主流防火墙设置集合 共七种
[size=2][color=red]Outpost Firewall配置使用指南![/size][/color]OP的设置还是很简单的,这个文档希望可以让大家近一步学会使用OP
[color=blue]第二楼 BlackICE简单应用 配置指南[/color]
[color=darkblue]第三楼 ZA防火墙设置使用指南[/color]
[color=red]第四楼 Kerio Personal Firewall 使用入门指南[/color]
[color=limegreen]第五楼 Tiny Personal Firewall2005配置使用指南[/color]
[color=teal]第六楼 天网防火墙设置图文说明[/color]
[color=indigo]第七楼 方便大家学习的Look‘N’Stop中级教程WORD文档[/color]
[color=sienna]第八楼 Look'n'Stop 防火墙使用补遗[/color] [size=2][color=red]BlackICE简单应用 配置指南[/size][/color]
其实这个防火墙呢有几个方面的优点;我个人推荐blackice防火墙,blackice有两个版本,一个是单机版,一个是服务器版,这两个版本的主要区别就是在于服务器版功能多一点。。。
这款防火墙里面的设置很细,他是以安全为主的,为什么这么说呢。因为他先把要进出的端口进行了严格的控制与设置。。。
与别的防火墙不一样的地方可能就是他先封闭所有的端口,然后有需要再进行打开某个端口或是IP。否则不让通行。。
相信对于个人跟安全意识不高的人来说,这款防火墙很不错的,(唯一认为难看的可能是图标不怎么样吧)
我这里给出了这两个软件的下载地址,
软件名称 BlackICE PC Protection v3.6 coo 汉化版
地址:[url=http://down.egogoo.com/software/5893.Html][size=2]http://down.egogoo.com/software/5893.Html[/size][/url][size=2]
软件名称 BlackICE PC Server v3.6 coo 汉化版
地址:[/size][url=http://www.crsky.com/soft/1550.html][size=2]http://www.crsky.com/soft/1550.html[/size][/url][size=2]
这里我主要讲解一下软件的安装及过程中需要哪些注意的。。。
我就讲解一下服务器版的吧。因为服务器版的里面包含了专业版的功能。。。服务器版功能多了一点,所以如果服务器版能够很熟练的设置与使用,相信专业版也是一样可以用得得心应手的。。
这个是我们下载下来的文件会在里面看到如图1
第一个文件是就是安装软件。。第二个是个KEY,第三个是BLACKICE汉化软件。
双击安装出现图2
直接NEXT
这个意思是说一些欢迎的词,每个软件都有的,
出现图3
[img]http://www.cnrot.cn/upload/2005_10/051012003689265.jpg[/img]
这里需要我们注册码:34519A2-RS-E4A0B(这个注册码单机版也可以用)
输入之后再NTXT如图5
[img]http://www.cnrot.cn/upload/2005_10/051012003895892.jpg[/img]
[img]http://www.cnrot.cn/upload/2005_10/051012003689267.jpg[/img]
[img]http://www.cnrot.cn/upload/2005_10/051012003689266.jpg[/img]
这里要说明一下。。。
“AP Off”和“AP On”两个选项,其中 AP On意思是应用程序控制,也就是安装后扫描系统中的所有文件,如果发现木马或是一些病毒程序即时将它杀死。因为他会找出将要Internet的程序,并对所有应用程序运行进行控制,这样可以防止木马程序访问网络。为安全起见,我们选择“AP On”。
AP Off的意思就是说不检测,直接跳过去。。
选AP ON后我们用NEXT他会对硬盘里的文件进行扫描。。。
之后再next安装就完成了。。。
[img]http://www.cnrot.cn/upload/2005_10/0510120036892611.jpg[/img]
[img]http://www.cnrot.cn/upload/2005_10/0510120036892613.jpg[/img]
[img]http://www.cnrot.cn/upload/2005_10/0510120036892610.jpg[/img]
接下来我们重新运行Blackice 就可以了。。
安装到些基本上完成。。
刚才前面我们把Blcakice安装好了,现在我们来看一下他的设置。。。。。
右键单击任务栏中的小图标,选择“编辑Blackice 的设置
如下图1
我们这里一步步的讲解他是怎么样设置的,先看第一个防火墙。。。
[img]http://www.cnrot.cn/upload/2005_10/051012003689269.jpg[/img]
现在我们看到的是默认的级别。。。
默认防护级别为“完全信任”,允许所有入站信息,这个呢,设置安全级别太低了。。。一般不选这个,我也建议大家选取“高度警惕”“或是怀疑一切”,因为现在的黑客太历害了。。。特别对于一些安全意识不高的人。。。我建议先最高的{怀疑一切}。。它将拦截所有不经请求的入站信息。下面三个选项分别“启用拦截”、“允许Internet文件”,“共享允许NetBIOS网络邻居”
大家其实可以按我装的用。。。。
我们再来看一下第二个,数据包日志图2
[img]http://www.cnrot.cn/upload/2005_10/051012003689268.jpg[/img]
[img]http://www.cnrot.cn/upload/2005_10/0510120036892615.jpg[/img]
这里选择是否跟踪并分析攻击者的网络信息,其中第一项是启用DNS追踪,而第二项是启用NetBIOS节点追踪,建议全部选中
用来追踪入侵者的信息。。用默认就可以了
再来看一下图5
入侵检测
[img]http://www.cnrot.cn/upload/2005_10/0510120036892616.jpg[/img]
这里是允许哪个IP进来。。。直接添加就可以。。。
再来看一下图6
通告,可以在此设置出现异常事件时是否进行提示,以及是否进行声音报警。通常应该选中。
[img]http://www.cnrot.cn/upload/2005_10/0510120036892614.jpg[/img]
这个都打勾左边是可以显示的图有三种,右边是可以听到的声音,我们让他最高的时侯响就可以了。。。
下面是更新通知。。。启用检查,打勾每隔三天他会自动更新。。
看下图7提示,这个默认就可以。。。
[img]http://www.cnrot.cn/upload/2005_10/0510120036892618.jpg[/img]
再来看一下图8
应用程序控制,这个呢是指我们运行程序时他会提示,看一下也知道。。
[img]http://www.cnrot.cn/upload/2005_10/0510120036892619.jpg[/img]
当出现一个未经许可的应用程序访问网络时,应该怎么办?为了安全起见,可以在此标签下选择询问我怎么做。
下面也是一样,当修改一个应用程序加载时。。也是询问我怎么做。。。
再来看一下图9
[img]http://www.cnrot.cn/upload/2005_10/0510120036892617.jpg[/img]
这个其实跟刚才的图8是差不多一样的。。。这个是当程序访问网络的时侯询问我要怎么做?
一般都是用提示,,
记住图8跟图9只有打开就是前面打勾之后才能对其进行选择。。。
现在再来看一下高级
防火墙
的设置。。。。
图10
[img]http://www.cnrot.cn/upload/2005_10/0510120036892620.jpg[/img]
这里我们看到上面黑色代表禁止,绿色代表通行,
这里可以添加IP也可以,添加端口。。。。。
如图11
[img]http://www.cnrot.cn/upload/2005_10/0510120036892622.jpg[/img]
我这里添加的是IP,这里看一下就知道了,直接点添加这个192.168.0.30永久的禁止通行了。。
再来看一下端口是怎么屏蔽的如图12
[img]http://www.cnrot.cn/upload/2005_10/0510120036892624.jpg[/img]
端口也差不多就是这样子设了。。。如果有UDP的话那么在类型那里选。。。
这里可以再看图13
[img]http://www.cnrot.cn/upload/2005_10/0510120036892621.jpg[/img]
高级应用程序设置,
这个大家看到了没有,这个可以按默认的盘内软件进行扫描。。。
这里有几张是别人入侵我的图样。。。。
图14
[img]http://www.cnrot.cn/upload/2005_10/0510120036892625.jpg[/img]
当我们双击一下事情的同时他会显示出入侵者的一些情况。。。如
[img]http://www.cnrot.cn/upload/2005_10/0510120036892623.jpg[/img]
我们可以看到对方的IP,工作组,MAC地址。。。跟DNS。。。。
针对于历史如图16
[img]http://www.cnrot.cn/upload/2005_10/0510120036892626.jpg[/img]
一般用小时就可以了。。。。
差不多BlackIce 就是这样子设置了。。。。其实还是比较简单,他是一个功能强大的防火墙,也可以说是安全性能比较高的。。。针对于安全意识弱一点的人很适合。。[/size] [size=2][color=red]ZA防火墙设置使用指南![/size][/color]
软件介绍:
易于使用但功能强大的ZoneAlarm是一个集成5种安全服务技术的个人防火墙软件,它把防火墙、应用程序控制、Internet锁定、动态安全级别及域分配有机地整结在一起。
易于使用是ZoneAlarm一贯的特点,虽然对中国人来说英文界面看起来不舒服,但是,ZoneAlarm使用方法如此简单,即使是刚刚出道的新手也能够很容易得就掌握它的使用。功能强大是ZoneAlarm的另一个特点,ZoneAlarm不再是一个简单的网络防火墙,而是一款综合防火墙软件。除了防火墙外,它还包括一些个人隐私保护工具以及弹出广告屏蔽工具,同时还具有一个高级邮件监视器,它将会监视每一个有可能是由于病毒导致的可疑行为,如果你是家长不希望孩子浏览暴力网站,它具备网页过滤功能,另外,它还将会对网络入侵者的行动进行汇报。新版ZoneAlarm Pro 5.0.556.003 Beta增强了AlertAdvisor,具有自动的策略建议;更新了反病毒监测(Antivirus Monitoring); 全新的警报查看器功能。ZoneAlarm支持在线智能升级和人工升级。ZoneAlarm还有网关管理功能,通过专家级的规则制定,它能够让高级用户自由控制上网资源。专家级的规则制定功能也存在于其它防火墙中,但是,ZoneAlarm专家级的规则制定功能更强大,体现在可以对组操作(避免重复操作)、间控制和可以控制到MAC级别,这正是网管需要的功能,好戏在后面。
一、安装与界面
目前可以看到的ZoneAlarm版本有多个:ZoneAlarm Pro 、 ZoneAlarm Plus 、 ZoneAlarm 和ZoneAlarm with Antivirus等,笔者使用的是ZoneAlarm Pro with Web Filtering版。它们对系统的要求很低,Windows 98SE/Me/2000/XP, 233 MHz Pentium or higher, 10MB of available hard disk space, Internet access. Minimum system RAM: 48MB (98SE/ME), 64MB (2000 Pro), 128MB (XP)就足够了,无论全新安装还是升级安装都能轻松完成。与其它软件不同,ZoneAlarm Pro 4.5以后的版本为你提供了一项选择:你可以选择下载免费的ZoneAlarm 4.5,并且以后再也不会被产品购买提示所打扰,也可以选择ZoneAlarm Pro有效期为30天的免费试用版。在30天的免费试用期满后,如果你还是决定暂时不支付50美元来购买ZoneAlarm Pro,则该软件会自动转变成ZoneAlarm 4.5,无需任何重新安装的操作,你也不会看到任何变成灰色而无法使用的功能。无论你选择哪一个版本,在软件的安装过程中,ZoneAlarm都会提供有一个无需你做太多思考的向导,它会询问你几个简单的问题,并带领你完成所有的配置。对于大多数用户来说,最为适合的也许就是一路点击“下一步”,使用该软件的默认配置来为自己的计算机提供安全保护。而且,在任何时候你都可以对这些配置随意的进行修改。
ZoneAlarm的主界面是那种漂亮、同时对任何人来说都足够简单的外观。这种设计看起来和Windows XP极其相似,导航条标签位于屏幕的左侧,当你点击它们的时候会详细的显示出每一项设置的内容(如图1)。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_01.jpg[/img]
图 1
导航条中包括ZoneAlarm的主要功能:
Overview .................常规状态
Firewall................. 防火墙保护网络安全
Program control.......... 应用程序控制
Antivirus monitoring..... 反病毒监测
E-mail protection ........高级邮件管理
Privacy ..................保护隐私信息
Web Filtering............ 网页过滤
ID Lock.................. 逆向追踪黑客的来源
Alerts and Logs.......... 警报和日志查看器
最小化窗口dashboard
点击“缩放”按纽可以将整个窗口最小化,只显示出“停止”和“锁定”键(图2),它们分别可以用来屏蔽一切网络连接和取消保护。“停止”是相对一切网络通讯而言的,比如遭网络(冲击波/高波病毒等)攻击时使用它屏蔽一切网络连接;“锁定”功能是对应用程序而言,被标记为信任的应用程序仍然可以通讯,而其它应用程序的通讯被中断,笔者使用VNC远程控制连接就要用到这个功能,把VNC标记为可信任服务就可以了,总的来说,这个软件的外观体现了简洁又漂亮的特点。 dashboard中间显示的是当前可用的网络连接,比如有2块网卡分别连接2个不同的网络,当鼠标指向网络仪表板上相应的网络参数就显示出来了。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_02.jpg[/img]
图 2
二、强劲功能逐个数
ZoneAlarm Pro 的核心部分,还是它的个人防火墙,它能够确保任何入侵者都无法通过互联网进入到你的计算机中。同时还具有一个能够捕捉到可能会群发邮件的病毒或者蠕虫的电子邮件监视器、一个cookie管理器、一个弹出或者广告屏蔽器,以及一个ActiveX和JavaScript防御工具。
常规设置(Overview):
ZoneAlarm的Overview能够很快的让你了解到最近所遭受到的入侵攻击,包括一些常规详细和设置。
版本信息和自动升级
Overview中的product info显示当前的版本信息和版权信息,如果Licensing中显示还有XX天,你注意要及时注册呀,如果不是最新的版本可以通过Overview菜单-preference(参数)选项卡-check for updates(检查最新版本信息)来设置自动更新或手工更新。
开机自动运行
在安装中,ZoneAlarm 能够进行自我配置,以便能够与你默认的浏览器相兼容。默认设置下次开机时ZoneAlarm 自动运行,ZoneAlarm 占资源不大,这样的设置保证了计算机开机后立即得到保护,如果要关闭开机自动运行,在Overview菜单-preference(参数)选项卡-general(常规)中取消选择“Load Zone Labs security software at startup ”就可以了。
密码保护和参数备份
密码保护用来保护ZoneAlarm 不被意外停止和恶意修改参数,在Overview菜单-preference(参数)选项卡-password中点击set password设置保护密码(如图3)。
参数备份是备份系统自我配置和用户配置的参数,一般来说由于不同的计算机网络和应用环境差别很大,不同用户的参数设置不同,不能互用。备份时点击Overview菜单-preference(参数)选项卡-Backing up and restoring security settings 中的backup/Restore完成备份/恢复,是一个XML文件。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_03.JPG[/img]
图 3
防火墙保护(Firewall)
功能介绍
ZoneAlarm 的防火墙(图4)具有三个安全级别(高、中和低),并将其安全分成三个区域(锁定、本地和 Internet)。ZoneAlarm创造了域的管理方式,使得用户管理更简单:把对象简单的分为3个域,可以信赖的对象组成的域---Trusted Zone 、绝对不可以信任的对象组成的域--Blocked Zone 和不能确定是否能信赖的对象组成的域--Internet Zone。域的对象可以是一个网段,一个主机,一个网址等。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_04.JPG[/img]
图 4
对所有的 Internet 活动,Zone Lab 推荐使用“高”安全级别设置,这样的设置将锁定每一活动,直到您作出明确授权为止。这是 ZoneAlarm 仍未能用于批量安装的原因之一,因为每一安装都不得不这样做。ZoneAlarm 也使用秘密模式,这种模式对端口状态请求(如端口扫描期间遇到的请求)不做出响应,将已授权程序没有使用的所有端口隐藏起来。
安全设置“中”最好留给本地(Trusted Zone)使用,此设置实施用户设置的所有应用程序特权,但允许本地网络访问 Windows 服务、共享文件和驱动器。用户必须定义在本地区域中允许使用的资源。这些资源可以包括机器自己的适配器(用于循环回路和其他服务)以及其他计算机。幸运的是有了域的分配,您不必为每台计算机输入 IP 地址,因为 ZoneAlarm 允许您输入主机/网站名称、单一 IP 地址、范围或子网归于域。最后,如果您在网络内部运行服务器,则安全设置“低”为最好的选择(图5)。此情况下最有可能的安装将是基于硬件的防火墙后的文件和打印服务器的安装。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_05.JPG[/img]
图 5
操作步骤:
在FireWall功能页面下,我们可以通过“add”按钮来将指定的计算机或者网络设置为信任主机或者受保护的区域(图6),例如将那些需要进行共享的计算机或者我们进行需要使用ping命令来测试的计算机设置为信任主机时,单击“add”按钮,然后再选择是通过“Add ip address”命令添加指定的主机IP地址还是通过“Add ip range”命令添加局域网中的ip地址范围,或者是添加子网掩码,让ZoneAlarm把局域网和Internet分开来管理。如果要取消信任主机或者受保护的网络区域,只要先在该界面的列表上选中指定目标,再单击一下“remove”按钮就可以了,如果要对这些内容进行编辑,只要单击edit按钮就行了,设置好后单击“apply”按钮就开始生效了。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_06.JPG[/img]
图 6
用户要做的就是编辑域成员和设置域的安全级别,域成员角色的转换也很方便,域安全级别的设置对所有域成员都起作用,真是太方便了。 内外有别保护不同网段
ZoneAlarm其核心的个人防火墙可以保护您的电脑不受互联网上非法用户的入侵,同时还能够自动检测局域网络的设置,确保来自内部网络的通信不受影响。比如,你上互联网的同时还有一个办公网,内部需要交流文件或打印共享,可以把内部网络归为Trusted Zone域而把互联网归到Internet Zone域,ZoneAlarm对不同的域实施不同的防火墙规则,这样上网办公两不误,而且都受到防火墙的保护。
用域对付恶意网站
把恶意网站的网址输入Blocked Zone就可以达到不能访问恶意网站的目的(图7),网上关于恶意网站的网址很多,都归于Blocked Zone域,你感染恶意网页的机会就小多了,如果已经感染恶意网页,也可以把它归于Blocked Zone域,隔离断了它的后路,然后清除。用域封已经感染的恶意网页的方法是:
Firewall|Zones|Add|Host/Site(...)|Blocked|OK。增添对话框设置如图8,其中ZONE(域类型)、Host name(恶意网址)、Description(描述)。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_07.JPG[/img]
图 7
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_08.JPG[/img]
拒绝内部恶意网络攻击
如今的病毒太可恶,如果内部网络有一台计算机感染病毒,其它计算机就有被感染的可能,防火墙虽然可以阻挡已知的网络攻击,但是对新病毒的攻击未必有效,通过分析ZoneAlarm的日志可以确定是谁攻击你,把它的IP(或者它所在的IP段)指定为Blocked Zone域,接上网线,你的正常工作可以继续做而不用担心被感染了。
应用程序控制(Program control)
应用程序控制包括应用程序管理、自动的策略建议和自动锁定功能。
功能介绍
对应用程序控制有4个安全级别,分别对应应用程序(Program)和组件(components) 的进行管理,设置为“低”级别时应用程序和组件可以直接访问网络;“中”级别适合应用程序需要确认才能访问网络,组件可以直接访问网络的情况;而“高”级别对应用程序和组件都需要确认才可以访问网络。自动的策略建议也是很实用的功能,用应用程图访问网络时,它会给出策略建议。如果您选中“Automatic Lock”(自动锁定)中的ON选项,那么你可以在指定时间或屏幕保护时锁定网络。
操作方法
如果Zone Alarm 在运行过程中碰到一个新程序需要和网络连接的话,它就会跳出一个确认对话框,问你是否允许该程序访问网络。选择允许或不允许后可以到Program control-Program 中设权限(图9)。应用程序的权限包括访问权限和服务权限,访问权限和服务权限含义是不同的,对外而言,访问权限(Access Permissions)是控制是否可以主动访问外部对象,服务权限(Server Permissions)是控制是否允许开启服务端口提供外人连接,区别是发起连接的对象个别是自己和对方。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_09.JPG[/img]
图 9
该设置界面列出了所有可能访问Internet 的程序,并且提供程序名、是否允许连接、是否允许使用服务器、是否允许通过锁定应用程序控制功能等控制信息;其中是否允许连接又分为对本地和Internet 的两种连接方式,绿色的“√”为允许连接而无须询问;红色的“×”为禁止连接;问号则是在每次出现连接企图时都会先提出询问。另外应用程序控制功能允许你决定哪个软件可以或者不能使用Internet ,可以确保欺骗程序(或者说是盗贼程序)不能发送你的敏感信息给那些不法分子。在这里,我们可以通过鼠标的右键功能,来选择是允许程序和网络连接、禁止和网络连接、询问后再连接等3种状态(图10)。
如果选中“Automatic Lock”(自动锁定)中的ON选项,弹出自动锁定对话框,其中第一个选项是用来设置在停止操作以后多长时间启动锁定功能,程序默认为10分钟;第二个选项确定是否在运行屏幕保护程序的时候启动锁定功能。下面还有两项设置内容;其中第一项是在锁定状态下是否允许一些仍然处于激活状态下的程序如Email程序保持与INTERNET的联系,例如检查是否有新的邮件到来;第二项是停止所有的与INTERNET相关的操作,单击“Stop”按纽可以在锁定和解锁状态之间切换。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_10.JPG[/img]
图 10
PASS LOCK(激活)的设置方法(图11):
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_11.JPG[/img]
图 11
组件控制可能是其它防火墙所没有的功能(图12),它将禁止一个程序去控制另外一个应用程序的能力。因为某个程序可能利用了了一个称为DLL(动态链结库)的程序的可再度使用部分,使得因特网浏览器让程序发送数据。只有在高级安全模式才启用组件控制功能。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_12.JPG[/img]
图 12
其它功能介绍
反病毒监测(Antivirus monitoring) 不是网络防火墙的强项,但是病毒和防火墙的关系越来越亲密,有了用户的需要,ZoneAlarm就有了反病毒功能,如果安装的是ZoneAlarm with Antivirus 那么就具备了反病毒功能(图13),笔者安装的是Norton Antivirus 2004,ZoneAlarm 依然可以实现反病毒监测功能。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_13.JPG[/img]
图 13
高级邮件管理(E-mail protection) 通过电子邮件传播病毒已经是一个严重的网络问题,ZoneAlarm包含一个邮件监视器,它能够对所有接受的和发出的电子邮件都进行监控,以便于能够及时制止那些群发邮件病毒的可疑行为(以前的版本只能够对所受到的邮件进行监控)。在侦测到有病毒在进行自我复制后开始向外群发邮件时,它会自动关闭掉你的电子邮件客户端。MailSafe功能扫描所有电子邮件中出现的 Visual Basic 脚本附件(如臭名昭著的 ILOVEYOU“我爱您”病毒)。如果发现此类附件,MailSafe 会将其隔离,并在您试图运行该附件时发出警告。尽管在默认情况下MailSafe 处于活动状态,但可以通过安全面板禁用它(图14)。
保护隐私信息(Privacy protection) ZoneAlarm具备智能管理Cookie能力,Cookie是网站保存到用户硬盘,记录用户冲浪和购买习惯的文本文件。这些数据一般用于根据您的网上习惯有针对性地给您发广告,通常是无害的。但是这些数据可能会落入不怀好意的人之手,因此,您也许要考虑一下使用Cookie管理工具了。 像Cookie Crushera这样的程序能让您自己控制哪个网站可保存Cookie。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_14.JPG[/img]
图 14
ZoneAlarm广告拦(AD BLOCKING)截能力也是很强的,启用AD BLOCKING后,网站的广告基本上都被成功拦截了,而在安装防火墙以前只有使用第三方软件才能达到广告拦截效果(图15)。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_15.JPG[/img]
图 15
ZoneAlarm具备拦截Java和ActiveX的能力(MobileCode)(图16)。具备破坏性的代码通过网页和电子邮件不断的被下载,而ZoneAlarm具备拦截Java和ActiveX的分析和拦截能力,保护的上网更安全。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_16.JPG[/img]
图 16
一个缓冲区清理工具(CacheClean)(图17),它能够将保存在你计算机上的网络临时文件、浏览器历史纪录,以及cookie全都删掉,平时需要多个步骤才能完成的功能,现在点击鼠标就可以轻松完成了
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_17.JPG[/img]
图 17
逆向追踪黑客的来源(ID Lock) 在遭到攻击后,可以逆向追踪黑客的来源,另外,ZoneAlarm还新增加了一个汇报工具。以前,Hacker ID功能只能够在受到攻击后向你报告那些入侵者的地址(IP地址或者物理方位)(不用担心,在追踪任何可疑的入侵者的时候,ZoneAlarm会自动遮蔽掉你的IP地址)。不过现在,Zone Labs公司会自动收集这些追踪报告,并将它们发给相应的ISP厂商。不过好像用不上。
警报和日志查看器(Alerts and Logs)
弹出警报是用户和ZoneAlarm交流的方式,比如有新的应用程序需要访问网络就弹出警报(图18),如果关闭了警报功能,ZoneAlarm使用智能策略实施权限配置,以避免分散用户的注意力,简化用户配置难度。日志记录的是网络通信和应用程序通讯的过程,通过分析日志可以发现木马或受到的攻击极其来源以及应用程序访问网络的情况,而是否记录到日志可以通过面板设置。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_18.JPG[/img]
图19
专家级的规则设定
防火墙自定义规则并不是ZoneAlarm的“专利”,但是新版本中专家级的规则设定具有独特的功能(图20),突出特点表现在3个方面:定义组、时间控制和控制到数据链路层。到目前为止,控制到数据链路层只有ZoneAlarm可以作到。而且,ZoneAlarm可以工作在ICS/NAT的网关计算机上,针对内部计算机,ZoneAlarm根据设置决定是否对NAT数据包进行过滤,默认设置对所有本地数据包进行过滤,而对NAT转发的数据不做过滤,自定义规则可以针对外部和内部发起的通讯分别控制。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_20.JPG[/img]
图 20
组的对象可以按照主机、协议和时间分类。主机类可以是HOST/SITE(网址)、IP(地址)、IP RANG(地址段)、SUBNET(子网)、TRUST ZONE(信赖域)、INTERNET ZONE(INTERNET域)、ANY(任意)、GATEWAY(物理地址)等,协议类对象包括TCP、UDP、TCP&UDP、ICMP、IGMP、CUSTOM定制等,而对有相同时间要求的对象归于同一个时间组。把类功能要求相同的对象归与一组,显然减少了重复劳动,管理也更有条理。
时间控制功能对需要精确控制通讯时间的用户非常有用,比如所有IM是一个组,而这个组不能在上班时间使用IM及时通讯软件。而小朋友可以在星期天上网游戏或看动画片,其它时间禁止上网,这都可以用时间控制功能来实现。
对MAC的识别意味着可以捆绑IP和MAC,而MAC是网卡的身份证,允许或限制某台计算机使用上网资源也就不难了,这是其它防火墙不具备的功能,而这正是网管可能需要的东西(图21)。严厉的网管可以这样设置,屏蔽所有内部网络访问互联网的权限但允许使用内网资源,而对要求上网的用户设置IP和MAC捆绑并赋予访问外网的权限,即使有用户擅自修改IP或MAC也没用,而在一个LAN内部相同IP会报告IP冲突。
[img]http://www.yesky.com/imagesnew/software/040512/softzb040512_21.JPG[/img]
图 21
三、对比NIS(Norton Internet Security 2004)
ZoneAlarm可以在网络OSI模型中的上6层中工作,控制功能强大但是操作容易,充分体现了出一个优秀软件的特色。占用资源少也是NIS不能比拟的,特别是在配置较底的计算机上ZoneAlarm更显优势。
就专家级设定方式而言,NIS更早推出自定义规则功能,但是,ZoneAlarm软件十分体贴用户,独特的组的概念、时间控制和控制到数据链路层都体现了开发者的独具匠心,可以通过安全级别的选择简单配置防火墙规则,也可以通过高级选项详细设置各项功能。
ZoneAlarm 对应用程序的控制要比 NIS(Norton Internet Security) 更安全。对于 NIS 来说,如果一个网络访问匹配了系统范围的策略配置,将不再进行应用程序扫描和检查,如果配置了非常宽松的访问策略,恶意应用程序入木马将不能被发现;对于 ZoneAlarm 来说,也是先检查系统范围的策略配置,如果被策略拒绝,可以选择弹出警告或者忽略,如果策略允许通过,也要检查应用程序设置,如果没有相应的应用程序访问控制,则弹出配置对话框。显然ZoneAlarm的这种工作模式更加安全,当然也需要更多次的交互。
除了没有中文版本外,ZoneAlarm Pro没有多少毛病可挑。 ZoneAlarm已经注意到不同国家用户的使用需要,目前已经推出了德文、法语和日语的版本,说不定哪天就有中文的ZoneAlarm下载。 [size=2][color=red]Kerio Personal Firewall 使用入门指南[/size][/color]
[img]http://www.sunbelt-software.com/img/Keriobox_150px.gif[/img]
Kerio Personal Firewall 是一款非常强大且专业的个人防火墙,它的出品公司--Kerio是一家技术实力非常雄厚的安全软件公司(擅长于防火墙软件,其早期的TinyFW也曾采用Kerio的FW技术),它的优秀的技术实力为它赢得了很好的市场反馈和稳定庞大的用户群体。Kerio Personal Firewall 是它个人版产品,其技术实力在国外论坛的用户中享有很高的声誉。Kerio PFW的技术核心在于它强大全面的入侵检测,新版本增了更多细致实用的功能:更加完善的防火墙功能,可对程序的通信进行控制,能够检测出特洛伊木马。以及用户不知情的情况下,通过互联网传输数据的恶意程序。它能够控制自己计算机与网络上的计算机的数据交换,保护你的计算机不受网络上用户的攻击,具有网络安全、隐藏保护、入侵检测、应用程序完整性检查四大功能,还能够屏蔽讨厌的广告、形形色色的脚本和控件,从多角度保护用户的计算机不受侵犯。
免费版和注册版的不同:通过图片我们可以了解到,虽然免费版具备了标准防火墙的大多数功能,但和注册版相比仍相差许多,主要表现在:入侵防护,私隐保护,脚本阻止,广告阻止,密码保护等10项功能,因此推荐熟悉计算机的朋友还是用注册版更好些。Kerio操作界面简单易上手,选项细致,防护周全。个人使用感觉防护项方面和资源占用个人感觉要好于ZoneAlarm Pro6,资源占用也小于Tiny。当然Kerio的操作和Tiny一样,规则设置比较复杂。另外该软件的易用性较差,个人用户版本提供程序通信控制功能,却不支持自动应用程序建立防火墙规则的功能,因此,用户需要亲自进行设置才能发挥功能。如果使用者没有较高的电脑和网络知识,很难无法充分发挥Kerio Personal Firewall 的全部功能。
注意:Kerio Personal Firewall 4 需要 10 MB 的安装空间,并且仅能运行在Windows 2000或者Windows XP系统环境下。
Kerio Personal Firewall 4 不能运行在 Windows 9x, Me, NT, 2000 Server 和 2003 Server。
目前Kerio已经退出个人版防火墙市场(Kerio Personal Firewall 4的产品网页已经不再是Kerio主站的连接),对我们这些喜爱KPF的个人用户不能不说是个遗憾,目前最新版是Kerio Personal Firewall 4.23版,看更新日记这一版本很可能是最后一版,遗憾。
下载地址
[url=http://fantasize.up.md/Kerio%20Personal%20Firewall%204][size=2]http://fantasize.up.md/Kerio%20Personal%20Firewall%204[/size][/url][size=2]初级教程.rar[/size] [size=2][color=red]Tiny Personal Firewall2005配置使用指南[/size][/color]
Tiny Personal Firewall2005配置使用指南以及使用攻略。
这是由剑盟cnyg提供的资料!
下载地址
[url=http://fantasize.up.md/Tiny%20Personal%20Firewall2005][size=2]http://fantasize.up.md/Tiny%20Personal%20Firewall2005[/size][/url][size=2]配置使用指南.rar[/size]
[[i] 本帖最后由 孤心漂泊 于 2006-6-28 23:02 编辑 [/i]] [size=2][color=red]天网防火墙设置图文说明[/size][/color]
天网防火墙有正式版(收费的版本,服务好,功能强)和试用版(免费,用的人很多,IP编辑高级功能受一些限制)之分,试用版的界面和操作基本都一样,使用试用版的可以参考类似的操作。
安装完后要重起,重启后打开天网防火墙就能起到作用了。默认的中级状态下,它的作用就基本可以了。但有时它苛刻的IP规则也带来了很多不便,后面再说。所以,如果没什么特殊要求的,就设置为默认就OK了,安全级别为中就好。
一、普通应用(默认情况)
下面来介绍天网的一些简单设置,如下图一是系统设置界面,大家可以参照来设置:
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124149790.jpg[/img]
图一
下面是IP规则,一般默认就可以了,其实在未经过修改的自定义IP规则是与默认中级的规则一样的。但如果你想新建新的IP规则也是可以的,这里是默认情况就不多说了。
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124159785.jpg[/img]
图二
下面是各个程序使用及监听端口的情况,可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124210913.jpg[/img]
再看下图就是日志,上面记录了你程序访问网络的记录,局域网,和网上被IP扫描你端口的情况,供参考以便采取相应对策,由于是默认就不多说了,日志上基本都是拒绝的操作。
图四
[img]http://forum.jiangmin.com/UploadFile/2005-1/200512412430758.jpg[/img]
以上是天网在默认下的一些情况,只要你没什么特殊要求,如开放某些端口或 屏蔽某些端口,或某些IP操作等等,默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法,大家可以依次类推,完成你想要的相关操作。
二、防火墙开放端口应用
如果想开放端口就得新建新的IP规则,所以在说开放端口前,我们来说说怎么新建一个新的IP规则,如下图五,在自定义IP规则里双击进行新规则设置。
图五
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124341355.jpg[/img]
点击增加规则后就会出现以下图六所示界面,我们把它分成四部分
图六
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124354583.jpg[/img]
1)图六1是新建IP规则的说明部分,你可以取有代表性的名字,如“打开BT6881-6889端口”,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。
2)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
3)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。
4)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,就看你自己想怎么样了。
如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶,这就完成了新的IP规则的建立,并立即发挥作用。
三、打开端口实例
新IP规则建立后,举例说明。流行的BT使用的端口为6881-6889端口这九个端口,而防火墙的默认设置是不允许访问这些端口的,它只允许BT软件访问网络,所以有时在一定程度上影响了BT下载速度。当然你关了防火墙就没什么影响了,但机器是不是就不安全了?下面以打开6881-6889端口举个实例
1)在图五双击后建立一个新的IP规则后在出现的下图七里设置,由于BT使用的是TCP协议,所以就按下图七设置就OK了,点击确定完成新规则的建立,我命名为BT。
图七
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124439932.jpg[/img]
设置新规则后,把规则上移到该协议组的置顶,并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。
图八
[img]http://forum.jiangmin.com/UploadFile/2005-1/200512412445221.jpg[/img]
四、应用自定义规则防止常见病毒
上面介绍的是开放端口的应用,大体上都能类推,如其他程序要用到某些端口,而防火墙没有开放这些端口时,就可以自己设置,相信大家能搞定。下面来一些实例封端口,让某些病毒无法入侵。
1、防范冲击波
冲击波,这病毒大家熟悉吧??它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。
如何防范,就是封主以上端口,首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用(就是打勾)就已经禁止了135和139两个端口。
下边是禁止4444端口的图九
[img]http://forum.jiangmin.com/UploadFile/2005-1/200512412456115.jpg[/img]
下面是禁止69和445端口的图,上图为69下图为445
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124531916.jpg[/img]
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124537171.jpg[/img]
建立完后就保存,记得保存,很多朋友就是不记得保存,导致没有效果。
2、防范冰河木马
冰河,熟悉了吧?也是比较狠的病毒哦,它使用的是UDP协议,默认端口为7626。
具体见下图
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124546525.jpg[/img]
如你掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置,其实设置都差不多,大家可以参照,可以大大防范突然爆发的病毒和木马的攻击!
五、下面介绍怎么打开WEB和FTP服务
不少朋友都使用了FTP服务器软件和WEB服务器,放火墙不仅限制本机访问外部的服务器,也限制外部计算机访问本机。为了WEB和FTP服务器能正常使用就得设置防火墙,首先在图八把“禁止所有人连接”前的勾去掉。
以下是WEB和FTP的IP规则供大家参考上图为WEB,下图为FTP。
[img]http://forum.jiangmin.com/UploadFile/2005-1/200512412472062.jpg[/img]
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124730374.jpg[/img]
六、常见日志的分析(仅供参考)
使用防火墙关键是会看日志,看懂日志对分析问题是非常关键的,看下图,就是日志记录,上面记录了不符合规则的数据包被拦截的情况,通过分析日志就能知道自己受到什么攻击。下面来说说日志代表的意思,当然很多我也是知之甚少的,希望诸位坛友能给些更详细的解释和指正。
[img]http://forum.jiangmin.com/UploadFile/2005-1/200512413174726.jpg[/img]
看上图,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母,他们的简单含义如下:
ACK:确认标志 --- 提示远端系统已经成功接收所有数据
SYN:同步标志 --- 该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号
FIN:结束标志 --- 带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。
RST:复位标志,具体作用未知
其他不知道了,呵呵
第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
下面举些常见典型例子来讲讲:
记录1:[22:30:56] 202、121、0、112 尝试用PING来探测本机
TCP标志: S
该操作被拒绝
该记录显示了在22:30:56时,从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息,但被拒绝了。
人们用PING命令来确定一个合法IP是否存在,当别人用PING命令来探测你的机器时,如果你的电脑安装了TCP/IP协议,就回返回一个回音ICMP包,如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置,你的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的,,但如果在日志里显示有N个来自同一IP地址的记录,那就有鬼了,很有可能是别人用扫描工具探测你主机信息,他想干什么?谁知道?
记录2:[5:29:11] 61、114、155、11试图连接本机的http[80]端口
TCP标志:S
该操作被拒绝
本机的http[80]端口是HTTP协议的端口,主要用来进行HTTP协议数据交换,比如网页浏览,提供WEB服务。对于服务器,该记录表示有人通过此端口访问服务器的网页,而对于个人用户一般没这项服务,如果个人用户在日志里见到大量来自不同IP和端口号的此类记录,而TCP标志都为S(即连接请求)的话,完了,你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒,主要是攻击服务器,也会出现上面的情况。
记录3:[5:49:55] 31、14、78、110 试图连接本机的木马冰河[7626]端口
TCP标志:S
该操作被拒绝
这就是个害怕的记录啦,假如你没有中木马,也就没有打开7626端口,当然没什么事。而木马如果已植入你的机子,你已中了冰河,木马程序自动打开7626端口,迎接远方黑客的到来并控制你的机子,这时你就完了,但你装了防火墙以后,即使你中了木马,该操作也被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得*你的经验和资料来分析该端口的是和哪种木马程序相关联,从而判断对方的企图,并采取相应措施,封了那个端口。
记录4:[6:12:33] 接收到 228、121、22、55的IGMP数据包
该包被拦截
这是日志中最常见的,也是最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。
记录5:[6:14:20] 192、168、0、110 的1294端口停止对本机发送数据包
TCP标志:F A
继续下一规则
[6:14:20] 本机应答192、168、0、110的1294端口
TCP标志:A
继续下一规则
从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在图八里防火墙规则中选了“TCP数据包监视”,这样通过TCP传输的数据包都会被记录下来,所以大家没要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!呵呵!
防火墙的日志内容远不只上面几种,如果你碰到一些不正常的连接,自己手头资料和网上资料就是你寻找问题的法宝,或上防火墙主页上看看,这有助于你改进防火墙规则的设置,使你上网更安全。
七、在线升级功能
现在天网不断推出新的规则库,作为正式版用户当然可以享受这免费升级的待遇,只要在天网界面点击一下在线升级,不到2分钟就可以完成整个升级过程,即快捷又方便。
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124755606.jpg[/img]
点击后出现一个在线升级网络设置的提示框,如果你没有使用代理上网的就不用设置,直接下一步安装规则包,这样就完成升级了。
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124835271.jpg[/img]
[img]http://forum.jiangmin.com/UploadFile/2005-1/2005124124846337.jpg[/img]
[img]http://forum.jiangmin.com/UploadFile/2005-1/200512412485568.jpg[/img]
升级后防火墙的自定义规则就会多了很多条防御木马的规则,只要使用自定义级别就可以了。不过选用自定义后,记得要把自定义里的IP规则选勾保存规则,这样日志才会有记录的。
八、总结
给大家说了一通了,也不知道大家能不能看懂,其实防火墙的作用就是保护自己真实IP的同时,监控各个端口,并给出日志,让大家分析并找出相应的对策,灵活应用防火墙能给自己机子带来比较高的安全性。当然有些病毒木马是诱导用户主动访问而感染的,就要*自己提高安全意识来防范了。总之,互联网大了,用的人多了,什么样的人都有,所以给自己机子上装个防火墙是必不可少的基本防御! [size=2][color=red]方便大家学习的Look‘N’Stop中级教程WORD文档[/size][/color]
一、LNS特色介绍
1.采用了理想中的防火墙理论
记得一位安全专家说过:最安全的策略的先否定所有,再肯定个别。LNS的原型恰恰是这么设计的,它的策略是先禁止所有本地和所有远程的操作,再允许之,真正做到在本机和远程之间建立一堵墙,在初始时不信任任何程序和操作。因一网友批评,此处省去45字,呵呵。
ZA、OP的组件控制功能在安装完成就假定了本机上非可直接运行程序(如DLL文件)是可靠的,故当成信任程序对待,但恰好这些程序中就有可能含有非法代码。其它知名的软件防火墙如Tiny的也采用了类似的处理方法。
所以从结构上LNS就有成为王者的先天优势。
2.小巧灵珑,物理内存+虚拟内存共4M左右
此特色不用多说,目前可能还没有任何防火墙能及其左右。
3.几乎所有设置都可以在界面上直接完成,方便快捷
这个特点三言二语也说不清楚,大家可以在后面的使用指南中体会到。
4.所有已设置的规则直观明了
应用程序过滤和互联网过滤中能很好地展现出来,大家即将看到。
详情请看文档
[url=http://fantasize.up.md/LNS][size=2]http://fantasize.up.md/LNS[/size][/url][size=2]教程.rar[/size] [size=2][color=red]Look'n'Stop 防火墙使用补遗[/size][/color]
一、引言:
使用Look`n`Stop(以下简称LNS)防火墙已经有一段时间了,我以前一直是用windows防火墙+
自定义IPSec组策略 作为网络安全方案的。使用LNS是因为观察比较了几款墙后,被LNS的小巧
内核和强大功能所吸引,而且LNS 2005 sp3版的和Windows安全中心完全兼容。还有一个原因是
LNS的灵活带来了配置的烦琐,很多人是刚装上LNS就卸载了,正是这点吸引我去研究这个只有
633KB的软件(用软件就是不复杂没有劲,复杂了受折磨,不过我还是喜欢受折磨、瞎折腾)
。
二、安装:
本来安装没什么好说的,但是如果你在安装LNS的时候已经安装过防病毒软件和其他防火墙,
最好还是看一看。比如我,在安装lns时候不是那么顺利,出了点问题。
我在3台不同的电脑上安装lns,3台都出现了问题。第一台的问题是:安装好lns后每次重启都
会发现硬件、安装。似乎是lns的某个文件不能被写入并存盘。分析了一下机器环境。感觉唯
一的可能是我的McAfee VirusScan Enerpriese 8.0i的设置问题。不过搞了半天没确定是哪条
资源保护规则出了问题。后来的解决方案是:进安全方式安装LNS,重启后再进安全方式,安
装LNS驱动。第三次重启后LNS工作正常。
第二台的问题是:安装正常,不过只能导入一条规则,导入第二条规则铁定跳启,比按机箱上
的Reset还灵。后来分析了一下日志说是驱动或内存引起的问题。这个应该是我个人比较特殊
的问题,不具普遍性。
第三台的问题是:安装后,重启,结果死活找不到lns驱动,运行lsn就提示“找不到设备”。
后来发现是lns和MDF(McAfee Desktop Fire 8.0 ZH)冲突所致。因为lns和MDF都会在安装后
试图接管windows安全中心并获取高级的排他权限。所以大多数和windows安全中心兼容的
防火墙产品都是有我没他,有他没我,独霸一处的。
三、使用补遗:
在看本段使用补遗之前,建议大家先拜读一下zeus首发龙族,后被多处转载的帖子—
—《Look`N`Stop防火墙中级使用指南(7月19日更新)
》。在霏凡的链接是:[url=http://bbs.crsky.com/read.php?ti][size=2]http://bbs.crsky.com/read.php?ti[/size][/url][size=2] ... 9%D3%C3%D6%B8%C4%CF
这个帖子很详尽地介绍了LNS的设置和使用技巧,正是这个帖子才使我对LNS有更深入和全面的
了解。
1、不能上网的补遗
有些ADSL用户反应装了LNS后就不能上网。很不幸,我也遇到了,我在家里的一台电脑装了lns
后就不能上网了,不过可以进行pppoe拨号并建立连接,可就是不能上网。后来发现是LNS没有正
确选择网络接口引起的。原因是为了加快winXP启动后载入ADSL连接的速度,我手动指定了网
卡IP地址。这导致lns不能自动辨别正确的网络接口。解决的方法有两个,一个是不要指定网
卡的IP,另一个是在LNS的选项标签页中,勾除自动选择网络接口的选项,手动指定网络接口
为WAN。小区宽带用户如fttx的Lan接入在选择网络接口时也要注意。总之在LNS的欢迎标签页
上能看到正确的IP(不是全零或类似10.x.x.x内网型的就对了。当然局域网内用户除外)
2、优化补遗
在zeus《look`N`Stop防火墙中级使用指南(7月19日更新)
》这个帖子的末尾,有一段关于如何对应用程序过滤进行设置的技巧。是把Svchost.exe设置
为只允许53端口访问DNS,并不允许Svchost.exe调用其他程序连接。这个设置的思路是对的:是
让SVChost.exe只访问一个IP的特定端口,阻止一些利用Svchost.exe进行调用,并试图连网的
病毒或木马。
不过这样设置有有一个问题。就是很多通过Svchost调用的合法服务或程序也被阻止了。比如
你在msn上点hotmail的图标,就不能连上网,一些浏览器的跳转也被阻止。所以还是把[禁止
启动其他连接]给恢复成[允许]吧。
3、Rules—规则补遗
A、新建一条针对特定应用程序才启动的规则时,必须重启该应用程序才能生效。比如,你在
运行比特精灵的时候针对比特精灵的监听端口建立了一个开放端口的规则,要让该规则生效(
就是暗红的钩子变绿色)必须关闭比特精灵后再启动才行。否则你会发现即便比特精灵已经
运行,这个规则还是暗红的没有启用。
B、很多高手为我们定制了现成的规则表,直接导入就可以了。不过我还是建议每个人都从LSN
提供给你的EnhancedRulesSet.rls入手,逐步建立个性化的规则表。比如每个人使用的BT客户
端和电驴,其监听端口都是不一样的。有些规则不指定IP和端口,只要特定程序运行,就开放
所有端口通信,这其实有安全隐患。另外这么做可以让你了解防火墙的运行机制,了解程序访
问网络的手续和步骤,还可以锻炼你创建规则和分析问题的能力,虽然麻烦了点,但好处多多
。
C、lns对不同的用户建立不同的应用程序过滤列表(网络过滤列表是全局的),如果你嫌麻烦
让不同的用户去逐个授权,可以打开注册表,找到
HKEY_CURRENT_USER\Software\Soft4Ever\looknstop\Applis 这里保存着当前用户的应用程序
列表,dll过滤列表也保存在这里哦。以后重装LNS就不用授权应用程序了,导入就可以了。
4、漏洞检测补遗
漏洞检测:英文为Leak Test比较著名的检测站点有:
1:诺顿
[/size][url=http://security.symantec.com/ssc][size=2]http://security.symantec.com/ssc[/size][/url][size=2] ... FKPXKBQW&bhcp=1
2:天网
[/size][url=http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17][size=2]http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17[/size][/url]
[size=2]3.sygatetech
[/size][url=http://scan.sygatetech.com/prequickscan.html][size=2]http://scan.sygatetech.com/prequickscan.html[/size][/url]
[size=2]4.pcflank
[/size][url=http://www.pcflank.com/test.htm][size=2]http://www.pcflank.com/test.htm[/size][/url]
[size=2]其中Pcflank的检测项目最为全面。
LNS不愧为出色的防火墙(世界第一并非浪得虚名),除cookie类隐私保护外,我通过了上面
网站的所有漏洞检测。不过另一个叫Pcaudit的检测软件却彻底摧毁了我的信心。用这个软件
做检测,我彻底失败,包括击键记录、屏幕截图等众多敏感信息在内数据都被发送到检测服务
器。这使我对LNS产生了疑问。通过几次试验和分析,我发现Pcaudit的设计理念很独特很超前
,不久的将来会产生N多模仿pcaudit的木马和蠕虫。
下面我简要阐述一下pcaudit的攻击手段和LNS通过pcaudit检测的方法:
pcaudit本身是一个模拟木马服务端的小软件,用以检测系统漏洞。和别的木马不同,它的运
行后不能被LNS的应用程序过滤检测到,任务管理器可以可以看到pcaudit进程,这说明他本身
不递交连网要求,其本身不向外发送窃取的信息。通过分析和试验,我发现pcaudit启动时,很多
连画笔这种从未有连网请求的程序都会请求通过LNS的应用程序过滤授权(这种从未
有过的授权请求引起了我的注意,但是如果是一个类似病毒库升级的请求或者软件
Update的请求就会很轻易地使我相信这是合法的要求,并给予授权)。通过试验
发现,pcaudit运行时不发送连网请求,而是通过某种类似进程入侵的方式,按活动
进程优先级的高低逐个截获进程,通过受到你信任的进程发送数据。
因此,只要在运行pcaudit漏洞检测时,拦截逐个跳出的活动进程的连网要求就可以通过其检
测了。附图:是可疑的审核要求和通过pcaudit检测的画面。如果逆向考虑:一般的进
程都是在运行是发出连网要求的,Lns也会在进程运行时就截获其连网要求提交用户审核。因
此,已经运行的活动进程是不应该提交连网要求的。可是,就如我前面所说,一个从未有过连
网要求的记事本和画笔要求审核可能会引起你的警惕,可是一个Update要求呢?我想你也会和
我一样相信它是合法的。认识了pcaudit我才知道我们的网络是多么的不安全,这也许就是所
谓的道高一尺魔高一丈吧。反病毒技术永[/size]
页:
[1]