Avira小红伞防火墙设置规则.docx
- 文档编号:11269574
- 上传时间:2023-05-30
- 格式:DOCX
- 页数:21
- 大小:901.45KB
Avira小红伞防火墙设置规则.docx
《Avira小红伞防火墙设置规则.docx》由会员分享,可在线阅读,更多相关《Avira小红伞防火墙设置规则.docx(21页珍藏版)》请在冰点文库上搜索。
Avira小红伞防火墙设置规则
小红伞防火墙设置规则
一.前言:
伞墙主要是为了用户的方便,简化了设置过程,所以看起来比较“傻瓜”。
其实它在易用性和安全性结合得相当好,设计者的确是花了不少心思的。
这篇教程是基本上涵盖了伞墙的所有方面,应该算比较全面了,后面附有我这几天玩伞墙的一点设置心得。
二.托盘选项
右击桌面右下脚托盘图标,在“Firewall”有以下三个选项:
图1
1.Firewallenable(打开防火墙):
打勾表示当前防火墙正在工作,没打勾表示没在工作。
用户可以根据需要在这里切换。
2.BlockAllTraffic(阻止所有流量):
选中表示所有的进出数据都将被拦截。
(前提是必须选中firewallenable)
3.Gamemodeenable(打开游戏模式):
选中时,所有已设规则仍然有效。
但是当有新的程序需要联网时,防火墙会自动允许,不会提示用户。
目的是使用户在玩游戏时不被打扰。
但这个模式会给木马等恶意程序以可趁之机,建议不要轻易使用。
三.伞墙主界面
1.安全级别说明:
“高”:
计算机在网络中隐身;外来的主动连接将被阻止;防止洪水攻击和黑客的端口扫描。
“中”:
可疑的TCP、UDP数据包将被丢弃;防止洪水攻击和黑客的端口扫描。
“低”洪水攻击和黑客的端口扫描将被检测到(注意,不是防止)。
(另外,所有进出计算机的数据都被放行。
)
图2
2.双击“网络活动查看区”的某个程序,可以看到:
图3
四.日志界面:
图4
双击某一条日志:
图5
五.伞墙设置界面:
来到configuration(设置),我们可以看到,与防火墙相关的有四个设置模块:
图6
六.适配器规则(设置伞墙最难的地方,也是它精华所在):
伞墙支持为每个网卡分别制定规则,方便了通过多种方式上网的用户:
图7
伞墙的网络规则分为三类:
全局规则:
没有出入站之分,且优先级比较高的规则。
入站规则:
检测进入本机的数据包的规则。
出站规则:
检测从本机发出的数据包的规则。
PS:
ruleup(上移)、ruledown(下移),用于上下移动选中的规则。
图8
1.全局规则的制作:
图9
单击“Addrule”(增加规则)。
伞墙提供了许多规则的设置模板。
其中打红圈的就是全局规则的模板。
我们只要在模板中稍作修改就可以生成自己的规则。
注意:
新增的规则默认都放在某一类规则的最下方。
利用“ruleup/down”把规则移到适合的位置。
1)Allowpeertopeernetwork(允许P2P软件监听端口,如BT、电驴等):
图10
2)AllowVMWAREconnection(允许虚拟机连接网络)
虚拟机连网需要此规则。
(此模板不需要设置,图略)
3)BlockIP(禁止IP):
此模板可用于禁止本机与某一远程计算机的通讯。
图11
4)BlockSubnet(禁止子网或某范围的IP地址)
图12
用掩码可以表示一个范围的IP地址。
如上图IP=224.0.0.0,掩码=240.0.0就表示224.0.0.0到239.255.255.255。
AllowIP(允许IP)与Allowsubnet(允许子网或某范围的IP地址)原理同以上两条,略。
5)Allowwebsever(允许在本机开启web网站服务)
这是指定某一端口作为WEB服务器端口。
这是为服务器设计的功能,普通用户用不到。
6)AllowVPNconnection(允许VPN网络连接)
图13
7)AllowRemoteDesktopconnection(允许远程桌面连接)
图14
3389是远程桌面的服务端口,一般不用改了。
8)AllowVNCconnection(允许VNC网络连接)
VNC好像是用于远程控制计算机的软件。
没用过,不是很清楚。
9)AllowFileandPrinterSharing(允许文件与打印机共享)
在局网内需要相互共享资源的需要开启。
这条规则也不用自己设置,原理应该是开放本机的137-139端口。
2.出入站规则的制作
以下打红方格的就是出入站规则的模板:
图15
1)IP(IP地址规则)
以outgoingrules(出站规则)为例:
图16
注意:
在出入站规则中没有禁止/允许单个IP地址的规则模板。
所以,如果要禁止单个IP,请在address后面填入这个IP,然后在mask(掩码)后面填入255.255.255.255。
(如果保持默认的0.0.0.0,就表示一个IP段了)。
2)ICMP(ICMP协议规则):
图17
高级功能是对数据包的内容进行过滤,这也是伞墙的一大亮点。
这对于过滤含有恶意代码的数据包(如病毒木马等),很有帮助。
这里的“数据包内容”是指数据包的实际内容,也就是说它的偏移量应该从有效负载(payload)的第0字节算起。
而不是从IP、TCP包头算起。
单击”empty”可以载入包含这些字节的文件(关于是什么文件,官方只回答说是一个二进制的特殊文件。
所以目前还不清楚此项功能的用法。
希望知情者补充!
)
注意:
这里的ICMP规则要和“全局规则”中预设的“ICMPprotocol”一起用(后面会讲到)。
3)UDP(UDP协议规则):
图18
这里,端口填写支持单个端口,也支持一段端口(如1024-5000),还支持多个不连续的端口(如53,80,1024-5000,6666),相互之前通过半角逗号“,”隔开。
注意:
如果你想填全部端口,请填入0-65535,不要保持默认的”none”(无效,不代表任何端口)。
4)TCP(TCP协议规则)
图19
单击”allpackets”可以切换到“新建立和已建立的TCP连接数据包”、“已建立的TCP连接数据包”。
具体差别和用法下面会说到。
5)IPprotocol(IP协议规则)
图20
点击0-HOPOPT-Ipv6HOP-by-HOPOption,会出来一个表,这里有许多种IP协议:
图21
这里的大多数协议一般用户都不会用到,常用的可能只有Type2,IGMP。
怎样设定网络规则请看“附录一”
七.应用程序规则:
应用程序规则控制着每个联网程序的网络动,与网络规则一样重要。
1.主界面:
图22
如果要得到更详细的设置,请在“popupsettings”中点击“defineoneactionforeach(为程序的每类每络活动分别设定动作,原来是“defineoneactionforall”——为程序的全部网络活动一次性设定动作):
图23
为了提高安全性,请打开这个功能。
下面为一些常用的联网程序简单地谈一下设置方法:
“代码录入”是一个类似HIPS的功能,对HIPS没什么研究,所以下面不作涉及,只谈防火墙功能。
装有专业HIPS软件的朋友这里可以全选“允许”,全部交给专业HIPS来控制。
杀软:
可以全部允许。
网页浏览器:
只允许TCP连接,其它都可以禁止
QQ:
全部允许。
P2P类软件(迅雷、BT、Emule等):
全部允许。
Globarlink(联众游戏):
只允许TCP连接。
PPLive:
全部允许。
Svchost:
除了listen,其它都允许。
Explorer:
除了TCPconnection,其它都可禁止。
Userinit:
除了TCPconnection,其它都可禁止。
Winlogon:
除了TCPconnection,其它都可禁止。
2.新增应用程序规则:
图24
这张表列出了你正在使用的所有软件。
单击想要设置的程序,按下添加就可以了。
如果你想要的程序不在这个列表中,请按“浏览”自己搜索。
八.系统设置(Settings)
图25
Automaticruletimeout(规则自动过期):
这项功能是针对预设网络规则中的“Portscan”规则来说的。
当伞墙检测到某个IP正在对本机进行端口扫描时,它会自动生成一个规则来禁止这个IP。
如果选”blockforever”,那么这条规则将永远被保留,也就是永远禁止那个IP。
如果选Removeruleafterxxseconds,那么这个规则到时候会自动被移除,这个IP将被恢复。
想安全一点的话,就选block。
WindowsHostfileisnotlocked/locked(系统主机文件锁定):
这个功能是对主机文件(一个文本文件,内含TCP/IP主机名与它的IP地址的信息)进行写保护。
防止病毒和恶软的修改,防止本机在病毒的控制下访问一些非法的网站。
建议lock。
Automaticallowapplicationscreatedbyknownvendors(自动允许受信任公司出品的软件联网):
红伞已把以下公司列入信任名单:
Microsoft,Mozilla,Opera,Yahoo,Google,HewlettPackard,Sun,Skype,Adobe,Lexmark,CreativeLabs,ATI,nVidia。
想安全一点的话就不要选,不信任何程序。
因为即使是信任的软件,万一被木马控制,也会危害到安全的。
九.Popupsettings(对话框设置)
图26
Inspectprocesslaunchstack:
检测一个程序通过子进程访问网络。
建议勾选。
但装了专业HIPS软件的用户不要勾。
Allowmultiplepopupsperprocess:
按照帮助文件的说法,选中这个后,软件试图建立每一个网络连接都会弹出对话框。
反之,只对第一个网络连接进行提示,后面的全部按用户为第一个连接所设定的处理。
但我试验了一下,似乎选不选没有什么分别。
Rememberactionforthisapplication:
这是针对下图打圈部分的设置:
图27
Showdetails:
这是针对上图打框的部分的设置。
这块内容不太重要,所以不详细讲了。
十.对话框解释
图28
附录一:
伞墙网络规则设置经验:
1.网络规则设置的总指导原则:
曾在国外防火墙论坛上看到一位高手对此所作的精辟论断:
“Allowwhatyoureallyneed,andblockanythingelse——允许你真正需要的,阻止其它一切。
”这就是防火墙规则制作的总原则(适用于一切防火墙)。
因为用这个思路做出来的规则是最安全的。
2.制作规则的原理:
像一般防火墙一样,伞墙的规则也是从上到下来对数据包进行匹配的。
这一点一定要记住!
按第1点所说的原则,在规则最后添加一条“阻止一切的规则”是必须的(参照伞墙highlevel预设规则中icomingrules的最后一条)。
然后在这一条规则的上方编写一系列的允许规则。
但这并不是说一套规则只有最后一条是阻止规则,其它的都是允许规则。
大多数情况下还是阻止与允许规则交替编写的。
出现在最后一条上方的阻止规则可分成两类:
第1类是单纯是为了生成日志,以方便查找攻击源。
如我不想让别人来ping我,这种情况并不需要编写拦截ping的规则,因为只要上面没有允许接收ping的规则,最后一条就会把它拦截的。
但是如果我想知道谁在ping,就可以制作这样一条规则:
“拦截type=8,code=0的ICMP数据包进入本机,并记入日志”。
这样我们到日志查看关于这条规则的记录,看一下源地址就知道是谁在ping我了。
第2类是必须制作的,关系到安全与否的规则。
例如有一条规则开放了本机1024-5000端口同外界进行通讯。
但在这个范围内的1900和3389是高危端口,要制作一条规则把它们关闭了,并放在原来那条规则的上方。
这样从1900或3389进入的数据首先会被拦下,确保了下面那条规则的安全。
3.具体操作:
伞墙的默认规则,严格来说,即使是最高级别也并不安全,主要是因为把本地的所有端口向所有网络地址开放。
而且每个人的网络状况不一样,最好是用自己设置的规则。
自己制作规则时,建议在highlevel的默认规则下进行修改。
因为这里面有些规则和思路是很不错的。
1)先来讲讲默认的全局规则:
ICMPprotocol(ICMP协议规则)、TCPportscan(防止TCP端口扫描)、UDPportscan(防止UDP端口扫描)这三条建议不要改动,以免破坏防火墙的隐身性能。
如ICMP规则已经设置得很好了,出站只允许了ping请求,入站只允许了ping应答、目标不可达和超时,已经很安全,且能适应大多数用户的需要。
2)然后incoming规则中的“DonotdiscardICMPbasedonIPaddress”也必须保留,因为全局中的ICMP规则中只有阻止,没有允许,如果这条允许规则没了,所有的ICMP都将被最后一条“DenyallIPpackets”拦截。
3)最好在outgoing规则的最后一条也写一条DenyallIPpackets,所有未经允许的数据包都不能发出。
另外,最后拦截规则建议不要记入日志,除非规则还在调试阶段。
因为有大量数据被这条规则拦下来。
如果记入日志会占用很多的CPU。
4)有一点要注意:
伞墙的规则是双向的,也就是说如果你在出站规则中写了一条TCP本地1024-5000→远程1024-65535,那么在入站规则中必须写一条对等的规则:
TCP本地1024-5000←远程1024-65535。
5)TCP规则中有一个特别重要的地方请注意:
applyforallpackets、applyforpacketsofexistingconnections、Applyforconnectioninitiationandexistingconnectionpackets理论上来说是有区别的。
比如,伞墙的“高安全”级别能使计算机隐身,它的原理就在于预设的TCP规则(只允许packetsofexistingconnections)只允许已建立的连接的数据入站,即对任何主动连接都不响应。
而“中安全”级别用的是Applyforconnectioninitiationandexistingconnectionpackets,即允许建立新的连接,这样它就不提供隐身功能了。
至于Applyforconnectioninitiationandexistingconnectionpackets与allpackets的区别目前还不太清楚,测试了一下也没有多大的分别,官方也没有说明和答复。
我们虽不太清楚详细的区别,但有些技巧还是可以和大家分享的:
上面已说过,防火墙规则编写原则是“严格禁止,谨慎开放”。
凡是阻止规则,TCP的可选applyforallpackets,UDP的可选allports。
而允许规则,TCP的入站可选applyforpacketsofexistingconnections(应用程序的监听端口一定要另外编写允许规则,选Applyforconnectioninitiationandexistingconnectionpackets,放在上述规则的上方。
或直接在全局规则中设置。
否则别人无法主动连接到本机。
)出站可选Applyforconnectioninitiationandexistingconnectionpackets;UDP的出入站都可选openedports(同样监听端口规则要选allports)。
由于水平有限,只能谈这么多。
这里推荐本论坛菜悠悠版主的一篇文章,对防火墙设置问题谈得很详细,相信会给大家带来很大的帮助:
附录二:
个人对伞墙的评价:
伞墙主要的优点:
1.提供了计算机隐身模式,使黑客不能发现你的存在,但你却可以正常地进行网络活动。
2.防止端口扫描。
黑客想要入侵一台电脑就往往先要找出端口的漏洞,常用的手法是进行端口扫描。
伞墙在这方面作了很好的防护,一旦发现可疑情况,马上封住攻击者的IP。
3.可以拦截来自外界的主动连接,任何连接都必须是你主动要求同别人建立的。
这又给黑客的主动攻击带来相当大的困难。
4.防止ICMP洪水攻击和碎片攻击。
在ICMPprotocol规则中,通过设定每两个ICMP入站的时间间隔来防止洪水攻击。
这个对服务器尤其有用。
还可以拒绝ICMP碎片,来防止碎片攻击。
5.支持TCP的SPI(全状态数据包检测)。
伞墙主要的缺点:
1.伞墙的应用程序有些粗糙,不能为每个程序制定端口规则和IP规则。
这也是几乎所有杀软套装的防火墙的共同缺点。
但红伞强大的防毒能力可以弥补它的不足,木马还没来得及联网就被干掉了。
如果在网络规则方面限制一下本地端口的开放,屏蔽一些高危端口和高危IP地址,就更安全了。
2.不支持IP以外的协议。
不过个人用户所用的协议绝大多数都属于IP协议,所以普通用户绝对够了。
但遗憾的是不支持ARP协议,所以伞墙无法防ARP欺骗。
处于内网的用户建议另配一个专业的ARP防火墙。
从以上可以看出,红伞的强项还是在防外。
虽然相对于顶级防火墙如LNS、Jetico、8sign等还是显得单薄,但比起大多数国产墙还是比较强大的。
对于一般用户,只要懂得怎么使用,再稍作设置,没有什么不放心的。
伞墙防内的效果可能不是很好,因为在Matousec反泄露测式中成绩比较差。
用户可以配一个专业HIPS软件,如EQ。
EQ+红伞的杀毒能力+伞墙的应用程序过滤,应该能在这个测中得到相当高的分数了。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Avira 小红伞 防火墙 设置 规则
![提示](https://static.bingdoc.com/images/bang_tan.gif)