接你,注意一下常見的木馬連接阜或者高危連接阜,如果出現在這裡就比較可疑了。
http://www3.365mf.com/infoimg/200532615402035195.jpg
其實也有很多種分類方法的,所以才說他的檢視網路狀態很方便而且很靈活^_^
是該提到他的插件了,有了插件的擴展,OP會變得更加強大,嘿嘿
http://www3.365mf.com/infoimg/200532615481887125.jpg
廣告過濾,除了一般的按關鍵字過濾以外,也可以按照圖片大小過濾^_^,雜項中選擇用透明圖像替換廣告圖像,即可實現無聲過濾。
其他的插件就暫時先不說了,現在進入正題,開始設置了。
2.設置篇
現在正式進入OP的設置,首先打開OP的選項:
http://www3.365mf.com/infoimg/200532615515732595.jpg
這是一般選項,沒什麼可說的了,一般預定就好
http://www3.365mf.com/infoimg/20053261556615777.jpg
這是應用程式設置,關於應用程式設置,在OP中的彈性非常大,可以使用他預制的模板(有很多的),比如預定的規則中,你可以讓瀏覽器只訪問http連接阜,這樣即使這是黑客送出來的小甜點也不會對你構成威脅^_^
http://www3.365mf.com/infoimg/20053261653112176.jpg
如果你需要他訪問ftp的話,那麼可以在這裡右擊這個瀏覽器的名字,選擇修改規則,然後如下設置即可,是不是很容易啊~
http://www3.365mf.com/infoimg/20053261624589183.jpg
http://www3.365mf.com/infoimg/2005326167178643.jpg
關於這個隱藏的工作行程其實就是當一個程式執行的時候,呼叫了另外一個工作行程,那麼這另外的工作行程就是隱藏工作行程了,如下圖的提示
http://www3.365mf.com/infoimg/20053261681488020.jpg
這種隱藏的工作行程是插入式木馬常用的手段,如果你覺得有點煩人也可以關閉,嘿嘿,當然還是你自己選擇了^_^
http://www3.365mf.com/infoimg/200532616104462066.jpg
元件控制,這個我就不用多解釋了,看提示就知道。打開以後會出現如下提示,個人感覺他非常煩人,還是建議關閉
http://www3.365mf.com/infoimg/200532616123347734.jpg
最下面的工作行程控制,是否有些看不明白呢,比如說你用修改其改了一個,那麼這個遊戲就無法訪問網路了。還不明白?舉個更常見的例子,如果你用金山詞霸一類的詞典軟件在瀏覽器中取詞,那麼瀏覽器馬上就不能上網了。這樣明白了吧,還是關閉好了。
http://www3.365mf.com/infoimg/200532616161188155.jpg
系統設置,這裡比較麻煩一些,如果沒有經驗的話建議預定。主要來看看下面的設置。
http://www3.365mf.com/infoimg/200532616193017975.jpg
嗯,這裡就是新增專家規則的地方,和上面的新增應用程式規則有些類似。比如我要在本機開放FTP服務,那麼就做如下設置
http://www3.365mf.com/infoimg/200532616215722953.jpg
是不是覺得越來越簡單了啊,嘿嘿,其實本來也就不難的嘛。
底層通訊連接阜,就是那些不太常用的連接阜拉,如果有可疑的程式訪問他會提示的,比如你用黑軟的時候拉……
http://www3.365mf.com/infoimg/200532616251939389.jpg
這就是應用程式控制拉,預定的規則嚮導其實就是當一個新應用程式訪問網路時,會詢問你是否允許,這樣可以在木馬之前攔截住他,如果沒什麼問題的話建議使用這個。
http://www3.365mf.com/infoimg/200532616281271196.jpg
http://www3.365mf.com/infoimg/200532616341029901.jpg
插件中的入侵檢測,這個才是OP的主力拉,其實這個的設置也不難的,如果沒有特別要求的話,全部都預定好了^_^,當然那個安全級別的設置還是看你個人的感覺,嘿嘿~
3.總結篇
雖然說總結,不過真的要寫總結了反而不知道該寫什麼。洋洋灑灑的說了這麼多,看起來似乎是很麻煩吧,其實只要用預定設置就好了。其實OP真的是一款非常棒的防火牆,再次強力推薦。
編者按:Agnitum Outpost Firewall Pro是一個受到越來越多用戶喜愛和關注的優秀防火牆,佔用資源相對較小,設置靈活方便,穩定強悍,可以算得上個人防火牆中的佼佼者了。東西雖好,可是很多人在使用中只是讓軟件的預定設置在發揮作用,而防火牆的預定設定往往更側重於相容性方面的考慮,想讓防火牆更好的發揮作用,就需要你根據自己的網路情況作出調整和配置。正好官方論壇中有一篇相關文章,編譯出來和大家一起學習交流。特此感謝原作者和 Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.540 1 (412)版漢化。
原文作者:Paranoid2000 (OP官方論壇)
導論:
本文是為了幫助Outpost防火牆的用戶建立一個更安全、對微機的流出資料監控更加嚴密的網路連接。隨著越來越多的軟件喜歡在用戶不知情的情況下向「老家」傳送訊息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網路通訊,對網路的流出信 息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。
因為本文涉及到了對預定規則的調整,用戶最好事先對Outpost防火牆已經有一定熟悉度(按:並且最好對一些基本的網路知識和術語也有所瞭解)。
安全性和方便性永遠無法兩全,這就需要你根據自己的實際情況做出取捨-下文中一些改動可能需要你完成大量的調整工作,也會讓你的某些行為(如更換ISP)變得困難的多。某些(尤其是商業/企業的)網路環境可能會導致文中某些部分出現問題,請在實施改動前詳細閱讀各個專案的優點和缺點-如果有疑問可以試著每次只進行一項改動然後進行詳盡的測試,分析Outpost的相關日誌(尤其是被禁止連接的日誌),以便做出進一步的決策。本文中的推薦更多是基於安全性而不是方便性的考慮。
最後,請注意本文檔並不是出自Agnitum公司,Agnitum公司也不對本文進行技術支持,相關問題和討論請在Outpost防火牆論壇提出,而不要與Agnitum公司直接聯繫。
致謝:
本文原作者為Paranoid2000,成文過程中根據Outpost論壇一些管理員和Agnitum公司的反饋做了擴展,對以上相關人員致以謝意,尤其對 David在E2部分對於svchost.exe(其為Windows XP用戶面臨的一個嚴重的安全隱患)規則的發展和測試工作表示鄭重感謝。
Outpost免費版用戶注意:
文中涉及的設置沒有在免費版中進行測試,某些部分(如關於全局規則設置的D小節)也無法部署(由於免費版中全局規則只能被禁用而無法修改),而某些特性(如元件控制)也是在Outpost Pro v2以後才出現的,然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。
A - 局域網設置(位於「選項/系統/局域網設置/設置」)
改動收益:通過限制特權用戶的連接來提高安全性。
付出代價:需要進行更多的設置和維護工作,尤其是對大型局域網來說。
本設置指定哪些IP段需要被認定為「可信用戶」。從安全性的角度來說,這裡列出的IP段越少越好,因為對這些地址流入流出的資料可能會漠視所有應用程式規則和全局規則而得以通行。(請查閱Outpost Rules Processing Order獲知詳情)
對非局域網用戶來說,本部分沒有考慮的必要。這種情況下可以去掉對「自動檢測新的網路設置」的鉤選以防止Outpost自動新增預定設置。
本部分設置只須處於如下環境的微機加以考慮:
? 位於局域網(LAN)中,並且帶有需要共享的文件或者印表機的微機;
? 位於局域網中並且需要通過網路應用程式進行連接,但是無法通過應用程式規則設定完成工作的微機;
? 位於互連網連接共享網關上的微機,其應將每一個共享客戶端的IP地址列為可信任地址。請查閱LAN and DNS settings for V2獲知詳情。
上述任一種情況下由Outpost提供的預定網路設置都是過於寬鬆的,因為它總是假設同一網路中的任何微機都應該被包括在內。
步驟:
? 取消鉤選「自動檢測新的網路設置」以防止Outpost自動新增新的設置。注意如果日後安裝了新的網卡,在此項禁止的情況下新的地址需要手動新增進去。
? 逐個新增每個PC的地址(所新增項隨後會以帶網路掩碼255.255.255.255的形式出現)。互連網地址絕不應該出現在該位置。
? 鉤選涉及到文件/印表機共享的微機後面的「NetBIOS」選項。
? 鉤選涉及到網路應用程式的微機後面的「信任」選項。
如果你位於一個大型局域網內,逐個列出每個微機就是不太現實的了,此時一個可用的方案就是用Blockpost插件列出IP段然後屏蔽該IP段中不需要的地址(Blockpost插件允許用戶定義任意IP段,這是Outpost現階段還做不到的)。
請注意局域網內的網路活動可能被「入侵檢測」插件曲解為攻擊行為。如果你遇到此問題(尤其是Windows網路中存在Browse Master和Domain Controller的情況下),請在本文F4部分查找通過插件設置避免問題的詳細內容。
B – ICMP設置(位於「選項/系統/ICMP/設置」)
ICMP(Internet Control Message Protocol)是用於傳送診斷訊息與出錯訊息的一部分網路連接阜。詳情請查閱RFC 792 - Internet Control Message Protocol。
該部分預定設置允許如下活動:
? 通過Ping命令進行的基本網路連接測試(由Echo Request Out和Echo Reply In實現) - 對本機進行的Ping將被攔截以掩藏本機的線上狀態。
? 對探測者顯示本機網路地址不可用(由Destination Unreachable In and Out 實現)。
? 對探測者顯示本機地址無法連接(由流入資料超時而引起),該類連接由Tracert命令發起-進入類跟蹤路由企圖將被攔截以掩藏本機線上狀態。
本項的預定設置對絕大部分用戶而言已是足夠安全的。然而允許Destination Unreachable資料包流出在某些特定類型的掃瞄中會暴露你微機的存在(絕大部分已被Outpost攔截),所以對該項的改動可以讓你的微機的隱匿性更強。
改動收益:使你的微機逃過某些可以避開Outpost檢測的掃瞄。
付出代價:在某些情況下(如緩慢的DNS回應)Destination Unreachables訊息的傳送是合法的,此時就會顯示為被屏蔽,結果就是可能導致一些網路應用程式的延遲和超時(如P2P軟件)。
步驟:
? 取消對「Destination Unreachable 」Out的鉤選。
如果你在執行Server程式,那麼對Ping和Tracert命令的響應可能就是需要的。一些互連網服務提供商(ISP)可能也會要求你對它們的Ping做出回應以保持線上連接。這些情況下可以參考如下步驟。
改動收益:允許用戶檢查與Server之間的連接和網路性能,這些可能是某些ISP要求實現的。
付出代價:讓你的系統處於被Denial-of-Service(DoS)攻擊的危險之中。
步驟:
?鉤選「Echo Reply」Out和「Echo Request」In選項以允許對Ping的響應。
?鉤選「Destination Unreachable」Out和「Time Exceeded for a Datagram」Out選項以允許對Tracert的響應。
可選步驟:上述做法會使本機對任意地址的Ping和Tracert命令做出響應,還有一個可選擇的方案是用一個全局規則來實現只允許來自可信任地址的ICMP 訊息-但是這樣會導致其漠視Outpost的ICMP設置而允許所有的ICMP訊息流通。然而當特定 地址已知時,這樣做也未嘗不可。通過如下步驟實現:
?創建一個如下設置的全局規則:
Allow Trusted ICMP:指定的協議IP 類型ICMP,指定的遠端主機 ,允許
注意該規則不要定義方向(流入和流出的資料都需要獲得權限)。
C - 防火牆模式(位於「選項/系統/防火牆模式」)
保持預定設定「增強」,不建議作改動。
D-系統和應用程式全局規則(位於「選項/系統/系統和應用程式全局規則」)
D1-指定DNS服務器地址
DNS (Domain Name System)是通過域名來確定IP地址的一種方法(如 otupostfirewall.com的IP地址是216.12.219.12。詳情請查閱RFC 1034 - Domain names - concepts and facilities)。因為連接網站時DNS訊息必須通過防火牆以實現IP地址查詢,一些木馬以及洩漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊地址限定為你的ISP所提供的DNS服務器,這種偽DNS請求就可以被有效的攔截。有兩 種方法可以完成這項任務:
(a). 「全局DNS」設置-把你的ISP的DNS服務器地址加入到全局規則中
改動收益:通過少量工作即可完成上述任務。
付出代價:如果你通過多家ISP上網,那麼所有的服務器地址都需要被新增進去-如果你更換了ISP或者ISP更改了它們的服務器地址,那麼你就需要把新的地址更新進規則中去。如果你有程式或者網路環境需要應用反覆式DNS查詢(Windows環境下通常使用遞歸式查詢,反覆式通常是應用於DNS服務器之間),那麼配置這條規則就可能會出現問題。
步驟:
?找到你的ISP使用的DNS服務器地址。最簡單的方法就是在命令行視窗中使用「ipconfig –all」來查詢,Windows 9x/Me/Xp的用戶也可以在開始表菜單的「執行」交談視窗中使用winipcfg得到相關訊息。
?把這些地址作為遠端主機地址加入到「Allow DNS Resolving」全局規則中。
Windows 2000/XP用戶還應該把這些地址加到應用程式規則中services.exe/svchost.exe的相關專案中(詳情參見E2部分)。
(b). 「應用程式DNS」設置-移除全局規則,逐個給每個程式新增DNS規則
改動收益:如此一來新新增的程式通常需要兩項規則(DNS規則和程式自身需要的規則)來減少可疑程式在意外情況下的通行。試圖與「老家」通訊的惡意程式現在就面臨著尋找必要IP地址的額外手續,這樣它們會誤認為現在無網路連接從而進入休眠狀態直到被偵測到。只通過DNS連接阜通訊的這類木馬程式現在就必須通過額外規則才可以通行,這也是現在唯一可以屏蔽DNShell以及類似洩漏測試的方法。
付出代價:需要完成繁瑣的多的工作-每一個程式都需要新增一條額外的規則。更換ISP後需要把所有規則更新為新的DNS地址。
步驟:
?在Windows 2000和XP環境下,關掉「DNS客戶服務」(通過 開始/控制台/管理選項/服務)。這會強迫每個程式發出自己的DNS請求,而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。
?停用或者刪除「系統和應用程式全局規則」中的「Allow DNS Resolving」規則。
?對每一個程式新增一個新規則,使用下列關鍵字:
DNS Resolution:指定協議UDP,遠端連接阜53,遠端主機,允許
可以通過設定本規則為預設規則來簡化工作。步驟如下:離線網路,退出Outpost,打開preset.lst文件(位於Outpost程式資料夾中)並在文件末尾新增下列規則:
; Application DNS Resolution
[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: 加入你的ISP的DNS服務器地址,如有多個用逗號分隔
AllowIt
新增該預設規則後,日後碰到新增規則嚮導提示的時候只要選定該預設規則匯入即可(如果你想允許該程式通行的話)。這種情況下,IP地址在「選項/程式」中將以附帶(255.255.255.255)子網掩碼的形式出現,此即指明了一個條目的IP地址範圍,其與單獨一個IP地址所起作用相同。注意此時「工具/ 自動檢查升級」選項應該被禁用,因為對preset.lst的改動可能被自動更新的文件覆蓋掉(雖然「自動更新」在覆蓋文件以前會提示),一個比較好的辦法是手動備份該文件,然後再進行更新,更新完畢後如有必要再把備份文件覆蓋回去。
注意-兩種DNS設置都需要的規則
不管選擇上述兩種設置中的哪一種,都需要考慮到一種情況-DNS查詢使用更多的是UDP(User Datagram Protocol)協議而不是TCP(Transport Control Protocol)協議。查詢使用到TCP協議的情況很少見而且通常是複雜查詢-實際使用中通常它們可以被屏蔽,因為該查詢會用UDP協議再次發送,因此在全局規則中可以新增一條規則如下:
Block DNS(TCP):協議 TCP,方向 出站,遠端連接阜 53,禁止
如果你想允許此類通訊,那麼或者是修改規則為「允許」(指全局DNS規則)或者是為每一個程式創建第二條DNS規則用TCP取代UDP(應用程式DNS規則)。
報告疑為木馬程式偽裝的DNS活動
任何對已設定DNS服務器以外地址的查詢都應該被視為可疑活動而在預定情況下被禁止,此時可以在DOS視窗中用ipconfig /all命令來查詢是否ISP的DNS服務器已改變而需要更新DNS規則設置。
此時可以通過在全局規則中其它DNS規則下方新增如下規則來解決-第二條只有在上述提到的TCP DNS規則設為允許的情況下才需要:
Possible Trojan DNS(UDP): 協議 UDP,遠端連接阜 53,禁止 並且報告
Possible Trojan DNS(TCP): 協議 TCP,方向 出站,遠端連接阜53,禁止 並且報告
該規則會禁止任何可疑的DNS嘗試並且做出報告。注意該規則不推薦採用應用程式DNS設置的用戶使用,因為合法DNS服務器地址需要從規則中排除以防止誤報(例如當一個沒有設置規則的程式發起請求的時候)-指定IP地址範圍可以解決該問題,但是Outpo st現有對IP段的處理能力並不是很完善。
D2-指定DHCP服務器地址
DHCP(Dynamic Host Configuration Protocol)是大多數ISP給登入用戶分配臨時IP地址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊,這也就成為了木馬程式為了在不被探測到的情況下向外發送訊息所可能採用的一種手段。除此之外,向特定地址用大量的DHCP訊息 進行衝擊也成為了Denial of Service(DoS)攻擊採用的一種手法。更多關於DHCP訊息可參考RFC 2131 - Dynamic Host Configuration Protocol。
如果你的系統使用固定IP地址(不管是因為位於內網還是因為使用獲得動態地址的路由器)那麼此部分設置可以略過。想檢查DHCP是否被應用,可以在命令行視窗使用ipconfig /all來查詢-在視窗底部可以得到相關訊息。
限制DHCP通訊到某個特定服務器比對DNS做出限制要稍微複雜一些,因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向(部分是由於DHCP協議使用UDP協議,部分是由於它能包括的IP地址的變化),因此本規則推薦對本機和遠端連接阜而不是對方向進行限制。另外,第一次DHCP請求是對255.255.255.255地址發出的廣播形式(該通訊應該送達局域網中所有的主機),因為機器啟動時無從得知DHCP服務器的地址,後續的DHCP請求(為了更新IP地址分配)才會被發送到 DHCP服務器。
Windows 2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程式規則(Windows 2000是services.exe,Windows XP是svchost.exe)來進一步限制DHCP通訊,請參考E2部分獲得更詳盡的訊息。
改動收益:防止對DHCP權限的濫用。
付出代價:如果使用多家ISP,每一家都需要單獨設定其服務器地址。如果更換ISP,相關規則也需要做出更新。某些ISP可能會需要通過多項條目進行設定-尤其是在其擁有具有多個連接點的大型網路時。
步驟:
?通過ipconfig /all或者winipcfg查找得到DHCP服務器地址。注意DHCP服務器與DNS服務器地址通常是不同的。
?Windows 9x/ME用戶創建全局規則:
Allow DHCP Request: 協議 UDP,遠端地址 ,255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
?Windows 2000/XP用戶創建全局規則:
Allow DHCP Broadcast:協議 UDP,遠端地址 255.255.255.255,遠端連接阜 67,本機連接阜 68,允許
因為DHCP服務器地址可能會發生改變,建議在IP地址分配碰到問題時禁止上述規則中對「遠端地址」的設定-如果一切正常就保留該設定,在重新允許該規則以前驗證並且更新(如有必要)DHCP服務器地址。DHCP服務器通常不會作出大範圍的網路轉移,所以在其地址中使用通配符(例如192.168.2.*)可以有效減少該類問題的發生。
D3-禁止「Allow Loopback」規則
預定規則中的「Allow Loopback」全局規則給使用代理服務器的用戶(例如AnalogX Proxy,Proxomitron,WebWasher以及某些反垃圾/反病毒軟件)帶來了一個極大的安全隱患,因為其允許任何未經指明屏蔽的程式使用為代理設置的規則進行互連網通訊,禁止或者刪除該全局規則即可消除隱患。
改動收益:防止未經授權的程式利用代理服務器規則進行通訊。
付出代價:任何使用代理服務器的程式(例如和Proxomitron配合使用的瀏覽器,等等)都需要設定一條額外的規則(其時彈出的規則嚮導中的建議配置在絕大多數情況下已經足夠應付)。
步驟:
?通過「選項/系統/系統和應用程式全局規則/設置」進入全局規則列表
?通過去除「Allow Loopback」的鉤選來禁止該項規則
D4-禁止不必要的全局規則
預定設置中的某些全局規則並不是很恰當,可以通過去除對其的鉤選來停用。這些規則包括:
?Allow Inbound Authentication - 一個簡陋而且不可靠的檢查網路連接端的規則,很少被用到。如果需要的時候,停用該規則可能會導致登入Email服務器的延遲。
?Allow GRE Protocol,Allow PPTP control connection - 這些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的,如果沒有此需求可以停用這些規則。
改動收益:防止應用這些連接阜的訊息洩漏。
付出代價:禁用「Blocking Inbound Authentication」規則可能會導致收取郵件的延遲(此時可以重新啟動該規則,並把郵件服務器新增為遠端地址)
步驟:
?通過「選項/系統/系統和應用程式全局規則/設置」進入全局規則列表
?清除對相應規則的鉤選
D5-屏蔽未使用和未知的協議
全局規則可以對互連網協議(IP)以及TCP和UDP協議作出限定,對IP涉及到的一系列協議建議全部加以屏蔽,除了下面所述類型:
?ICMP(1)-此協議通過ICMP相關規則來處理;
?IGMP(2)-多點廣播需要用到(如線上視頻直播),如果需要應用到該項協議就不要禁用;
?ESP(50)和AH(51)-IPSec需要應用到這些協議,所以VPN(Virtual Private Network)用戶不要禁用這些設置。
企業用戶要謹慎處理這些設置-其中一些選項可能是局域網中路由通訊所必需的。
可以設定一條全局規則來處理這些未知協議(包括類似IPX或者NetBEUI的協議)-建議設定該項規則來進行屏蔽。
改動收益:防止未來可能經由這些連接阜的訊息洩漏。
付出代價:出於Outpost採用的處理規則的方式,這些改動可能會顯著增大相關處理流程的數量,尤其對於使用文件共享程式或者位於比較繁忙局域網中的用戶來說。
步驟:
未使用的協議
?進入「選項/系統/系統和應用程式全局規則/設置」;
?點選「新增」創建新的全局規則;
?設置指定協議為IP,此時其後面所跟的「類型」是「未定義」;
?點擊「未定義」進入IP類型列表視窗;
?選定你想要屏蔽的類型然後點擊OK;
?設定響應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。
未知協議
?進入「選項/系統/系統和應用程式全局規則/設置」;
?點選「新增」創建新的全局規則;
?設定協議為「未知」,響應操作為「禁止」,再自己定義恰當的規則名稱後點擊OK。
E - 應用程式規則 (位於「選項/應用程式」)
E1-移除位於「信任的應用程式」組中的專案
即使程式需要正常的訪問互連網,對其通訊不加過問的一律放行也不是明智的做法。某些程式可能會要求比所需更多的連接(浪費帶寬),有的程式會跟「老家」悄悄聯繫洩漏你的隱私訊息。出於這種考慮,應該把「信任的應用程式」組中的專案移入「部分允許的應用程式 」組,並且設置如下所建議的合適的規則。
E2-謹慎設置「部分允許的應用程式」
Outpost的自動配置功能將會給每一個探測到要求連接網路的程式配置預定的規則,然而這些預定規則是從易於使用的角度出發的,所以大多情況下可以進一步的完善之。決定什麼樣的連接需要放行無疑是防火牆配置中最富有挑戰性的部分,由於個人的使用環境和偏好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦配置和參考配置。
推薦配置用紅色表示
建議配置用藍色表示
可選配置用綠色表示
如果使用了D1部分提及的「應用程式DNS」設置,那麼每個應用程式除採用下面會提到的規則外還需要一條DNS規則,請注意這些應用程式規則的優先級位於全局規則之上,詳情請見Outpost Rules Processing Order常見問題貼。
在規則中使用域名注意事項:
當域名被用作本機或遠端地址時,Outpost會立刻查找相應的IP地址(需要DNS連接),如果該域名的IP發生了改變,規則不會被自動更新-域名需要重新輸入。如果某條使用了域名的應用程式規則或全局規則失效的話請考慮這種可能性。
某些域名可能使用了多個IP地址-只有在「選項/應用程式」中手動建立的規則Outpost才會自動尋找其所有IP地址,通過規則嚮導建立的規則則不行。因此,通過規則嚮導建立的規則需要重新在「選項/應用程式」中手動輸入域名以確保所有IP地址能被找到 。
Svchost.exe(Windows XP系統獨有)
Svchost.exe是一個棘手的程式-為了完成一些基本的網路任務它需要進行互連網連接,但是給它完全的權限又會把系統至於RPC(例如Blaster、Welchia/Nachi等蠕蟲)洩漏的危險之中。給這個程式創建合適的規則也就變得格外的重要。
Allow DNS(UDP):協議 UDP,遠端連接阜 53,遠端地址 ,允許
Allow DNS(TCP):協議TCP,方向 出站,遠端連接阜 53,遠端地址 ,允許
Possible Trojan DNS(UDP):協議 UDP,遠端連接阜 53,禁止並且報告
Possible Trojan DNS(TCP):協議 TCP,方向 出站,遠端連接阜 53,禁止並且報告
?DNS規則 - 可在D1部分中檢視詳情,只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則,因為此時svchost.exe才會進行查找工作;
?因為此處只需要一條TCP規則,此規則被設定為「允許」;
? 因為某些木馬程式試圖把它們的活動偽裝成DNS查詢,推薦把任何試圖與DNS服務器以外的地址進行連接的嘗試視為可疑-Trojan DNS規則將報告類似的連接。如果連接是合法的(如果你的ISP更換了DNS服務器地址這些「允許」規則需要及時進行更新)則對其做出報告很容易導致網路失去連接,此時應該從禁止日誌中查明原因。
Block Incoming SSDP:協議 UDP,本機連接阜 1900,禁止
Block Outgoing SSDP:協議 UDP,遠端連接阜 1900,禁止
? 這些規則屏蔽了用於在局域網中查找即插即用設備(UPnP)的簡單服務搜尋協議(SSDP)。由於即插即用設備會導致許多安全問題的出現,如非必要最好還是將其禁用-如果必須使用的話,則把這些規則設為「允許」。如果最後的「Block Other UDP」規則也被採用,即可防止SSDP起作用,所以這些規則是建議配置。
Block Incoming UPnP:協議 TCP,方向 入站,本機連接阜 5000,禁止
Block Outgoing UPnP:協議TCP,方向 出站,遠端連接阜 5000,禁止
? 這些規則屏蔽了UPnP資料包-如同上面關於SSDP的規則,如果你非常需要UPnP則把規則改為「允許」,可是一定要把UPnP設備的IP地址設為遠端地址以縮小其範圍。如果最後的「Block Other TCP」的規則被採用,即可防止UPnP起作用,所以這些規則是建議配置。
Block RPC(TCP):協議 TCP,方向 入站,本機連接阜 135,禁止
Block RPC(UDP):協議 UDP,本機連接阜 135,禁止
?這些規則實際上是預定的全局規則中關於屏蔽RPC/DCOM通訊的規則拷貝-所以在這裡並不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接,則把這些規則改為「允許」,不過僅限於信任的遠端地址。
Allow DHCP Request:協議 UDP,遠端地址 ,遠端連接阜 BOOTPS,本機連接阜 BOOTPC,允許
?DHCP 規則-請至D2部分檢視詳情(如果使用的是固定IP地址則不需應用此規則-通常只有在私有局域網內才會如此)。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的-由於應用了最後的「Block Other TCP/UDP」規則,全局DHCP規則此時並不會起作用。
Allow Help Web Access:協議TCP,方向 出站,遠端連接阜 80,443,允許
?Windows幫助系統可能會通過svchost.exe發起網路連接-如果你不想使用幫助系統(或者是不希望微軟知道你何時使用的)則可以略過本規則。
Allow Time Synchronisation:協議 UDP,遠端連接阜 123,遠端地址 time.windows.com,time.nist.gov,允許
?用於時間同步-只有當你需要用到Windows XP這個特性時才需要創建該規則。
Block Other TCP Traffic:協議TCP,方向 出站,禁止
Block Other TCP Traffic:協議 TCP,方向 入站,禁止
Block Other UDP Traffic:協議 UDP,禁止
?把這些規則設定在規則列表的最下面-它們會阻止未設定規則的服務的規則向導彈出視窗。未來所新增的任何規則都應該置於這些規則之上。
商業用戶請參考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系統服務所需放行的額外連接阜訊息。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-07-06, 08:14 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Outpost防火牆應用技巧攻略- -
常在河邊走,哪有不濕鞋。經常上網的朋友大都有過被黑客、病毒攻擊的經歷,於是自己的一些諸如郵箱賬號、QQ密碼、論壇賬號等重要資料就存在被竊取的危險。而在更多的情況下,則往往會發生系統不斷重啟、黑屏甚至系統癱瘓等現象。
  為了防止這些惡意攻擊,一款好用的防火牆自然必不可少,比如大家所熟知的「天網防火牆」、「瑞星個人防火牆」、「諾頓防火牆」等。不過今天我要給大家介紹一款小巧易用而功能又很強大的工具,它便是「Outpost Firewall」。它除了能夠預防來自Cookies、廣告、電子郵件病毒、後門木馬、間諜軟件、廣告軟件和其他 Internet潛在的危險外,還可以利用插件去讓功能得到進一步拓展,使該款產品更加超值。
  

本機高速下載Outpost Firewall

  一、Outpost Firewall的基本應用方法
將該防火牆安裝後,軟件會要求進行「自動配置個人防火牆規則」,一般選擇「自動配置防火牆規則」即可;而在下一步的「網路配置」中,一般可以選擇「使用自動配置規則」,當完成這些後,必須重新啟動操作系統。
步驟1 重啟系統後,它就開始發揮作用了,在啟動過程中若某個程式需要連接網路,那麼便會彈出有關為該程式創建規則的交談視窗。在該交談視窗中,我們可以從交談視窗的標題名稱或者網頁面上的程式名稱,瞭解到該程式到底為何種程式。
http://image.onlinedown.net/2005/04/2005042168.jpg
防火牆規則設置
步驟2 如果該程式值得信任,用戶也對它非常瞭解,那麼只要點選「允許這個應用程式的所有動作」選項,就可以讓該程式順利通過防火牆的驗證;若是用戶得知該程式具有一定的危害性,那麼不妨點選「擋截這個應用程式的所有動作」選項,這種該程式就不會再與網路發生連接關係。
步驟3 若是用戶對該程式不甚瞭解,那麼不妨單擊「本次允許」或「本次擋截」按鈕,去臨時允許或攔截該程式的聯網動作。當瞭解了該程式的具體內容及作用後,便可為其設置永久性的動作。當設置完成後,單擊「確定」按鈕即可。
  二、更改防火牆執行模式
之所以會彈出上述創建規則交談視窗,這是因為「Outpost Firewall」預定的執行模式是「規則嚮導模式」。如果你對頻頻彈出的創建規則交談視窗感到厭煩,那麼不妨雙擊系統中的防火牆圖示打開其主界面,依次打開主表菜單「選項→執行模式」選項命令,在彈出的交談視窗中便可更改防火牆的執行模式。
http://image.onlinedown.net/2005/04/2005042169.jpg
更改執行模式
其中單擊「禁用模式」選項,便可讓防火牆失去作用,當前系統便不會受到防火牆的任何防護;單擊「允許大部分通訊模式」選項,那些沒有被禁止的通訊都可允許出入本機系統;單擊「禁止大部分通訊模式」選項,則可讓所有沒有被允許的通訊禁止出入本機系統;而單擊「停止通訊模式」,就可以使本機與網路的連接完全離線。
  三、為程式「量身定做」通訊方式
在選擇防火牆的執行模式時,我們發現「允許的通訊」和「禁止的通訊」這些表述,那麼到底在哪裡才能設定這些「允許的通訊」和「禁止的通訊」呢?為了便於說明,我們以禁止和允許QQ應用程式進行通訊為例。
1、禁止QQ通訊
步驟1 在開啟的主界面中,依次打開「選項→應用程式」選項命令,在出現的交談視窗中選中「禁止的應用程式」選項。
步驟2 單擊「新增」按鈕,在打開的視窗中選擇QQ主程式,即可將QQ程式新增到「禁止的應用程式」中,然後單擊「確定」按鈕。此時若再次登入QQ,便會發現QQ已經無法登入了。
http://image.onlinedown.net/2005/04/2005042170.jpg
禁止和允許執行的程式
2、允許QQ通訊
步驟1 若打算讓QQ登入成功「復活」,那麼可在「禁止的應用程式」區域中選中QQ程式,而後單擊「刪除」按鈕,就可以將QQ程式從「禁止的應用程式」移除。
步驟2 選中「部分允許的應用程式」選項,單擊「新增」按鈕,選擇QQ主程式進行新增,在新增時會彈出一個規則交談視窗,只要單擊「確定」按鈕,便可將QQ程式添入其中。
當再次執行QQ程式時,便會彈出一個「為QQ.EXE創建規則」交談視窗。如果你只打算暫時執行QQ,那麼可單擊「本次允許」按鈕,這樣便可臨時讓QQ登入。當QQ成功登入後,我們會發現QQ的程式名稱仍保留在「部分允許的應用程式」區域中。
http://image.onlinedown.net/2005/04/2005042171.jpg
為某個應用程式創建規則
如果在創建規則時,直接點選「允許這個應用程式的所有動作」選項,單擊「確定」按鈕,那麼在「部分允許的應用程式」中就不會再發現QQ的主程式名稱,此時它會被移至「信任的應用程式」區域中。
http://image.onlinedown.net/2005/04/2005042172.jpg
設置信任的應用程式
而用戶若是需要一直應用某個程式去進行通訊,那麼不妨選擇「信任的應用程式」選項,單擊「新增」按鈕直接將該程式加入其中,這樣便不會再彈出要求為該程式創建規則的交談視窗了。
以上是「Outpost Firewall」的基本應用方法,當學會這些方法後,新手朋友們就可以借助它為自己的電腦構築一道防火牆了。
四、關閉危險的連接阜
如今網路上各種病毒層出不窮,特別是一些蠕蟲病毒,當這些蠕蟲成功入侵後,便會打開某些連接阜,繼續侵入網路內其他主機,並對本機系統造成種種危害。而我們的應對之法便是將那些連接阜關閉,就可以杜絕病毒的入侵。在此以關閉「衝擊波」病毒攻擊的常用連接阜「135」為例。
步驟1 依次打開主界面「選項→系統」選項命令,在打開的網頁面中會看到「系統和應用程式全局規則」區域。
http://image.onlinedown.net/2005/04/2005042173.jpg
關閉危險的連接阜
步驟2 在該區域中單擊「設置」按鈕,在跳出的「系統和應用程式全局規則」的交談視窗中單擊「新增」按鈕,此時又會出現「規則」交談視窗。
步驟3 在該交談視窗的「選擇規則要處理的事件」區域中,分別勾選「當指定的協議是」和「當指定的方向是」前的復選框,此時會在「規則描述」區域中出現相應的規則。
http://image.onlinedown.net/2005/04/2005042174.jpg
Outpost防火牆的規則描述,類似Outlook
步驟4 單擊「當協議是」後的「未定義」鏈接,由於我們打算關閉的135連接阜,所以可以在彈出的「選擇協議」交談視窗中點選「TCP」;
http://image.onlinedown.net/2005/04/2005042175.jpg
關閉某項協議
單擊「並且當方向是」後的「未定義」鏈接,由於病毒是從外入侵本機,所以可以「方向」交談視窗中點選「入站:從遠端主機到你的電腦」,單擊「確定」按鈕完成設置。
http://image.onlinedown.net/2005/04/2005042176.jpg
出站和入站設置
步驟5 此時再次返回「規則」交談視窗,勾選「當指定的本機連接阜是」前的復選框,單擊「規則描述」區域中「並且當本機連接阜是」後的「未定義」鏈接,此時會打開「選擇本機連接阜」交談視窗。在該交談視窗中的輸入框裡輸入打算關閉的連接阜號,比如「135」。若想新增其它連接阜號,只要在輸入時用逗號將它們分隔開即可。
http://image.onlinedown.net/2005/04/2005042177.jpg
本機連接阜
步驟6 在「選擇規則要處理的事件」區域中,還可勾選「當指定的時間間隔是」選項,然後單擊「規則描述」區域中「並且活動時間段是」後的「未定義」鏈接,在彈出的「規則有效時間」交談視窗中,可指定在某個時間段內才執行該項安全規則。
步驟7 在「規則」交談視窗的「選擇規則要響應的操作」區域中,勾選「禁止」和「全狀態檢測」前的復選項,在「規則名稱」一欄中輸入自定義的名稱,比如「關閉135」,最後單擊「確定」按鈕就可以了。
http://image.onlinedown.net/2005/04/2005042178.jpg
規則設定五、通透瞭解網路通訊情況
如果用戶想獲悉自己的系統中進行了哪些通訊以及打開了哪些連接阜,在「Outpost Firewall」中同樣可以非常方便地瞭解到相關訊息。
在主界面的左側列表中,單擊「網路活動」選項,即可在下方展出當前正在通訊的程式。在程式中單擊滑鼠右鍵,便可在出現的右鍵表菜單中為它設定相應的通訊規則,同時在右側視窗中,則會顯現出更為詳盡的網路活動訊息。而選中進行通訊的程式,還可以單獨列出有關該程式的工作行程名稱、遠端地址、遠端連接阜等更為詳細的網路活動訊息。
http://image.onlinedown.net/2005/04/2005042179.jpg
檢視打開了哪些連接阜
單擊左側列表中的「已打開的連接阜」選項,就會在其下方展開當前打開的連接阜號及協議,在右側視窗中則可以列出包括工作行程名稱、本機地址、本機連接阜和協議等詳細的訊息。雙擊工作行程名稱,還可以列出該進行的開始時間及持續時間。
http://image.onlinedown.net/2005/04/2005042180.jpg
檢視打開了哪些連接阜
  六、強大的插件功能
在瀏覽網頁、收發郵件時,可能會存在能對系統造成危害的某些腳本和附件,對此我們可以利用「Outpost Firewall」預定的插件去做好預防工作。
在程式主界面中,依次打開主表菜單「選擇→插件設置」選項,在出現的交談視窗中選擇「Attachment Quarantine」和「Active Content」選項,然後單擊「啟動」按鈕,就可以使過濾插件生效。這樣便可有效防範某些腳本和附件的危害了。
http://image.onlinedown.net/2005/04/2005042181.jpg
插件設置
Outpost Firewall」所自帶的插件共有六項,我們還可以對它們進行一系列設置去實現自己要求,比如為防止使用本機的用戶去搜索那些不健康的網頁,我們可以對搜索關鍵詞進行過濾。
步驟1 在「Outpost Firewall」主界面中,單擊左側列表中的「插件」選項,在展開的下級表菜單中選擇「內容過濾」選項。在該選項上單擊滑鼠右鍵,選擇右鍵表菜單上的「內容」選項。
http://image.onlinedown.net/2005/04/2005042182.jpg
內容過濾內容
步驟2 在彈出的「內容內容」交談視窗中單擊「過濾關鍵字」選擇項,勾選網頁面中的「過濾包含指定關鍵字的內容」,在文本框中輸入打算過濾的關鍵字後,單擊「新增」按鈕,最後單擊」「確定」按鈕結束。
http://image.onlinedown.net/2005/04/2005042183.jpg
指定要過濾的關鍵字內容
當此時再利用所禁止的關鍵字進行搜索時,便會出現「因為含有不受歡迎的內容,該網頁面禁止訪問。」的提示。
http://image.onlinedown.net/2005/04/2005042184.jpg
指定過濾關鍵字後,打開含有該關鍵字網頁面時的效果
除了以上所述之外,「Outpost Firewall」還有不少有用的功能,因篇幅所限,在此就不一一列舉了,有興趣的朋友不妨試用一番。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 03:41 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1