Outpost防火墙安全配置.docx
《Outpost防火墙安全配置.docx》由会员分享,可在线阅读,更多相关《Outpost防火墙安全配置.docx(20页珍藏版)》请在冰豆网上搜索。
Outpost防火墙安全配置
Outpost防火墙安全配置
C-防火墙模式〔位于〝选项/系统/防火墙模式〞〕
保持默认设定〝增强〞,不建议作改动。
D-系统和应用程序全局规那么〔位于〝选项/系统/系统和应用程序全局规那么〞〕
D1-指定DNS服务器地址
DNS〔DomainNameSystem〕是通过域名来确定IP地址的一种方法〔如otupostfirewall的IP地址是216.12.219.12。
详情请查阅RFC1034-Domainnames-conceptsandfacilities〕。
因为连接网站时DNS信息必须通过防火墙以实现IP地址查询,一些木马以及泄漏测试就试图把它们的通讯假装成DNS要求。
然而通过把DNS通讯地址限定为你的ISP所提供的DNS服务器,这种伪DNS要求就能够被有效的拦截。
有两种方法能够完成这项任务:
(a).〝全局DNS〞设置-把你的ISP的DNS服务器地址加入到全局规那么中
改动收益:
通过少量工作即可完成上述任务。
付出代价:
假如你通过多家ISP上网,那么所有的服务器地址都需要被添加到里面去-假如你更换了ISP或者ISP更换了它们的服务器地址,那么你就需要把新的地址更新进规那么中去。
假如你有程序或者网络环境需要应用反复式DNS查询〔Windows环境下通常使用递归式查询,反复式通常是应用于DNS服务器之间〕,那么配置这条规那么就可能会显现问题。
步骤:
●找到你的ISP使用的DNS服务器地址。
最简单的方法确实是在命令行窗口中使用〝ipconfig–all〞来查询,Windows9x/Me/Xp的用户也能够在开始菜单的〝运行〞对话框中使用winipcfg得到相关信息。
●把这些地址作为远程主机地址加入到〝AllowDNSResolving〞全局规那么中。
Windows2000/XP用户还应该把这些地址加到应用程序规那么中services.exe/svchost.exe的相关项目中〔详情参见E2部分〕。
(b).〝应用程序DNS〞设置-移除全局规那么,逐个给每个程序添加DNS规那么
改动收益:
如此一来新添加的程序通常需要两项规那么〔DNS规那么和程序自身需要的规那么〕来减少可疑程序在意外情形下的通行。
试图与〝老家〞通讯的恶意程序现在就面临着查找必要IP地址的额外手续,如此它们会误认为现在无网络连接从而进入休眠状态直到被侦测到。
只通过DNS端口通讯的这类木马程序现在就必须通过额外规那么才能够通行,这也是现在唯独能够屏蔽DNShell以及类似泄漏测试的方法。
付出代价:
需要完成繁琐的多的工作-每一个程序都需要添加一条额外的规那么。
更换ISP后需要把所有规那么更新为新的DNS地址。
步骤:
●在Windows2000和XP环境下,关掉〝DNS客户服务〞〔通过开始/操纵面板/治理选项/服务〕。
这会强迫每个程序发出自己的DNS要求,而不是通过services.exe(Win2000)和svchost.exe(WinXP)发出。
●停用或者删除〝系统和应用程序全局规那么〞中的〝AllowDNSResolving〞规那么。
●对每一个程序添加一个新规那么,使用以下关键字:
<软件名>DNSResolution:
指定协议UDP,远程端口53,远程主机<你的ISP的DNS服务器地址>,承诺
能够通过设定本规那么为预设规那么来简化工作。
步骤如下:
断开网络,退出Outpost,打开preset.lst文件〔位于Outpost程序文件夹中〕并在文件末尾添加以下规那么:
;ApplicationDNSResolution
[ApplicationDNSResolution]
VisibleState:
1
RuleName:
ApplicationDNSResolution
Protocol:
UDP
RemotePort:
53
RemoteHost:
加入你的ISP的DNS服务器地址,如有多个用逗号分隔
AllowIt
添加该预设规那么后,日后碰到添加规那么向导提示的时候只要选定该预设规那么导入即可〔假如你想承诺该程序通行的话〕。
这种情形下,IP地址在〝选项/程序〞中将以附带(255.255.255.255)子网掩码的形式显现,此即指明了一个条目的IP地址范畴,其与单独一个IP地址所起作用相同。
注意现在〝工具/自动检查升级〞选项应该被禁用,因为对preset.lst的改动可能被自动更新的文件覆盖掉〔尽管〝自动更新〞在覆盖文件往常会提示〕,一个比较好的方法是手动备份该文件,然后再进行更新,更新完毕后如有必要再把备份文件覆盖回去。
注意-两种DNS设置都需要的规那么
不管选择上述两种设置中的哪一种,都需要考虑到一种情形-DNS查询使用更多的是UDP(UserDatagramProtocol)协议而不是TCP(TransportControlProtocol)协议。
查询使用到TCP协议的情形专门少见而且通常是复杂查询-实际使用中通常它们能够被屏蔽,因为该查询会用UDP协议再次发送,因此在全局规那么中能够添加一条规那么如下:
BlockDNS(TCP):
协议TCP,方向出站,远程端口53,禁止
假如你想承诺此类通讯,那么或者是修改规那么为〝承诺〞〔指全局DNS规那么〕或者是为每一个程序创建第二条DNS规那么用TCP取代UDP〔应用程序DNS规那么〕。
报告疑为木马程序假装的DNS活动
任何对已设定DNS服务器以外地址的查询都应该被视为可疑活动而在默认情形下被禁止,现在能够在DOS窗口中用ipconfig/all命令来查询是否ISP的DNS服务器已改变而需要更新DNS规那么设置。
现在能够通过在全局规那么中其它DNS规那么下方添加如下规那么来解决-第二条只有在上述提到的TCPDNS规那么设为承诺的情形下才需要:
PossibleTrojanDNS(UDP):
协议UDP,远程端口53,禁止同时报告
PossibleTrojanDNS(TCP):
协议TCP,方向出站,远程端口53,禁止同时报告
该规那么会禁止任何可疑的DNS尝试同时做出报告。
注意该规那么不举荐采纳应用程序DNS设置的用户使用,因为合法DNS服务器地址需要从规那么中排除以防止误报〔例如当一个没有设置规那么的程序发起要求的时候〕-指定IP地址范畴能够解决该问题,然而Outpost现有对IP段的处理能力并不是专门完善。
D2-指定DHCP服务器地址
DHCP(DynamicHostConfigurationProtocol)是大多数ISP给登录用户分配临时IP地址使用的一种方法。
因为想要与ISP建立连接就必须承诺DHCP通讯,这也就成为了木马程序为了在不被探测到的情形下向外发送信息所可能采纳的一种手段。
除此之外,向特定地址用大量的DHCP信息进行冲击也成为了DenialofService(DoS)攻击采纳的一种手法。
更多关于DHCP信息可参考RFC2131-DynamicHostConfigurationProtocol。
假如你的系统使用固定IP地址〔不管是因为位于内网依旧因为使用获得动态地址的路由器〕那么此部分设置能够略过。
想检查DHCP是否被应用,能够在命令行窗口使用ipconfig/all来查询-在窗口底部能够得到相关信息。
限制DHCP通讯到某个特定服务器比对DNS做出限制要略微复杂一些,因为Outpost看起来临时还不能始终如一的精确辨论出DHCP通讯的方向〔部分是由于DHCP协议使用UDP协议,部分是由于它能包括的IP地址的变化〕,因此本规那么举荐对本地和远程端口而不是对方向进行限制。
另外,第一次DHCP要求是对255.255.255.255地址发出的广播形式〔该通讯应该送达局域网中所有的主机〕,因为机器启动时无从得知DHCP服务器的地址,后续的DHCP要求〔为了更新IP地址分配〕才会被发送到DHCP服务器。
Windows2000和XP用户能够通过只承诺通过全局规那么的广播以及对其它要求设定应用程序规那么〔Windows2000是services.exe,WindowsXP是svchost.exe〕来进一步限制DHCP通讯,请参考E2部分获得更详尽的信息。
改动收益:
防止对DHCP权限的滥用。
付出代价:
假如使用多家ISP,每一家都需要单独设定其服务器地址。
假如更换ISP,相关规那么也需要做出更新。
某些ISP可能会需要通过多项条目进行设定-专门是在其拥有具有多个连接点的大型网络时。
步骤:
●通过ipconfig/all或者winipcfg查找得到DHCP服务器地址。
注意DHCP服务器与DNS服务器地址通常是不同的。
●Windows9x/ME用户创建全局规那么:
AllowDHCPRequest:
协议UDP,远程地址<你的ISP的DHCP服务器地址>,255.255.255.255,远程端口67,本地端口68,承诺
●Windows2000/XP用户创建全局规那么:
AllowDHCPBroadcast:
协议UDP,远程地址255.255.255.255,远程端口67,本地端口68,承诺
因为DHCP服务器地址可能会发生改变,建议在IP地址分配碰到问题时禁止上述规那么中对〝远程地址〞的设定-假如一切正常就保留该设定,在重新承诺该规那么往常验证同时更新〔如有必要〕DHCP服务器地址。
DHCP服务器通常可不能作出大范畴的网络转移,因此在其地址中使用通配符〔例如192.168.2.*〕能够有效减少该类问题的发生。
D3-禁止〝AllowLoopback〞规那么
默认规那么中的〝AllowLoopback〞全局规那么给使用代理服务器的用户〔例如AnalogXProxy,Proxomitron,WebWasher以及某些反垃圾/反病毒软件〕带来了一个极大的安全隐患,因为其承诺任何未经指明屏蔽的程序使用为代理设置的规那么进行互联网通讯,禁止或者删除该全局规那么即可排除隐患。
改动收益:
防止XX的程序利用代理服务器规那么进行通讯。
付出代价:
任何使用代理服务器的程序〔例如和Proxomitron配合使用的扫瞄器,等等〕都需要设定一条额外的规那么〔其时弹出的规那么向导中的建议配置在绝大多数情形下差不多足够应对〕。
步骤:
●通过〝选项/系统/系统和应用程序全局规那么/设置〞进入全局规那么列表
●通过去除〝AllowLoopback〞的钩选来禁止该项规那么
D4-禁止不必要的全局规那么
默认设置中的某些全局规那么并不是专门恰当,能够通过去除对其的钩选来停用。
这些规那么包括:
●AllowInboundAuthentication-一个简单而且不可靠的检查网络连接端的规那么,专门少被用到。
假如需要的时候,停用该规那么可能会导致登入Email服务器的延迟。
●AllowGREProtocol,AllowPPTPcontrolconnection-这些是使用Point-to-PointTunnelingProtocol的VirtualPrivateNetworks(VPNs)需要用到的,假如没有此需求能够停用这些规那么。
改动收益:
防止应用这些端口的信息泄漏。
付出代价:
禁用〝BlockingInboundAuthentication〞规那么可能会导致收取邮件的延迟〔现在能够重新激活该规那么,并把邮件服务器添加为远程地址〕
步骤:
●通过〝选项/系统/系统和应用程序全局规那么/设置〞进入全局规那么列表
●清除对相应规那么的钩选
D5-屏蔽未使用和未知的协议
全局规那么能够对互联网协议〔IP〕以及TCP和UDP协议作出限定,对IP涉及到的一系列协议建议全部加以屏蔽,除了下面所述类型:
●ICMP
(1)-此协议通过ICMP相关规那么来处理;
●IGMP
(2)-多点广播需要用到〔如在线视频直播〕,假如需要应用到该项协议就不要禁用;
●ESP(50)和AH(51)-IPSec需要应用到这些协议,因此VPN〔VirtualPrivateNetwork〕用户不要禁用这些设置。
企业用户要慎重处理这些设置-其中一些选项可能是局域网中路由通讯所必需的。
能够设定一条全局规那么来处理这些未知协议〔包括类似IPX或者NetBEUI的协议〕-建议设定该项规那么来进行屏蔽。
改动收益:
防止以后可能经由这些端口的信息泄漏。
付出代价:
出于Outpost采纳的处理规那么的方式,这些改动可能会显著增大相关处理流程的数量,专门关于使用文件共享程序或者位于比较繁忙局域网中的用户来说。
步骤:
未使用的协议
●进入〝选项/系统/系统和应用程序全局规那么/设置〞;
●点选〝添加〞创建新的全局规那么;
●设置指定协议为IP,现在其后面所跟的〝类型〞是〝未定义〞;
●点击〝未定义〞进入IP类型列表窗口;
●选定你想要屏蔽的类型然后点击OK;
●设定响应操作为〝禁止〞,再自己定义恰当的规那么名称后点击OK。
未知协议
●进入〝选项/系统/系统和应用程序全局规那么/设置〞;
●点选〝添加〞创建新的全局规那么;
●设定协议为〝未知〞,响应操作为〝禁止〞,再自己定义恰当的规那么名称后点击OK
E-应用程序规那么〔位于〝选项/应用程序〞〕
E1-移除位于〝信任的应用程序〞组中的项目
即使程序需要正常的访问互联网,对其通讯不加过问的一律放行也不是明智的做法。
某些程序可能会要求比所需更多的连接〔白费带宽〕,有的程序会跟〝老家〞悄悄联系泄漏你的隐私信息。
出于这种考虑,应该把〝信任的应用程序〞组中的项目移入〝部分承诺的应用程序〞组,同时设置如下所建议的合适的规那么。
E2-慎重设置〝部分承诺的应用程序〞
Outpost的自动配置功能将会给每一个探测到要求连接网络的程序配置默认的规那么,然而这些默认规那么是从易于使用的角度动身的,因此大多情形下能够进一步的完善之。
决定什么样的连接需要放行无疑是防火墙配置中最富有挑战性的部分,由于个人的使用环境和偏好不同而产生专门大的差别。
下文中会依照颜色的不同来区分举荐配置和参考配置。
举荐配置用红色表示
建议配置用蓝色表示
可选配置用绿色表示
假如使用了D1部分提及的〝应用程序DNS〞设置,那么每个应用程序除采纳下面会提到的规那么外还需要一条DNS规那么,请注意这些应用程序规那么的优先级位于全局规那么之上,详情请见OutpostRulesProcessingOrder常见问题贴。
在规那么中使用域名本卷须知:
当域名被用作本地或远程地址时,Outpost会赶忙查找相应的IP地址〔需要DNS连接〕,假如该域名的IP发生了改变,规那么可不能被自动更新-域名需要重新输入。
假如某条使用了域名的应用程序规那么或全局规那么失效的话请考虑这种可能性。
某些域名可能使用了多个IP地址-只有在〝选项/应用程序〞中手动建立的规那么Outpost才会自动查找其所有IP地址,通过规那么向导建立的规那么那么不行。
因此,通过规那么向导建立的规那么需要重新在〝选项/应用程序〞中手动输入域名以确保所有IP地址能被找到。
Svchost.exe〔WindowsXP系统独有〕
Svchost.exe是一个棘手的程序-为了完成一些差不多的网络任务它需要进行互联网连接,然而给它完全的权限又会把系统至于RPC〔例如Blaster、Welchia/Nachi等蠕虫〕泄漏的危险之中。
给那个程序创建合适的规那么也就变得格外的重要。
AllowDNS(UDP):
协议UDP,远程端口53,远程地址<你的ISP的DNS服务器地址>,承诺
AllowDNS(TCP):
协议TCP,方向出站,远程端口53,远程地址<你的ISP的DNS服务器地址>,承诺
PossibleTrojanDNS(UDP):
协议UDP,远程端口53,禁止同时报告
PossibleTrojanDNS(TCP):
协议TCP,方向出站,远程端口53,禁止同时报告
●DNS规那么-可在D1部分中查看详情,只有在DNS客户端服务没有被禁止的情形下才需要这些规那么,因为现在svchost.exe才会进行查找工作;
●因为此处只需要一条TCP规那么,此规那么被设定为〝承诺〞;
●因为某些木马程序试图把它们的活动假装成DNS查询,举荐把任何试图与DNS服务器以外的地址进行连接的尝试视为可疑-TrojanDNS规那么将报告类似的连接。
假如连接是合法的〔假如你的ISP更换了DNS服务器地址这些〝承诺〞规那么需要及时进行更新〕那么对其做出报告专门容易导致网络失去连接,现在应该从禁止日志中查明缘故。
BlockIncomingSSDP:
协议UDP,本地端口1900,禁止
BlockOutgoingSSDP:
协议UDP,远程端口1900,禁止
●这些规那么屏蔽了用于在局域网中查找即插即用设备〔UPnP〕的简单服务搜寻协议〔SSDP〕。
由于即插即用设备会导致许多安全问题的显现,如非必要最好依旧将其禁用-假如必须使用的话,那么把这些规那么设为〝承诺〞。
假如最后的〝BlockOtherUDP〞规那么也被采纳,即可防止SSDP起作用,因此这些规那么是建议配置。
BlockIncomingUPnP:
协议TCP,方向入站,本地端口5000,禁止
BlockOutgoingUPnP:
协议TCP,方向出站,远程端口5000,禁止
●这些规那么屏蔽了UPnP数据包-如同上面关于SSDP的规那么,假如你专门需要UPnP那么把规那么改为〝承诺〞,但是一定要把UPnP设备的IP地址设为远程地址以缩小其范畴。
假如最后的〝BlockOtherTCP〞的规那么被采纳,即可防止UPnP起作用,因此这些规那么是建议配置。
BlockRPC〔TCP〕:
协议TCP,方向入站,本地端口135,禁止
BlockRPC〔UDP〕:
协议UDP,本地端口135,禁止
●这些规那么实际上是默认的全局规那么中关于屏蔽RPC/DCOM通讯的规那么拷贝-因此在那个地点并不是必需的然而能够增加一些安全性。
假如你需要RPC/DCOM连接,那么把这些规那么改为〝承诺〞,只是仅限于信任的远程地址。
AllowDHCPRequest:
协议UDP,远程地址,远程端口BOOTPS,本地端口BOOTPC,承诺
●DHCP规那么-请至D2部分查看详情〔假如使用的是固定IP地址那么不需应用此规那么-通常只有在私有局域网内才会如此〕。
因为svchost.exe会对DHCP查询作出回应因此这条规那么是必需的-由于应用了最后的〝BlockOtherTCP/UDP〞规那么,全局DHCP规那么现在并可不能起作用。
AllowHelpWebAccess:
协议TCP,方向出站,远程端口80,443,承诺
●Windows关心系统可能会通过svchost.exe发起网络连接-假如你不想使用关心系统〔或者是不期望微软明白你何时使用的〕那么能够略过本规那么。
AllowTimeSynchronisation:
协议UDP,远程端口123,远程地址time.windows,time.nist.gov,承诺
●用于时刻同步-只有当你需要用到WindowsXP那个特性时才需要创建该规那么。
BlockOtherTCPTraffic:
协议TCP,方向出站,禁止
BlockOtherTCPTraffic:
协议TCP,方向入站,禁止
BlockOtherUDPTraffic:
协议UDP,禁止
●把这些规那么设定在规那么列表的最下面-它们会阻止未设定规那么的服务的规那么向导弹出窗口。
以后所添加的任何规那么都应该置于这些规那么之上。
商业用户请参考MicrosoftKnowledgeBaseArticle832021-PortRequirementsfortheMicrosoftWindowsServerSystem查找系统服务所需放行的额外端口信息。
Services.exe〔Windows2000系统独有〕
AllowDNS〔UDP〕:
协议UDP,远程端口53,远程地址<你的ISP的DNS服务器地址>,承诺
AllowDNS〔TCP〕:
协议TCP,方向出站,远程端口53,远程地址<你的ISP的DNS服务器地址>,承诺
PossibleTrojanDNS〔UDP〕:
协议UDP,远程端口53,禁止同时报告
PossibleTrojanDNS〔TCP〕:
协议TCP,方向出站,远程端口53,禁止同时报告
●DNS规那么-请至D1部分查看详情。
只有当〝DNS客户端服务〞没有被停用时才需要上述规那么,因为现在services.exe将会接手查找工作;
●因为那个地点只需要TCP规那么,因此操作设定为〝承诺〞;
●与svchost规那么一样,〝PossibleTrojan〞规那么在拦截到连接其它地址的妄图时会作出报告。
AllowDHCPRequest:
协议UDP,远程地址,远程端口BOOTPS,本地端口BOOTPC,承诺
●DHCP规那么-请至D2部分查看详情〔注意假如使用的是静态IP那么不需设置-通常只有私有局域网中才会如此〕。
需要设置的缘故同上述svchost.exe。
BlockOtherTCPTraffic:
协议TCP,方向出站,禁止
BlockOtherTCPTraffic:
协议TCP,方向入站,禁止
BlockOtherUDPTraffic:
协议UDP,禁止
●把这些规那么列到最下面-它们会阻止未设定的程序的规那么向导窗口弹出,任何后续添加的规那么均需列到这些规那么上方。
与上面的svchost.exe一样,商业用户请参考MicrosoftKnowledgeBaseArticle832021-PortRequirementsfortheMicrosoftWindowsServerSystem查找系统服务所需放行的额外端口信息。
Outpost升级服务
除了DNS规那么外,Outpost2.0不再需要额外的网络连接,Outpost2.1及后续版本能够从Agnitum下载新闻和插件信息。
应用此功能需要作出如下设定:
AllowOutpostNewsandPluginInfo:
协议TCP,方向出站,远程端口80,远程地址:
//agnitum/,承诺
还能够使用一条类似的规那么用于程序的升级:
AllowAgnitumUpdate:
协议TCP,方向出站,远程端口80,远程地址:
//agnitum/,承诺
网络扫瞄器〔Internetexplorer,Netscape/Mozilla,Opera,等〕
Outpost的自动配置功能以及预设规那么为扫瞄器提供了比较宽松的设置-关于大多数用户来说能够将其进一步强化如下:
AllowWebAccess:
协议TCP,方向出站,远程端口80,承诺
AllowSecureWebAccess:
协议TCP,方向出站,远程端口443,承诺
●上述规那么承诺了建立标准〔〕和加密〔S〕网络连接。
假如你使用了代理同时想使所有信息都流经代理,那么可考虑将上述规那么设为〝禁止〞,注意此类代理将需要单独为其设立一条规那么〔具体设定取决于代理因此此处不再作详细说明〕。
AllowAlternateWebAc
升级会员 