Agnitum Outpost Firewall Pro是一个受到越来越多用户喜爱和关注的优秀防火墙,占用资源相对较小,设置灵活方便,稳定强悍,可以算得上个人防火墙中的佼佼者了。东西虽好,可是很多人在使用中只是让软件的默认设置在发挥作用,而防火墙的默认设定往往更侧重于兼容性方面的考虑,想让防火墙更好的发挥作用,就需要你根据自己的网络情况作出调整和配置。正好官方论坛中有一篇相关文章,编译出来和大家一起学习交流。特此感谢原作者和Outpost论坛。文中涉及到的Outpost选项的中文名称出自Silence的2.7.485.540 1 (412)版汉化。
导论:
本文是为了帮助Outpost防火墙的用户建立一个更安全、对微机的流出数据监控更加严密的网络连接。随着越来越多的软件喜欢在用户不知情的情况下向“老家”传送信息以及花样翻新层出不穷的木马和病毒企图把它们的活动伪装成正常的网络通讯,对网络的流出信 息进行监控和限制逐渐与对流入企图进行限制处在了同等重要的地位。
因为本文涉及到了对默认规则的调整,用户最好事先对Outpost防火墙已经有一定熟悉度(按:并且最好对一些基本的网络知识和术语也有所了解)。
安全性和方便性永远无法两全,这就需要你根据自己的实际情况做出取舍-下文中一些改动可能需要你完成大量的调整工作,也会让你的某些行为(如更换ISP)变得困难的多。某些(尤其是商业/企业的)网络环境可能会导致文中某些部分出现问题,请在实施改动前详 细阅读各个项目的优点和缺点-如果有疑问可以试着每次只进行一项改动然后进行详尽的测试,分析Outpost的相关日志(尤其是被禁止连接的日志),以便做出进一步的决策。本文中的推荐更多是基于安全性而不是方便性的考虑。
最后,请注意本文档并不是出自Agnitum公司,Agnitum公司也不对本文进行技术支持,相关问题和讨论请在Outpost防火墙论坛提出,而不要与Agnitum公司直接联系。
Outpost免费版用户注意:
文中涉及的设置没有在免费版中进行测试,某些部分(如关于全局规则设置的D小节)也无法部署(由于免费版中全局规则只能被禁用而无法修改),而某些特性(如组件控制)也是在Outpost Pro v2以后才出现的,然而文中涉及的方法仍然会对此类用户系统安全性的提高起到一定的参考作用。
A - 局域网设置(位于“选项/系统/局域网设置/设置”)
改动收益:通过限制特权用户的连接来提高安全性。
付出代价:需要进行更多的设置和维护工作,尤其是对大
型局域网来说。
本设置指定哪些IP段需要被认定为“可信用户”。从安全性的角度来说,这里列出的IP段越少越好,因为对这些地址流入流出的数据可能会漠视所有应用程序规则和全局规则而得以通行。(请查阅Outpost Rules Processing Order获知详情)
对非局域网用户来说,本部分没有考虑的必要。这种情况下可以去掉对“自动检测新的网络设置”的钩选以防止Outpost自动添加默认设置。
本部分设置只须处于如下环境的微机加以考虑:
● 位于局域网(LAN)中,并且带有需要共享的文件或者打印机的微机;
● 位于局域网中并且需要通过网络应用程序进行连接,但是无法通过应用程序规则设定完成工作的微机;
● 位于互联网连接共享网关上的微机,其应将每一个共享客户端的IP地址列为可信任地址。请查阅LAN and DNS settings for V2获知详情。
上述任一种情况下由Outpost提供的默认网络设置都是过于宽松的,因为它总是假设同一网络中的任何微机都应该被包括在内。
步骤:
● 取消钩选“自动检测新的网络设置”以防止Outpost自动添加新的设置。注意如果日后安装了新的网卡,在此项禁止的情况下新的地址需要手动添加进去。
● 逐个添加每个PC的地址(所添加项随后会以带网络掩码255.255.255.255的形式出现)。互联网地址绝不应该出现在该位置。
● 钩选涉及到文件/打印机共享的微机后面的“NetBIOS”选项。
● 钩选涉及到网络应用程序的微机后面的“信任”选项。
如果你位于一个大型局域网内,逐个列出每个微机就是不太现实的了,此时一个可用的方案就是用Blockpost插件列出IP段然后屏蔽该IP段中不需要的地址(Blockpost插件允许用户定义任意IP段,这是Outpost现阶段还做不到的)。
请注意局域网内的网络活动可能被“入侵检测”插件曲解为攻击行为。如果你遇到此问题(尤其是Windows网络中存在Browse Master和Domain Controller的情况下),请在本文F4部分查找通过插件设置避免问题的详细内容。
B – ICMP设置(位于“选项/系统/ICMP/设置”)
ICMP(Internet Control Message Protocol)是用于传送诊断信息与出错信息的一部分网络端口。详情请查阅RFC 792 - Internet Control Message Protocol。
该部分默认设置允许如下活动:
● 通过Ping命令进行的基本网络连接测试(由Echo Request Out和Echo Reply In实现) - 对本机进行的Ping将被拦截以掩藏本机的在线状态。
● 对探测者
显示本机网络地址不可用(由Destination Unreachable In and Out 实现)。
● 对探测者显示本机地址无法连接(由流入数据超时而引起),该类连接由Tracert命令发起-进入类跟踪路由企图将被拦截以掩藏本机在线状态。
本项的默认设置对绝大部分用户而言已是足够安全的。然而允许Destination Unreachable数据包流出在某些特定类型的扫描中会暴露你微机的存在(绝大部分已被Outpost拦截),所以对该项的改动可以让你的微机的隐匿性更强。
改动收益:使你的微机逃过某些可以避开Outpost检测的扫描。
付出代价:在某些情况下(如缓慢的DNS回应)Destination Unreachables信息的传送是合法的,此时就会显示为被屏蔽,结果就是可能导致一些网络应用程序的延迟和超时(如P2P软件)。
步骤:
● 取消对“Destination Unreachable ”Out的钩选。
如果你在运行Server程序,那么对Ping和Tracert命令的响应可能就是需要的。一些互联网服务提供商(ISP)可能也会要求你对它们的Ping做出回应以保持在线连接。这些情况下可以参考如下步骤。
改动收益:允许用户检查与Server之间的连接和网络性能,这些可能是某些ISP要求实现的。
付出代价:让你的系统处于被Denial-of-Service(DoS)攻击的危险之中。
步骤:
●钩选“Echo Reply”Out和“Echo Request”In选项以允许对Ping的响应。
●钩选“Destination Unreachable”Out和“Time Exceeded for a Datagram”Out选项以允许对Tracert的响应。
可选步骤:上述做法会使本机对任意地址的Ping和Tracert命令做出响应,还有一个可选的方案是用一个全局规则来实现只允许来自可信任地址的ICMP信息-但是这样会导致其漠视Outpost的ICMP设置而允许所有的ICMP信息流通。然而当特定 地址已知时,这样做也未尝不可。通过如下步骤实现:
●创建一个如下设置的全局规则:
Allow Trusted ICMP:指定的协议IP 类型ICMP,指定的远程主机 <填入受信IP地址>,允许
注意该规则不要定义方向(流入和流出的数据都需要获得权限)。
C - 防火墙模式(位于“选项/系统/防火墙模式”)
保持默认设定“增强”,不建议作改动。
D-系统和应用程序全局规则(位于“选项/系统/系统和应用程序全局规则”)
D1-指定DNS服务器地址
DNS(Domain Name System)是通过域名来确定IP地址的一种方法(如 https://www.doczj.com/doc/655506177.html, 的IP地址是216.12.219.12。详情请查阅RFC 1034 - Domain names - concepts and f
acilities)。因为连接网站时DNS信息必须通过防火墙以实现IP地址查询,一些木马以及泄漏测试就试图把它们的通讯伪装成DNS请求。然而通过把DNS通讯地址限定为你的ISP所提供的DNS服务器,这种伪DNS请求就可以被有效的拦截。有两 种方法可以完成这项任务:
(a). “全局DNS”设置-把你的ISP的DNS服务器地址加入到全局规则中
改动收益:通过少量工作即可完成上述任务。
付出代价:如果你通过多家ISP上网,那么所有的服务器地址都需要被添加进去-如果你更换了ISP或者ISP更改了它们的服务器地址,那么你就需要把新的地址更新进规则中去。如果你有程序或者网络环境需要应用反复式DNS查询(Windows环境下通常使 用递归式查询,反复式通常是应用于DNS服务器之间),那么配置这条规则就可能会出现问题。
步骤:
●找到你的ISP使用的DNS服务器地址。最简单的方法就是在命令行窗口中使用“ipconfig –all”来查询,Windows 9x/Me/Xp的用户也可以在开始菜单的“运行”对话框中使用winipcfg得到相关信息。
●把这些地址作为远程主机地址加入到“Allow DNS Resolving”全局规则中。
Windows 2000/XP用户还应该把这些地址加到应用程序规则中services.exe/svchost.exe的相关项目中(详情参见E2部分)。
(b). “应用程序DNS”设置-移除全局规则,逐个给每个程序添加DNS规则
改动收益:如此一来新添加的程序通常需要两项规则(DNS规则和程序自身需要的规则)来减少可疑程序在意外情况下的通行。试图与“老家”通讯的恶意程序现在就面临着寻找必要IP地址的额外手续,这样它们会误认为现在无网络连接从而进入休眠状态直到被侦测到 。只通过DNS端口通讯的这类木马程序现在就必须通过额外规则才可以通行,这也是现在唯一可以屏蔽DNShell以及类似泄漏测试的方法。
付出代价:需要完成繁琐的多的工作-每一个程序都需要添加一条额外的规则。更换ISP后需要把所有规则更新为新的DNS地址。
步骤:
●在Windows 2000和XP环境下,关掉“DNS客户服务”(通过 开始/控制面板/管理选项/服务)。这会强迫每个程序发出自己的DNS请求,而不是通过services.exe(Win2000)和svchost.exe(WinXP)发出。
●停用或者删除“系统和应用程序全局规则”中的“Allow DNS Resolving”规则。
●对每一个程序添加一个新规则,使用下列关键字:
<软件名> DNS Resolution:指定协议UDP,远程端口53,远程主机<你的ISP的DNS服务器地址>,允许
可以通过设
定本规则为预设规则来简化工作。步骤如下:断开网络,退出Outpost,打开preset.lst文件(位于Outpost程序文件夹中)并在文件末尾添加下列规则:
; Application DNS Resolution
[Application DNS Resolution]
VisibleState: 1
RuleName: Application DNS Resolution
Protocol: UDP
RemotePort: 53
RemoteHost: 加入你的ISP的DNS服务器地址,如有多个用逗号分隔
AllowIt
添加该预设规则后,日后碰到添加规则向导提示的时候只要选定该预设规则导入即可(如果你想允许该程序通行的话)。这种情况下,IP地址在“选项/程序”中将以附带(255.255.255.255)子网掩码的形式出现,此即指明了一个条目的IP地址范围,其与单独一个IP地址所起作用相同。注意此时“工具/自动检查升级”选项应该被禁用,因为对preset.lst的改动可能被自动更新的文件覆盖掉(虽然“自动更新”在覆盖文件以前会提示),一个比较好的办法是手动备份该文件,然后再进行更新,更新完毕后如有必要再把备份文件覆盖回去。
注意-两种DNS设置都需要的规则
不管选择上述两种设置中的哪一种,都需要考虑到一种情况-DNS查询使用更多的是UDP(User Datagram Protocol)协议而不是TCP(Transport Control Protocol)协议。查询使用到TCP协议的情况很少见而且通常是复杂查询-实际使用中通常它们可以被屏蔽,因为该查询会用UDP协议再次发送,因此在全局规则中可以添加一条规则如下:
Block DNS(TCP):协议 TCP,方向 出站,远程端口 53,禁止
如果你想允许此类通讯,那么或者是修改规则为“允许”(指全局DNS规则)或者是为每一个程序创建第二条DNS规则用TCP取代UDP(应用程序DNS规则)。
报告疑为木马程序伪装的DNS活动
任何对已设定DNS服务器以外地址的查询都应该被视为可疑活动而在默认情况下被禁止,此时可以在DOS窗口中用ipconfig /all命令来查询是否ISP的DNS服务器已改变而需要更新DNS规则设置。
此时可以通过在全局规则中其它DNS规则下方添加如下规则来解决-第二条只有在上述提到的TCP DNS规则设为允许的情况下才需要:
Possible Trojan DNS(UDP): 协议 UDP,远程端口 53,禁止 并且报告
Possible Trojan DNS(TCP): 协议 TCP,方向 出站,远程端口53,禁止并且报告
该规则会禁止任何可疑的DNS尝试并且做出报告。注意该规则不推荐采用应用程序DNS设置的用户使用,因为合法DNS服务器地址需要从规则中排除以防止误报(例如当一个没有设置规则的程序发起请求的时候)-指定IP地址范围可以解决该问题
,但是Outpo st现有对IP段的处理能力并不是很完善。
D2-指定DHCP服务器地址
DHCP(Dynamic Host Configuration Protocol)是大多数ISP给登录用户分配临时IP地址使用的一种方法。因为想要与ISP建立连接就必须允许DHCP通讯,这也就成为了木马程序为了在不被探测到的情况下向外发送信息所可能采用的一种手段。除此之外,向特定地址用大量的DHCP信息 进行冲击也成为了Denial of Service(DoS)攻击采用的一种手法。更多关于DHCP信息可参考RFC 2131 - Dynamic Host Configuration Protocol。
如果你的系统使用固定IP地址(不管是因为位于内网还是因为使用获得动态地址的路由器)那么此部分设置可以略过。想检查DHCP是否被应用,可以在命令行窗口使用ipconfig /all来查询-在窗口底部可以得到相关信息。
限制DHCP通讯到某个特定服务器比对DNS做出限制要稍微复杂一些,因为Outpost看起来暂时还不能始终如一的精确分辨出DHCP通讯的方向(部分是由于DHCP协议使用UDP协议,部分是由于它能包括的IP地址的变化),因此本规则推荐对本地和远 程端口而不是对方向进行限制。另外,第一次DHCP请求是对255.255.255.255地址发出的广播形式(该通讯应该送达局域网中所有的主机),因为机器启动时无从得知DHCP服务器的地址,后续的DHCP请求(为了更新IP地址分配)才会被发送到 DHCP服务器。
Windows 2000和XP用户可以通过只允许通过全局规则的广播以及对其它请求设定应用程序规则(Windows 2000是services.exe,Windows XP是svchost.exe)来进一步限制DHCP通讯,请参考E2部分获得更详尽的信息。
改动收益:防止对DHCP权限的滥用。
付出代价:如果使用多家ISP,每一家都需要单独设定其服务器地址。如果更换ISP,相关规则也需要做出更新。某些ISP可能会需要通过多项条目进行设定-尤其是在其拥有具有多个连接点的大型网络时。
步骤:
●通过ipconfig /all或者winipcfg查找得到DHCP服务器地址。注意DHCP服务器与DNS服务器地址通常是不同的。
●Windows 9x/ME用户创建全局规则:
Allow DHCP Request: 协议 UDP,远程地址 <你的ISP的DHCP服务器地址>,255.255.255.255,远程端口 67,本地端口 68,允许
●Windows 2000/XP用户创建全局规则:
Allow DHCP Broadcast:协议 UDP,远程地址 255.255.255.255,远程端口 67,本地端口 68,允许
因为DHCP服务器地址可能会发生改变,建议在IP地址分配碰到问题时禁止上述规则中对“远程地址”的设定-如果一切正常就保留该设定,在重新允许该规则以前验证并且更新(如有必要)D
HCP服务器地址。DHCP服务器通常不会作出大范围的网络转移,所以 在其地址中使用通配符(例如192.168.2.*)可以有效减少该类问题的发生。
D3-禁止“Allow Loopback”规则
默认规则中的“Allow Loopback”全局规则给使用代理服务器的用户(例如AnalogX Proxy,Proxomitron,WebWasher以及某些反垃圾/反病毒软件)带来了一个极大的安全隐患,因为其允许任何未经指明屏蔽的程序使用为代理设置的规则进行互联网通讯,禁止或者删除该全局规则即可消除隐患。
改动收益:防止未经授权的程序利用代理服务器规则进行通讯。
付出代价:任何使用代理服务器的程序(例如和Proxomitron配合使用的浏览器,等等)都需要设定一条额外的规则(其时弹出的规则向导中的建议配置在绝大多数情况下已经足够应付)。
步骤:
●通过“选项/系统/系统和应用程序全局规则/设置”进入全局规则列表
●通过去除“Allow Loopback”的钩选来禁止该项规则
D4-禁止不必要的全局规则
默认设置中的某些全局规则并不是很恰当,可以通过去除对其的钩选来停用。这些规则包括:
●Allow Inbound Authentication - 一个简陋而且不可靠的检查网络连接端的规则,很少被用到。如果需要的时候,停用该规则可能会导致登入Email服务器的延迟。
●Allow GRE Protocol,Allow PPTP control connection - 这些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的,如果没有此需求可以停用这些规则。
改动收益:防止应用这些端口的信息泄漏。
付出代价:禁用“Blocking Inbound Authentication”规则可能会导致收取邮件的延迟(此时可以重新激活该规则,并把邮件服务器添加为远程地址)
步骤:
●通过“选项/系统/系统和应用程序全局规则/设置”进入全局规则列表
●清除对相应规则的钩选
D5-屏蔽未使用和未知的协议
全局规则可以对互联网协议(IP)以及TCP和UDP协议作出限定,对IP涉及到的一系列协议建议全部加以屏蔽,除了下面所述类型:
●ICMP(1)-此协议通过ICMP相关规则来处理;
●IGMP(2)-多点广播需要用到(如在线视频直播),如果需要应用到该项协议就不要禁用;
●ESP(50)和AH(51)-IPSec需要应用到这些协议,所以VPN(Virtual Private Network)用户不要禁用这些设置。
企业用户要谨慎处理这些设置-其中一些选项可能是局域网中路由通讯所必需的。
可以设定一条全局规则来处理这些未知协议(包括类似IPX或者NetBEUI的协议)-建议设定该项规则来进行屏蔽。
改动收益:防止未来可能经由这些端口的信息泄漏。
付出代价:出于Outpost采用的处理规则的方式,这些改动可能会显著增大相关处理流程的数量,尤其对于使用文件共享程序或者位于比较繁忙局域网中的用户来说。
步骤:
未使用的协议
●进入“选项/系统/系统和应用程序全局规则/设置”;
●点选“添加”创建新的全局规则;
●设置指定协议为IP,此时其后面所跟的“类型”是“未定义”;
●点击“未定义”进入IP类型列表窗口;
●选定你想要屏蔽的类型然后点击OK;
●设定响应操作为“禁止”,再自己定义恰当的规则名称后点击OK。
未知协议
●进入“选项/系统/系统和应用程序全局规则/设置”;
●点选“添加”创建新的全局规则;
●设定协议为“未知”,响应操作为“禁止”,再自己定义恰当的规则名称后点击OK。
E - 应用程序规则 (位于“选项/应用程序”)
E1-移除位于“信任的应用程序”组中的项目
即使程序需要正常的访问互联网,对其通讯不加过问的一律放行也不是明智的做法。某些程序可能会要求比所需更多的连接(浪费带宽),有的程序会跟“老家”悄悄联系泄漏你的隐私信息。出于这种考虑,应该把“信任的应用程序”组中的项目移入“部分允许的应用程序 ”组,并且设置如下所建议的合适的规则。
E2-谨慎设置“部分允许的应用程序”
Outpost的自动配置功能将会给每一个探测到要求连接网络的程序配置默认的规则,然而这些默认规则是从易于使用的角度出发的,所以大多情况下可以进一步的完善之。决定什么样的连接需要放行无疑是防火墙配置中最富有挑战性的部分,由于个人的使用环境和偏 好不同而产生很大的差别。
如果使用了D1部分提及的“应用程序DNS”设置,那么每个应用程序除采用下面会提到的规则外还需要一条DNS规则,请注意这些应用程序规则的优先级位于全局规则之上,详情请见Outpost Rules Processing Order常见问题贴。
在规则中使用域名注意事项:
当域名被用作本地或远程地址时,Outpost会立刻查找相应的IP地址(需要DNS连接),如果该域名的IP发生了改变,规则不会被自动更新-域名需要重新输入。如果某条使用了域名的应用程序
规则或全局规则失效的话请考虑这种可能性。
某些域名可能使用了多个IP地址-只有在“选项/应用程序”中手动建立的规则Outpost才会自动寻找其所有IP地址,通过规则向导建立的规则则不行。因此,通过规则向导建立的规则需要重新在“选项/应用程序”中手动输入域名以确保所有IP地址能被找到 。
Svchost.exe(Windows XP系统独有)
Svchost.exe是一个棘手的程序-为了完成一些基本的网络任务它需要进行互联网连接,但是给它完全的权限又会把系统至于RPC(例如Blaster、Welchia/Nachi等蠕虫)泄漏的危险之中。给这个程序创建合适的规则也就变得格外的重要。
Allow DNS(UDP):协议 UDP,远程端口 53,远程地址 <你的ISP的DNS服务器地址>,允许
Allow DNS(TCP):协议TCP,方向 出站,远程端口 53,远程地址 <你的ISP的DNS服务器地址>,允许
Possible Trojan DNS(UDP):协议 UDP,远程端口 53,禁止并且报告
Possible Trojan DNS(TCP):协议 TCP,方向 出站,远程端口 53,禁止并且报告
●DNS规则 - 可在D1部分中查看详情,只有在DNS客户端服务没有被禁止的情况下才需要这些规则,因为此时svchost.exe才会进行查找工作;
●因为此处只需要一条TCP规则,此规则被设定为“允许”;
●因为某些木马程序试图把它们的活动伪装成DNS查询,推荐把任何试图与DNS服务器以外的地址进行连接的尝试视为可疑-Trojan DNS规则将报告类似的连接。如果连接是合法的(如果你的ISP更换了DNS服务器地址这些“允许”规则需要及时进行更新)则对其做出报告很容易导致网络失去连接,此时应该从禁止日志中查明原因。
Block Incoming SSDP:协议 UDP,本地端口 1900,禁止
Block Outgoing SSDP:协议 UDP,远程端口 1900,禁止
●这些规则屏蔽了用于在局域网中查找即插即用设备(UPnP)的简单服务搜寻协议(SSDP)。由于即插即用设备会导致许多安全问题的出现,如非必要最好还是将其禁用-如果必须使用的话,则把这些规则设为“允许”。如果最后的“Block Other UDP”规则也被采用,即可防止SSDP起作用,所以这些规则是建议配置。
Block Incoming UPnP:协议 TCP,方向 入站,本地端口 5000,禁止
Block Outgoing UPnP:协议TCP,方向 出站,远程端口 5000,禁止
●这些规则屏蔽了UPnP数据包-如同上面关于SSDP的规则,如果你非常需要UPnP则把规则改为“允许”,可是一定要把UPnP设备的IP地址设为远程地址以缩小其范围。如果最后的“Block Other TCP”的规则被采用
,即可防止UPnP起作用,所以这些规则是建议配置。
Block RPC(TCP):协议 TCP,方向 入站,本地端口 135,禁止
Block RPC(UDP):协议 UDP,本地端口 135,禁止
●这些规则实际上是默认的全局规则中关于屏蔽RPC/DCOM通讯的规则拷贝-所以在这里并不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM连接,则把这些规则改为“允许”,不过仅限于信任的远程地址。
Allow DHCP Request:协议 UDP,远程地址 ,远程端口 BOOTPS,本地端口 BOOTPC,允许
●DHCP规则-请至D2部分查看详情(如果使用的是固定IP地址则不需应用此规则-通常只有在私有局域网内才会如此)。因为svchost.exe会对DHCP查询作出回应所以这条规则是必需的-由于应用了最后的“Block Other TCP/UDP”规则,全局DHCP规则此时并不会起作用。
Allow Help Web Access:协议TCP,方向 出站,远程端口 80,443,允许
●Windows帮助系统可能会通过svchost.exe发起网络连接-如果你不想使用帮助系统(或者是不希望微软知道你何时使用的)则可以略过本规则。
Allow Time Synchronisation:协议 UDP,远程端口 123,远程地址 https://www.doczj.com/doc/655506177.html,,https://www.doczj.com/doc/655506177.html,,允许
●用于时间同步-只有当你需要用到Windows XP这个特性时才需要创建该规则。
Block Other TCP Traffic:协议TCP,方向 出站,禁止
Block Other TCP Traffic:协议 TCP,方向 入站,禁止
Block Other UDP Traffic:协议 UDP,禁止
●把这些规则设定在规则列表的最下面-它们会阻止未设定规则的服务的规则向导弹出窗口。未来所添加的任何规则都应该置于这些规则之上。
商业用户请参考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系统服务所需放行的额外端口信息。
Services.exe(Windows 2000系统独有)
Allow DNS(UDP):协议UDP,远程端口 53,远程地址 <你的ISP的DNS服务器地址>,允许
Allow DNS(TCP):协议 TCP,方向 出站,远程端口 53, 远程地址 <你的ISP的DNS服务器地址>,允许
Possible Trojan DNS(UDP):协议 UDP,远程端口 53,禁止 并且报告
Possible Trojan DNS(TCP):协议 TCP,方向 出站,远程端口 53,禁止 并且报告
●DNS规则-请至D1部分查看详情。只有当“DNS客户端服务”没有被停用时才需要上述规则,因为此时services.exe将会接手查找工作;
●因为这里只需要TCP规则,所以操作设定为“允许”;
●与svchost规则一样,“Possible Trojan
”规则在拦截到连接其它地址的企图时会作出报告。
Allow DHCP Request:协议 UDP,远程地址 ,远程端口 BOOTPS,本地端口 BOOTPC,允许
●DHCP规则-请至D2部分查看详情(注意如果使用的是静态IP则不需设置-通常只有私有局域网中才会如此)。需要设置的原因同上述svchost.exe。
Block Other TCP Traffic:协议 TCP,方向 出站,禁止
Block Other TCP Traffic:协议 TCP,方向 入站,禁止
Block Other UDP Traffic:协议 UDP,禁止
●把这些规则列到最下面-它们会阻止未设定的程序的规则向导窗口弹出,任何后续添加的规则均需列到这些规则上方。
与上面的svchost.exe一样,商业用户请参考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系统服务所需放行的额外端口信息。
Outpost 升级服务
除了DNS规则外,Outpost 2.0不再需要额外的网络连接,Outpost 2.1及后续版本可以从Agnitum下载新闻和插件信息。应用此功能需要作出如下设定:
Allow Outpost News and Plugin Info:协议 TCP,方向 出站,远程端口 80,远程地址 https://www.doczj.com/doc/655506177.html,/,允许
还可以使用一条类似的规则用于程序的升级:
Allow Agnitum Update:协议 TCP,方向 出站,远程端口 80,远程地址 https://www.doczj.com/doc/655506177.html,/,允许
网络浏览器(Internet explorer,Netscape/Mozilla,Opera,等)
Outpost的自动配置功能以及预设规则为浏览器提供了比较宽松的设置-对于大多数用户来说可以将其进一步强化如下:
Allow Web Access:协议 TCP,方向 出站,远程端口80,允许
Allow Secure Web Access:协议 TCP,方向 出站,远程端口 443,允许
●上述规则允许了建立标准(HTTP)和加密(HTTPS)网络连接。如果你使用了代理并且想使所有信息都流经代理,则可考虑将上述规则设为“禁止”,注意此类代理将需要单独为其设立一条规则(具体设定取决于代理所以此处不再作详细说明)。
Allow Alternate Web Access:协议 TCP,方向 出站,远程端口 8000,8010,8080,允许
●某些网站可能会把连接转到其它远程端口(比如8080-在URL中以https://www.doczj.com/doc/655506177.html,ort-number 的形式出现)-建议此规则在网站没有此类连接无法工作时才加入。
Allow File Transfers:协议 TCP,方向 出站,远程端口21,允许
●此规则是为了文件传输而设。与“Web Access”的规则一样,如果你想所有的传输都通过代理进行则将此规则设为“禁止”,文件传输通常还需要建立进一步的
连接-Outpost会自动放行这类连接(详情可查阅Stateful Inspection FAQ)。
如果浏览器还带有email,新闻组,以及即时通信功能,则还应添加下文中给出的相应规则。
邮件客户端(Outlook,Eudora,Thunderbird,等)
两种协议(相应的也就是两组规则)可以用于取信和发信。如果你应用代理来读取及扫描邮件的防病毒软件的话,那么下面这些规则可能是你需要的-在此情形下客户端应该只需要一条规则(Email Antivirus Access:协议 TCP,方向 出站,远程端口 127.0.0.1,允许)来连接防病毒软件。
此种情形下想建立一套合理的规则有一种简单方法:让Outpost在“规则向导模式”下运行,使用客户端收发邮件,在弹出对话框中选择“使用预设规则:定制”来为客户端和防毒软件的代理建立规则。这样设定完以后,从“选项/应用程序”打开这条规则手动添加 其它邮件服务器名-这样可以获得具有多IP地址的服务器的所有地址(规则向导对话框只包括一个IP地址)。
Read Email via POP3:协议 TCP,方向 出站,远程端口 110,995,远程地址 <你的POP3服务器地址>,允许
●本规则是为了通过被广泛采用的POP3协议读取邮件而设,顾及到了开放型(110端口)和加密型(995端口)连接。邮件服务器的地址可以在客户端的设置里面找到,ISP可能会使用同一台服务器来处理接收和发送请求,也可能会为两种协议分开设立服务器。
Read Email via IMAP:协议 TCP,方向 出站,远程端口 143,993,远程地址 <你的IMAP服务器地址>,允许
●此规则是为使用IMAP协议读取邮件而设,可以取代也可以与上面的POP3规则并存。是否使用取决于你的邮件程序的设定,规则顾及了开放型(143端口)和加密型(993端口)连接。
Send Email via SMTP:协议 TCP,方向 出站,远程端口25,465,远程地址 <你的SMTP服务器地址>,允许
●此规则是为通过SMTP协议发送邮件而设,顾及了开放型(25端口)和加密型(465端口)连接。由于许多病毒都是通过邮件传播,垃圾邮件发送者也往往试图通过劫持疏于防范的微机来发送垃圾邮件,所以强烈建议此处只加入你的ISP的SMTP服务器地址。 不管你上面设定的是POP3规则还是IMAP规则这条规则都是必需的。
Block Web Links:协议 TCP,方向 出站,远程端口 80,禁止
●此规则会防止客户端下载HTML格式邮件中包含的任何连接。许多垃圾邮件用这种方法判断是否邮件已经被阅读(从而确定你的邮件地址是否“有效”)。合法的邮件也会受到此规则的影响,但是通常只有图片无
法显示,文本(和作为附件的图片)不受影响。
●如果你需要察看某封邮件中的图片,可在本规则之前加入一条规则允许与其域名的连接。
●如果你使用浏览器来读取邮件则不要使用本规则,否则正常的网络连接会被屏蔽掉。
下载工具(GetRight,NetAnts,GoZilla,Download Accelerator,等)
特别提示:许多下载工具或加速器带有可能会追踪你的使用情况的广告,碰到这种程序,要么换一种不带广告的-如GetRight-要么设定一条规则来屏蔽其与自身/广告站点的连接并把这条规则置于最前,可以通过Outpost的“网络活动”窗口来查知广告所连接的地址。
Allow File Transfer:协议 TCP,方向 出站,远程端口21,允许
●本规则允许了标准的文件传输。与浏览器规则一样,如果你只想通过代理传输数据可以考虑设定为“禁止”。
Allow Web Access:协议 TCP,方向 出站,远程端口 80,允许
●许多下载是通过HTTP协议进行的。
新闻组程序(Forte Agent,Gravity,等)
此类程序使用NNTP协议,详情请查阅RFC 997 - Network News Transfer Protocol。
Allow Usenet Access:协议 TCP,方向 出站,远程端口 119,允许
●正常的新闻组连接所必需。
协议 TCP,方向 出站,远程端口 563,允许
●加密型新闻组连接必需。
因特网中继聊天系统(mIRC,ViRC,等)
因特网中继聊天系统可以用于在线交谈以及通过DCC(Direct Client-to-Client)协议交流文件,详情请查阅RFC 1459 - Internet Relay Chat Protocol。
特别提示:对于通过IRC接收到的文件要格外小心,因为恶意用户可以很容易的利用其散布病毒或者木马,如有兴趣可参阅IRC Security这篇文章。如果你经常需要发送或接收文件,可以考虑安装专用反木马软件(如TDS-3或TrojanHunter)与防病毒软件配合使用,及时扫描流进流出系统的文件。
Allow IRC Chat:协议 TCP,方向 出站,远程端口 6667,允许
●在线聊天必需
Allow IRC Ident:协议 TCP,方向 入站,本地端口 113,允许
●本规则是连接某些使用Ident/Auth协议的服务器必需的,用于验证你的连接-视情况添加。
Receive Files with IRC DCC:协议 TCP,方向 出站,远程端口 1024-65535,允许
Send Files with IRC DCC:协议 TCP,方向 入站,本地端口 1024-65535,允许
●如果你配置了这些DCC规则,建议你平时关闭,需要时再启用。当你想发送或接收文件时,启用相应的规则,传送一旦完成即可关闭
之。
●使用DCC,接收者必须初始化连接-因此为了发送文件,你的系统必须接收一个请求,如果你在使用NAT路由器,则需对其作出调整使此类请求得以通行,请查阅路由器的文档获知详情。
●因为DCC是随机选择端口(某些客户端使用的端口范围会小一些),所以这个范围不可能设的很小。换个思路,可以试着找出对方的IP地址(可以通过IRC中查得或查阅Outpost的日志中失败的连接企图)并作为远程地址加入到规则中。
●DCC传输是在你和另一方的系统之间建立起的连接,IRC服务器被跳过了-因此Outpost的Stateful Packet Inspection选项无法起作用。
E3-组件控制
建议本项设置为MAXIMUM-会导致时常出现弹出窗口。如果觉得弹出窗口过于频繁,可以从Outpost文件夹中删除modules.ini和modules.0文件以强制Outpost重新扫描组件。
设置改为NORMAL可以减少弹出的次数,但是会导致某些泄漏测试的失败。
F-Outpost模式设定(位于“选项/模式”)
只有“规则向导模式”和“禁止大部分通讯模式”应该酌情选用。大多数情况下,应该选用“规则向导模式”因为其会对任何未经设定的通讯作出提示,可以立刻设定新的相应规则。
不过如果已经进行了完善的设置工作并且确定近期不会再作出变更,可以选用“禁止大部分通讯模式”,当进行在线安全检测时为了防止频繁弹出提示窗口也可选用此模式。
G-Outpost插件设置(位于“选项/插件”)
G1-活动内容过滤
推荐把其中的所有选项设为“禁止”,只允许特定的网站通行,除非你采用了别的软件来把关。其中的例外情况就是Referers(连接某些网站时会出现“hard-to-track”问题)以及,对Outpost 2.1来说,动画GIF图片(从安全性角度来说并不重要)。照此设置即可防止恶意网站随意修改浏览器的设置(如修改主页或者添加书签)或者是在用户不知情的情况下安装不必要(甚至是有害)的软件。此类手段通常被黄色或者赌博或者破解站点采用,但也不排除某 些不道德的公司会应用。请查阅Adware and Under-Wear - The Definitive Guide 获知更详尽的信息。
如此严格的设定不会适用于所有站点,如果碰到问题请放宽此设定。此时最好是把该站点添加到“排除”项目中并为其设置自用的选项-在全局中设置“允许”会导致第三方站点、广告站点等运行其内容。根据日志中的记录的症状和细节来“允许”下列选项并且重载网页( 注意重载网页前需要清除浏览器的缓存-不过许多浏览器允许你在点击“重载
”健的同时按住“Shift”健来“强制重载网页”)。
改动收益:通过阻止网站任意安装软件以及更改浏览器设置来增强系统安全性,阻止通过cookie来追踪用户以保护用户隐私。
付出代价:许多网站会无法完全正常的工作,甚至完全无法工作。虽然大多数情况下活动内容都是非必要的,一些站点仍然需要为其单独进行设定。找出具体设定值将会消耗大量时间。
Cookies
如果网站无法“记住”你提供的信息-如用户名、登录信息或者购物篮信息(购物网站的)在你选定商品后仍然留空。
Java脚本
如果网页中的按钮在被点击后没有反应,或者是点击后重载本网页而不是进入相应地址。
弹出窗口(Outpost 2.0特有)
VB脚本/弹出窗口(Outpost 2.1及后续版本)
在Java脚本已被启用并且日志中仍然出现相应被屏蔽记录的情况下,按钮被点击后仍然没有反应。
第三方活动内容(Outpost 2.1及后续版本)
如果必需的网页元素被[EXT]替代。
G2-广告过滤
强烈建议把Eric Howes的AGNIS名单加入广告过滤名单中,该名单包括了已知的间谍软件和有害软件站点以及发布广告的第三方站点并且,即使在“活动内容过滤”未启用的情况下,提供妥善的防护。
拜该名单的综合性所赐,页面中一些需要的内容可能也会被过滤掉。此时应查询“广告过滤”日志获知其关键字(或者大小),然后从过滤名单中去除该条目或者(Outpost 2.1版中)把站点加入到“信任站点”中-会停止过滤此站点所有广告。
应用名单后经常遇到问题的用户可以考虑采用AGNIS名单精简版。
改动收益:移除广告会加速页面载入速度以及使网页更加清爽。已知的有害软件安装站点会得以屏蔽。
付出代价:需要的网页元素可能也会遭到过滤。如果所有人都屏蔽广告一些依靠广告点击生存的站点将无以为继。
步骤:
●从上述给出的地址下载AGNIS名单-如果下载了.zip版请用相应程序(如Winzip)解压;
●如果你想手动添加条目,使用记事本程序打开ag-ads.ctl文件(如果你使用的是精简版则是ag-lite.ctl文件)将其添加到最后。建议将自定义规则另存为一个文件以便于AGNIS的升级;
●在Outpost主窗口左侧的“广告过滤”项点击右键并且选择“属性”;
●钩选“在桌面上显示广告垃圾箱”-会弹出一个“打开”对话框;
●选定ag-ads.ctl或ag-lite.ctl文件打开。
G3-
附件过滤
除了启用本插件(以防止任意邮件附件的自动运行)没有别的推荐设置,当然打开附件前还要使用防病毒软件事先扫描之。
G4-入侵检测
此处的推荐设置取决于用户是否采用了额外的防火墙(比如外置路由器)。如果采用了,很多扫描或者自动攻击之类的“地面噪音”就已经被其过滤掉了-而能到达Outpost的就应该予以重视了。
警告级别:
●最高
报告检测到的攻击(Outpost 2.1及后续版本):
●如果还采用了其它防火墙则钩选此选项。
●如果没有采用则留空以避免过多的弹出窗口。
屏蔽入侵者:
●如果频繁受到攻击则启用此功能。启用此功能需要谨慎考虑因为合法的通讯可能也会被屏蔽。
拒绝服务(DoS)攻击:
●只有处于局域网中时才需启用。
忽略来自信任站点的攻击
入侵检测插件可能会把连续的连接请求误认为攻击,在Windows网络中的Browse Master和Domain Controller主机会定期对所有微机进行连接,这就导致了误会的产生。可以通过停用“入侵检测”插件或者是断开网络并关闭Outpost后编辑protect.lst文件的方法来防止此类情况的发生。
改动收益:防止例行的网络连接被误判为攻击行为并遭到屏蔽。
付出代价:从这些主机发动的攻击将再也无法被探测到及作出报告,此时应格外注意对这些主机的防护。
步骤:
在protect.lst文件的末尾应该是部分-把信任主机的地址按如下格式添加进去(本例采用的是192.168.0.3和192.168.0.10)。把修改后的文件备份到另一文件夹中以便于Outpost的升级(建议取消“工具/自动检查升级”,自己手动进行升级)。
#
#
# 192.168.3.0/255.255.255.0 #Local Network
#
#
#
192.168.0.3/255.255.255.255
192.168.0.10/255.255.255.255
G5-内容过滤
无推荐配置。
G6-DNS缓存
无推荐配置
G7-Blockpost
Blockpost是可在Outpost防火墙论坛中找到的一个第三方插件(Dmut’s Blockpost Plug-In子论坛),它可以漠视任何Outpost防火墙的设置而屏蔽与特定IP地址的任何通讯。可以用于两种情况:
●通过名单屏蔽与已知间谍软件/广告软件站点的连接。
●防止与已知的有害地址的连接(对使用P2P软件如KaZaA,eMule,Gnutella等的用户尤为重要),使用此类软件的用户可访问Bluetack论坛获得清单和相关程序。
注意
由于Blockpost只对IP地址有效,所以需要定期更新其清单以令其更好的发挥作用。它不会提供完全的防护或者是隐匿性,因为攻击者可以获得新的(未列于名单中的)IP地址,当然它会用其它方式屏蔽任何TCP、UDP或者是ICMP形式的扫描。
注意如果你使用代理来访问互联网,Blockpost不会过滤经由那个代理的信息(因为这些信息带有的是代理的IP地址而非目标站点的IP)-如果你希望屏蔽与可疑站点的连接,可以对你的浏览器进行设置(如果可能)使其不使用代理访问那些站点,如此从可疑 站点的IP地址发起的连接企图即可被Blockpost屏蔽。
G8-HTTPLog
HTTPLog是又一个可从Outpost防火墙论坛获得的第三方插件(Muchod’s HTTPLog Plug-In子论坛)。它记录了所有到过的网页的详细信息,因此对于检查过滤规则的有效性和监控任意程序通过HTTP进行的活动都是十分有用的。
G9-SuperStelth
SuperStelth是另一个可从Outpost防火墙论坛获得的第三方插件(Dmut’s Super Stealth Plug-In子论坛)。它过滤了ARP(Address Resolution Protocol)通讯,只允许与特定地址的往来通讯通行。
SuperStealth对于互联网的安全性没有实际意义,它提供了对于位于局域网中的以太网通讯的控制。这是一个特别设计的工具,只适用于对ARP和以太网比较熟悉的用户。