Avira小红伞防火墙设置新版规则.docx

1、Avira小红伞防火墙设置新版规则小红伞防火墙设立规则一.前言：伞墙重要是为了顾客以便，简化了设立过程，因此看起来比较“傻瓜”。其实它在易用性和安全性结合得相称好，设计者确是花了不少心思。这篇教程是基本上涵盖了伞墙所有方面，应当算比较全面了，背面附有我这几天玩伞墙一点设立心得。二.托盘选项右击桌面右下脚托盘图标，在“Firewall”有如下三个选项：图11.Firewall enable（打开防火墙）：打勾表达当前防火墙正在工作，没打勾表达没在工作。顾客可以依照需要在这里切换。2.Block All Traffic（制止所有流量）：选中表达所有进出数据都将被拦截。（前提是必要选中firewal

2、l enable）3.Game mode enable（打开游戏模式）：选中时，所有已设规则依然有效。但是当有新程序需要联网时，防火墙会自动容许，不会提示顾客。目是使顾客在玩游戏时不被打扰。但这个模式会给木马等恶意程序以可趁之机，建议不要容易使用。三.伞墙主界面1.安全级别阐明：“高”：计算机在网络中隐身；外来积极连接将被制止；防止洪水袭击和黑客端口扫描。“中”：可疑TCP、UDP数据包将被丢弃；防止洪水袭击和黑客端口扫描。“低”洪水袭击和黑客端口扫描将被检测到（注意，不是防止）。（此外，所有进出计算机数据都被放行。）图22双击“网络活动查看区”某个程序，可以看到：图3四.日记界面：图4双击某

3、一条日记：图5五.伞墙设立界面：来到configuration(设立)，咱们可以看到，与防火墙有关有四个设立模块：图6六.适配器规则（设立伞墙最难地方，也是它精华所在）：伞墙支持为每个网卡分别制定规则，以便了通过各种方式上网顾客：图7伞墙网络规则分为三类：全局规则：没有出入站之分，且优先级比较高规则。入站规则：检测进入本机数据包规则。出站规则：检测从本机发出数据包规则。PS：rule up（上移）、rule down（下移），用于上下移动选中规则。图81.全局规则制作：图9单击“Add rule”（增长规则）。伞墙提供了许多规则设立模板。其中打红圈就是全局规则模板。咱们只要在模板中稍作修改就可

4、以生成自己规则。注意：新增规则默认都放在某一类规则最下方。运用“rule up/down”把规则移到适合位置。1）Allow peer to peer network (容许P2P 软件监听端口，如BT、电驴等)：图102）Allow VMWARE connection (容许虚拟机连接网络)虚拟机连网需要此规则。（此模板不需要设立，图略）3）Block IP (禁止IP):此模板可用于禁止本机与某一远程计算机通讯。图114）Block Subnet (禁止子网或某范畴IP地址)图12用掩码可以表达一种范畴IP地址。如上图IP=224.0.0.0，掩码=240.0.0就表达224.0.0.0到

5、239.255.255.255。Allow IP（容许IP）与Allow subnet（容许子网或某范畴IP地址）原理同以上两条，略。5）Allow web sever (容许在本机启动web网站服务)这是指定某一端口作为WEB服务器端口。这是为服务器设计功能，普通顾客用不到。6）Allow VPN connection（容许VPN网络连接）图137）Allow Remote Desktop connection （容许远程桌面连接）图143389是远程桌面服务端口，普通不用改了。8）Allow VNC connection（容许VNC网络连接）VNC好像是用于远程控制计算机软件。没用过，不是

6、很清晰。9）Allow File and Printer Sharing （容许文献与打印机共享）在局网内需要互相共享资源需要启动。这条规则也不用自己设立，原理应当是开放本机137-139端口。2.出入站规则制作如下打红方格就是出入站规则模板：图151）IP（IP地址规则）以outgoing rules（出站规则）为例：图16注意：在出入站规则中没有禁止/容许单个IP地址规则模板。因此，如果要禁止单个IP，请在address背面填入这个IP，然后在mask(掩码)背面填入255.255.255.255。（如果保持默认0.0.0.0，就表达一种IP段了）。2）ICMP（ICMP合同规则）：图17

7、高档功能是对数据包内容进行过滤，这也是伞墙一大亮点。这对于过滤具有恶意代码数据包（如病毒木马等），很有协助。这里“数据包内容”是指数据包实际内容，也就是说它偏移量应当从有效负载（payload）第0字节算起。而不是从IP、TCP包头算起。单击”empty”可以载入包括这些字节文献（关于是什么文献，官方只回答说是一种二进制特殊文献。因此当前还不清晰此项功能用法。但愿知情者补充！）注意：这里ICMP规则要和“全局规则”中预设“ICMP protocol”一起用（背面会讲到）。3）UDP （UDP合同规则）：图18这里，端口填写支持单个端口，也支持一段端口（如1024-5000），还支持各种不持续端

8、口（如53,80,1024-5000,6666），互相之前通过半角逗号“,”隔开。注意：如果你想填所有端口，请填入0-65535，不要保持默认”none”（无效，不代表任何端口）。4）TCP（TCP合同规则）图19单击”all packets”可以切换到“新建立和已建立TCP连接数据包”、“已建立TCP连接数据包”。详细差别和用法下面会说到。5）IP protocol (IP合同规则)图20点击0-HOPOPT-Ipv6 HOP-by-HOP Option，会出来一种表，这里有许各种IP合同：图21这里大多数合同普通顾客都不会用到，惯用也许只有Type2，IGMP。如何设定网络规则请看“附录一

9、”七应用程序规则：应用程序规则控制着每个联网程序网络动，与网络规则同样重要。1主界面：图22如果要得到更详细设立，请在“popup settings”中点击“define one action for each(为程序每类每络活动分别设定动作，本来是“define one action for all”为程序所有网络活动一次性设定动作)：图23为了提高安全性，请打开这个功能。下面为某些惯用联网程序简朴地谈一下设立办法：“代码录入”是一种类似HIPS功能，对HIPS没什么研究，所如下面不作涉及，只谈防火墙功能。装有专业HIPS软件朋友这里可以全选“容许”，所有交给专业HIPS来控制。杀软：可以所

10、有容许。网页浏览器：只容许TCP连接，其他都可以禁止QQ：所有容许。P2P类软件（迅雷、BT、Emule等）：所有容许。Globarlink（联众游戏）：只容许TCP连接。PPLive：所有容许。Svchost：除了listen，其他都容许。Explorer：除了TCP connection，其他都可禁止。Userinit：除了TCP connection，其他都可禁止。Winlogon：除了TCP connection，其他都可禁止。2新增应用程序规则：图24这张表列出了你正在使用所有软件。单击想要设立程序，按下添加就可以了。如果你想要程序不在这个列表中，请按“浏览”自己搜索。八.系统设立（

11、Settings）图25Automatic rule timeout（规则自动过期）：这项功能是针对预设网络规则中“Port scan”规则来说。当伞墙检测到某个IP正在对本机进行端口扫描时，它会自动生成一种规则来禁止这个IP。如果选”block forever”，那么这条规则将永远被保存，也就是永远禁止那个IP。如果选Remove rule after xx seconds，那么这个规则届时候会自动被移除，这个IP将被恢复。想安全一点话，就选block。Windows Host file is not locked/locked（系统主机文献锁定）：这个功能是对主机文献（一种文本文献，内含T

12、 C P / I P主机名与它I P地址信息）进行写保护。防止病毒和恶软修改，防止本机在病毒控制下访问某些非法网站。建议lock。Automatic allow applications created by known vendors(自动容许受信任公司出品软件联网）：红伞已把如下公司列入信任名单：Microsoft，Mozilla，Opera，Yahoo，Google，Hewlett Packard，Sun，Skype，Adobe，Lexmark，Creative Labs，ATI，nVidia。想安全一点话就不要选，不信任何程序。由于虽然是信任软件，万一被木马控制，也会危害到安全。九Po

13、pup settings（对话框设立）图26Inspect process launch stack：检测一种程序通过子进程访问网络。建议勾选。但装了专业HIPS软件顾客不要勾。Allow multiple popups per process：按照协助文献说法，选中这个后，软件试图建立每一种网络连接都会弹出对话框。反之，只对第一种网络连接进行提示，背面所有按顾客为第一种连接所设定解决。但我实验了一下，似乎选不选没有什么分别。Remember action for this application:这是针对下图打圈某些设立：图27Show details：这是针对上图打框某些设立。这块内容不太

14、重要，因此不详细讲了。十.对话框解释图28附录一：伞墙网络规则设立经验：1网络规则设立总指引原则：曾在国外防火墙论坛上看到一位高手对此所作精辟论断：“Allow what you really need，and block anything else容许你真正需要，制止其他一切。”这就是防火墙规则制作总原则（合用于一切防火墙）。由于用这个思路做出来规则是最安全。2制作规则原理：像普通防火墙同样，伞墙规则也是从上到下来对数据包进行匹配。这一点一定要记住！按第1点所说原则，在规则最后添加一条“制止一切规则”是必要（参照伞墙high level预设规则中icoming rules最后一条）。然后在这

15、一条规则上方编写一系列容许规则。但这并不是说一套规则只有最后一条是制止规则，其他都是容许规则。大多数状况下还是制止与容许规则交替编写。出当前最后一条上方制止规则可提成两类：第1类是单纯是为了生成日记，以以便查找袭击源。如我不想让别人来ping我，这种状况并不需要编写拦截ping规则，由于只要上面没有容许接受ping规则，最后一条就会把它拦截。但是如果我想懂得谁在ping，就可以制作这样一条规则：“拦截type=8,code=0ICMP数据包进入本机，并记入日记”。这样咱们到日记查看关于这条规则记录，看一下源地址就懂得是谁在ping我了。第2类是必要制作，关系到安全与否规则。例如有一条规则开放了

16、本机1024-5000端口同外界进行通讯。但在这个范畴内1900和3389是高危端口，要制作一条规则把它们关闭了，并放在本来那条规则上方。这样从 1900或3389进入数据一方面会被拦下，保证了下面那条规则安全。3详细操作：伞墙默认规则，严格来说，虽然是最高档别也并不安全，重要是由于把本地所有端口向所有网络地址开放。并且每个人网络状况不同样，最佳是用自己设立规则。自己制作规则时，建议在high level默认规则下进行修改。由于这里面有些规则和思路是很不错。1）先来讲讲默认全局规则：ICMP protocol（ICMP合同规则）、TCP port scan（防止TCP端口扫描）、UDP por

17、t scan（防止UDP端口扫描）这三条建议不要改动，以免破坏防火墙隐身性能。如ICMP规则已经设立得较好了，出站只容许了ping祈求，入站只容许了ping应答、目的不可达和超时，已经很安全，且能适应大多数顾客需要。2）然后incoming规则中“Do not discard ICMP based on IP address”也必要保存，由于全局中ICMP规则中只有制止，没有容许，如果这条容许规则没了，所有ICMP都将被最后一条“Deny all IP packets”拦截。3）最佳在outgoing规则最后一条也写一条Deny all IP packets，所有未经容许数据包都不能发出。此外

18、，最后拦截规则建议不要记入日记，除非规则还在调试阶段。由于有大量数据被这条规则拦下来。如果记入日记会占用诸多CPU。4）有一点要注意：伞墙规则是双向，也就是说如果你在出站规则中写了一条TCP本地1024-5000远程1024-65535，那么在入站规则中必要写一条对等规则：TCP本地1024-5000远程1024-65535。5）TCP规则中有一种特别重要地方请注意：apply for all packets 、apply for packets of existing connections、Apply for connection initiation and existing conne

19、ction packets理论上来说是有区别。例如，伞墙“高安全”级别能使计算机隐身，它原理就在于预设TCP规则（只容许packets of existing connections）只容许已建立连接数据入站，即对任何积极连接都不响应。而“中安全”级别用是Apply for connection initiation and existing connection packets，即容许建立新连接，这样它就不提供隐身功能了。至于Apply for connection initiation and existing connection packets与all packets区别当前还不太清晰

20、，测试了一下也没有多大分别，官方也没有阐明和答复。咱们虽不太清晰详细区别，但有些技巧还是可以和人们分享：上面已说过，防火墙规则编写原则是“严格禁止，谨慎开放”。凡是制止规则，TCP可选apply for all packets，UDP可选all ports。而容许规则，TCP入站可选apply for packets of existing connections（应用程序监听端口一定要此外编写容许规则，选Apply for connection initiation and existing connection packets，放在上述规则上方。或直接在全局规则中设立。否则别人无法积极连接

21、到本机。）出站可选Apply for connection initiation and existing connection packets；UDP出入站都可选opened ports（同样监听端口规则要选all ports）。由于水平有限，只能谈这样多。这里推荐本论坛菜悠悠版主一篇文章，对防火墙设立问题谈得很详细，相信会给人们带来很大协助：附录二：个人对伞墙评价：伞墙重要长处：1提供了计算机隐身模式，使黑客不能发现你存在，但你却可以正常地进行网络活动。2防止端口扫描。黑客想要入侵一台电脑就往往先要找出端口漏洞，惯用手法是进行端口扫描。伞墙在这方面作了较好防护，一旦发现可疑状况，立即封住袭

22、击者IP。3可以拦截来自外界积极连接，任何连接都必要是你积极规定同别人建立。这又给黑客积极袭击带来相称大困难。4防止ICMP洪水袭击和碎片袭击。在ICMP protocol规则中，通过设定每两个ICMP入站时间间隔来防止洪水袭击。这个对服务器特别有用。还可以回绝ICMP碎片，来防止碎片袭击。5支持TCPSPI（全状态数据包检测）。伞墙重要缺陷：1伞墙应用程序有些粗糙，不能为每个程序制定端口规则和IP规则。这也是几乎所有杀软套装防火墙共同缺陷。但红伞强大防毒能力可以弥补它局限性，木马还没来得及联网就被干掉了。如果在网络规则方面限制一下本地端口开放，屏蔽某些高危端口和高危IP地址，就更安全了。2不支持IP以外合同。但是个人顾客所用合同绝大多数都属于IP合同，因此普通顾客绝对够了。但遗憾是不支持ARP合同，因此伞墙无法防ARP欺骗。处在内网顾客建议另配一种专业ARP防火墙。从以上可以看出，红伞强项还是在防外。虽然相对于顶级防火墙如LNS、Jetico、8sign等还是显得单薄，但比起大多数国产墙还是比较强大。对于普通顾客，只要懂得怎么使用，再稍作设立，没有什么不放心。伞墙防内效果也许不是较好，由于在Matousec反泄露测式中成绩比较差。顾客可以配一种专业HIPS软件，如EQ。EQ+红伞杀毒能力+伞墙应用程序过滤，应当能在这个测中得到相称高分数了。