Agnitum Outpost Firewall Pro是一个受到越来越多用户喜爱和关注的优秀防火墙,占用资源相对较小,设置灵活方便,稳定强悍,可以算得上个人防火墙中的佼佼者了。
东西虽好,可是很多人在使用中只是让软件的默认设置在发挥作用,而防火墙的默认设定往往更侧重于兼容性方面的考虑,想让防火墙更好的发挥作用,就需要你根据自己的网络情况作出调整和配置。正好官方论坛中有一篇相关文章,编译出来和大家一起学习交流。特此感谢原作者和Outpost论坛。文中涉及到的Outpost选项的中文名称出自Silence的2.7.485.540 1 (412)版汉化。
导论:
本文是为了帮助Outpost防火墙的用户建立一个更安全、对微机的流出数据监控更加严密的网络连接。随着越来越多的软件喜欢在用户不知情的情况下向“老家”传送信息以及花样翻新层出不穷的木马和病毒企图把它们的活动伪装成正常的网络通讯,对网络的流出信 息进行监控和限制逐渐与对流入企图进行限制处在了同等重要的地位。
因为本文涉及到了对默认规则的调整,用户最好事先对Outpost防火墙已经有一定熟悉度(按:并且最好对一些基本的网络知识和术语也有所了解)。
安全性和方便性永远无法两全,这就需要你根据自己的实际情况做出取舍-下文中一些改动可能需要你完成大量的调整工作,也会让你的某些行为(如更换ISP)变得困难的多。某些(尤其是商业/企业的)网络环境可能会导致文中某些部分出现问题,请在实施改动前详 细阅读各个项目的优点和缺点-如果有疑问可以试着每次只进行一项改动然后进行详尽的测试,分析Outpost的相关日志(尤其是被禁止连接的日志),以便做出进一步的决策。本文中的推荐更多是基于安全性而不是方便性的考虑。
最后,请注意本文档并不是出自Agnitum公司,Agnitum公司也不对本文进行技术支持,相关问题和讨论请在Outpost防火墙论坛提出,而不要与Agnitum公司直接联系。
Outpost免费版用户注意:
文中涉及的设置没有在免费版中进行测试,某些部分(如关于全局规则设置的D小节)也无法部署(由于免费版中全局规则只能被禁用而无法修改),而某些特性(如组件控制)也是在Outpost Pro v2以后才出现的,然而文中涉及的方法仍然会对此类用户系统安全性的提高起到一定的参考作用。
A - 局域网设置(位于“选项/系统/局域网设置/设置”)
改动收益:通过限制特权用户的连接来提高安全性。
付出代价:需要进行更多的设置和维护工作,尤其是对大型局域网来说。
本设置指定哪些IP段需要被认定为“可信用户”。从安全性的角度来说,这里列出的IP段越少越好,因为对这些地址流入流出的数据可能会漠视所有应用程序规则和全局规则而得以通行。(请查阅Outpost Rules Processing Order获知详情)
对非局域网用户来说,本部分没有考虑的必要。这种情况下可以去掉对“自动检测新的网络设置”的钩选以防止Outpost自动添加默认设置。
本部分设置只须处于如下环境的微机加以考虑:
● 位于局域网(LAN)中,并且带有需要共享的文件或者打印机的微机;
● 位于局域网中并且需要通过网络应用程序进行连接,但是无法通过应用程序规则设定完成工作的微机;
● 位于互联网连接共享网关上的微机,其应将每一个共享客户端的IP地址列为可信任地址。请查阅LAN and DNS settings for V2获知详情。
上述任一种情况下由Outpost提供的默认网络设置都是过于宽松的,因为它总是假设同一网络中的任何微机都应该被包括在内。
步骤:
● 取消钩选“自动检测新的网络设置”以防止Outpost自动添加新的设置。注意如果日后安装了新的网卡,在此项禁止的情况下新的地址需要手动添加进去。
● 逐个添加每个PC的地址(所添加项随后会以带网络掩码255.255.255.255的形式出现)。互联网地址绝不应该出现在该位置。
● 钩选涉及到文件/打印机共享的微机后面的“NetBIOS”选项。
● 钩选涉及到网络应用程序的微机后面的“信任”选项。
如果你位于一个大型局域网内,逐个列出每个微机就是不太现实的了,此时一个可用的方案就是用Blockpost插件列出IP段然后屏蔽该IP段中不需要的地址(Blockpost插件允许用户定义任意IP段,这是Outpost现阶段还做不到的)。
请注意局域网内的网络活动可能被“入侵检测”插件曲解为攻击行为。如果你遇到此问题(尤其是Windows网络中存在Browse Master和Domain Controller的情况下),请在本文F4部分查找通过插件设置避免问题的详细内容。
B – ICMP设置(位于“选项/系统/ICMP/设置”)
ICMP(Internet Control Message Protocol)是用于传送诊断信息与出错信息的一部分网络端口。详情请查阅RFC 792 - Internet Control Message Protocol。
该部分默认设置允许如下活动:
● 通过Ping命令进行的基本网络连接测试(由Echo Request Out和Echo Reply In实现) - 对本机进行的Ping将被拦截以掩藏本机的在线状态。
● 对探测者显示本机网络地址不可用(由Destination Unreachable In and Out 实现)。
● 对探测者显示本机地址无法连接(由流入数据超时而引起),该类连接由Tracert命令发起-进入类跟踪路由企图将被拦截以掩藏本机在线状态。
本项的默认设置对绝大部分用户而言已是足够安全的。然而允许Destination Unreachable数据包流出在某些特定类型的扫描中会暴露你微机的存在(绝大部分已被Outpost拦截),所以对该项的改动可以让你的微机的隐匿性更强。
改动收益:使你的微机逃过某些可以避开Outpost检测的扫描。
付出代价:在某些情况下(如缓慢的DNS回应)Destination Unreachables信息的传送是合法的,此时就会显示为被屏蔽,结果就是可能导致一些网络应用程序的延迟和超时(如P2P软件)。
步骤:
● 取消对“Destination Unreachable ”Out的钩选。
如果你在运行Server程序,那么对Ping和Tracert命令的响应可能就是需要的。一些互联网服务提供商(ISP)可能也会要求你对它们的Ping做出回应以保持在线连接。这些情况下可以参考如下步骤。
改动收益:允许用户检查与Server之间的连接和网络性能,这些可能是某些ISP要求实现的。
付出代价:让你的系统处于被Denial-of-Service(DoS)攻击的危险之中。
步骤:
●钩选“Echo Reply”Out和“Echo Request”In选项以允许对Ping的响应。
●钩选“Destination Unreachable”Out和“Time Exceeded for a Datagram”Out选项以允许对Tracert的响应。
可选步骤:上述做法会使本机对任意地址的Ping和Tracert命令做出响应,还有一个可选的方案是用一个全局规则来实现只允许来自可信任地址的ICMP信息-但是这样会导致其漠视Outpost的ICMP设置而允许所有的ICMP信息流通。然而当特定 地址已知时,这样做也未尝不可。通过如下步骤实现:
●创建一个如下设置的全局规则:
Allow Trusted ICMP:指定的协议IP 类型ICMP,指定的远程主机 <填入受信IP地址>,允许
注意该规则不要定义方向(流入和流出的数据都需要获得权限)。