《Avira小红伞防火墙设置规则.doc》由会员分享,可在线阅读,更多相关《Avira小红伞防火墙设置规则.doc(16页珍藏版)》请在金锄头文库上搜索。
1、小红伞防火墙设置规则一.前言:伞墙主要是为了用户的方便,简化了设置过程,所以看起来比较“傻瓜”。其实它在易用性和安全性结合得相当好,设计者的确是花了不少心思的。这篇教程是基本上涵盖了伞墙的所有方面,应该算比较全面了,后面附有我这几天玩伞墙的一点设置心得。二.托盘选项右击桌面右下脚托盘图标,在“Firewall”有以下三个选项:图11.Firewall enable(打开防火墙):打勾表示当前防火墙正在工作,没打勾表示没在工作。用户可以根据需要在这里切换。2.Block All Traffic(阻止所有流量):选中表示所有的进出数据都将被拦截。(前提是必须选中firewall enable)3.
2、Game mode enable(打开游戏模式):选中时,所有已设规则仍然有效。但是当有新的程序需要联网时,防火墙会自动允许,不会提示用户。目的是使用户在玩游戏时不被打扰。但这个模式会给木马等恶意程序以可趁之机,建议不要轻易使用。三.伞墙主界面1.安全级别说明:“高”:计算机在网络中隐身;外来的主动连接将被阻止;防止洪水攻击和黑客的端口扫描。“中”:可疑的TCP、UDP数据包将被丢弃;防止洪水攻击和黑客的端口扫描。“低”洪水攻击和黑客的端口扫描将被检测到(注意,不是防止)。(另外,所有进出计算机的数据都被放行。)图22双击“网络活动查看区”的某个程序,可以看到:图3四.日志界面:图4双击某一条
3、日志:图5五.伞墙设置界面:来到configuration(设置),我们可以看到,与防火墙相关的有四个设置模块:图6六.适配器规则(设置伞墙最难的地方,也是它精华所在):伞墙支持为每个网卡分别制定规则,方便了通过多种方式上网的用户:图7伞墙的网络规则分为三类:全局规则:没有出入站之分,且优先级比较高的规则。入站规则:检测进入本机的数据包的规则。出站规则:检测从本机发出的数据包的规则。PS:rule up(上移)、rule down(下移),用于上下移动选中的规则。图81.全局规则的制作:图9单击“Add rule”(增加规则)。伞墙提供了许多规则的设置模板。其中打红圈的就是全局规则的模板。我们
4、只要在模板中稍作修改就可以生成自己的规则。注意:新增的规则默认都放在某一类规则的最下方。利用“rule up/down”把规则移到适合的位置。1)Allow peer to peer network (允许P2P 软件监听端口,如BT、电驴等):图102)Allow VMWARE connection (允许虚拟机连接网络)虚拟机连网需要此规则。(此模板不需要设置,图略)3)Block IP (禁止IP):此模板可用于禁止本机与某一远程计算机的通讯。图114)Block Subnet (禁止子网或某范围的IP地址)图12用掩码可以表示一个范围的IP地址。如上图IP=224.0.0.0,掩码=2
5、40.0.0就表示224.0.0.0到239.255.255.255。Allow IP(允许IP)与Allow subnet(允许子网或某范围的IP地址)原理同以上两条,略。5)Allow web sever (允许在本机开启web网站服务)这是指定某一端口作为WEB服务器端口。这是为服务器设计的功能,普通用户用不到。6)Allow VPN connection(允许VPN网络连接)图137)Allow Remote Desktop connection (允许远程桌面连接)图143389是远程桌面的服务端口,一般不用改了。8)Allow VNC connection(允许VNC网络连接)VN
6、C好像是用于远程控制计算机的软件。没用过,不是很清楚。9)Allow File and Printer Sharing (允许文件与打印机共享)在局网内需要相互共享资源的需要开启。这条规则也不用自己设置,原理应该是开放本机的137-139端口。2.出入站规则的制作以下打红方格的就是出入站规则的模板:图151)IP(IP地址规则)以outgoing rules(出站规则)为例:图16注意:在出入站规则中没有禁止/允许单个IP地址的规则模板。所以,如果要禁止单个IP,请在address后面填入这个IP,然后在mask(掩码)后面填入255.255.255.255。(如果保持默认的0.0.0.0,就
7、表示一个IP段了)。2)ICMP(ICMP协议规则):图17高级功能是对数据包的内容进行过滤,这也是伞墙的一大亮点。这对于过滤含有恶意代码的数据包(如病毒木马等),很有帮助。这里的“数据包内容”是指数据包的实际内容,也就是说它的偏移量应该从有效负载(payload)的第0字节算起。而不是从IP、TCP包头算起。单击”empty”可以载入包含这些字节的文件(关于是什么文件,官方只回答说是一个二进制的特殊文件。所以目前还不清楚此项功能的用法。希望知情者补充!)注意:这里的ICMP规则要和“全局规则”中预设的“ICMP protocol”一起用(后面会讲到)。3)UDP (UDP协议规则):图18这
8、里,端口填写支持单个端口,也支持一段端口(如1024-5000),还支持多个不连续的端口(如53,80,1024-5000,6666),相互之前通过半角逗号“,”隔开。注意:如果你想填全部端口,请填入0-65535,不要保持默认的”none”(无效,不代表任何端口)。4)TCP(TCP协议规则)图19单击”all packets”可以切换到“新建立和已建立的TCP连接数据包”、“已建立的TCP连接数据包”。具体差别和用法下面会说到。5)IP protocol (IP协议规则)图20点击0-HOPOPT-Ipv6 HOP-by-HOP Option,会出来一个表,这里有许多种IP协议:图21这里
9、的大多数协议一般用户都不会用到,常用的可能只有Type2, IGMP。怎样设定网络规则请看“附录一”七应用程序规则:应用程序规则控制着每个联网程序的网络动,与网络规则一样重要。1主界面:图22如果要得到更详细的设置,请在“popup settings”中点击“define one action for each(为程序的每类每络活动分别设定动作,原来是“define one action for all”为程序的全部网络活动一次性设定动作):图23为了提高安全性,请打开这个功能。下面为一些常用的联网程序简单地谈一下设置方法:“代码录入”是一个类似HIPS的功能,对HIPS没什么研究,所以下面不
10、作涉及,只谈防火墙功能。装有专业HIPS软件的朋友这里可以全选“允许”,全部交给专业HIPS来控制。杀软:可以全部允许。网页浏览器:只允许TCP连接,其它都可以禁止QQ:全部允许。P2P类软件(迅雷、BT、Emule等):全部允许。Globarlink(联众游戏):只允许TCP连接。PPLive:全部允许。Svchost:除了listen,其它都允许。Explorer: 除了TCP connection,其它都可禁止。Userinit: 除了TCP connection,其它都可禁止。Winlogon: 除了TCP connection,其它都可禁止。2新增应用程序规则:图24这张表列出了你正
11、在使用的所有软件。单击想要设置的程序,按下添加就可以了。如果你想要的程序不在这个列表中,请按“浏览”自己搜索。八.系统设置(Settings)图25Automatic rule timeout(规则自动过期):这项功能是针对预设网络规则中的“Port scan”规则来说的。当伞墙检测到某个IP正在对本机进行端口扫描时,它会自动生成一个规则来禁止这个IP。如果选”block forever”,那么这条规则将永远被保留,也就是永远禁止那个IP。如果选Remove rule after xx seconds,那么这个规则到时候会自动被移除,这个IP将被恢复。想安全一点的话,就选block。Windo
12、ws Host file is not locked/locked(系统主机文件锁定):这个功能是对主机文件(一个文本文件,内含T C P / I P主机名与它的I P地址的信息)进行写保护。防止病毒和恶软的修改,防止本机在病毒的控制下访问一些非法的网站。建议lock。Automatic allow applications created by known vendors(自动允许受信任公司出品的软件联网):红伞已把以下公司列入信任名单:Microsoft,Mozilla,Opera,Yahoo,Google,Hewlett Packard,Sun,Skype,Adobe,Lexmark,C
13、reative Labs,ATI,nVidia。想安全一点的话就不要选,不信任何程序。因为即使是信任的软件,万一被木马控制,也会危害到安全的。九Popup settings(对话框设置)图26Inspect process launch stack:检测一个程序通过子进程访问网络。建议勾选。但装了专业HIPS软件的用户不要勾。Allow multiple popups per process:按照帮助文件的说法,选中这个后,软件试图建立每一个网络连接都会弹出对话框。反之,只对第一个网络连接进行提示,后面的全部按用户为第一个连接所设定的处理。但我试验了一下,似乎选不选没有什么分别。Remembe
14、r action for this application:这是针对下图打圈部分的设置:图27Show details:这是针对上图打框的部分的设置。这块内容不太重要,所以不详细讲了。十.对话框解释图28附录一:伞墙网络规则设置经验:1网络规则设置的总指导原则:曾在国外防火墙论坛上看到一位高手对此所作的精辟论断:“Allow what you really need, and block anything else允许你真正需要的,阻止其它一切。”这就是防火墙规则制作的总原则(适用于一切防火墙)。因为用这个思路做出来的规则是最安全的。2制作规则的原理:像一般防火墙一样,伞墙的规则也是从上到下来
15、对数据包进行匹配的。这一点一定要记住!按第1点所说的原则,在规则最后添加一条“阻止一切的规则”是必须的(参照伞墙high level预设规则中icoming rules的最后一条)。然后在这一条规则的上方编写一系列的允许规则。但这并不是说一套规则只有最后一条是阻止规则,其它的都是允许规则。大多数情况下还是阻止与允许规则交替编写的。出现在最后一条上方的阻止规则可分成两类:第1类是单纯是为了生成日志,以方便查找攻击源。如我不想让别人来ping我,这种情况并不需要编写拦截ping的规则,因为只要上面没有允许接收ping的规则,最后一条就会把它拦截的。但是如果我想知道谁在ping,就可以制作这样一条规则:“拦截type=8,code=0的ICMP数据包进入本机,并记入日志”。这样我们到日志查看关于这条规则的记录,看一下源地址就知道是谁在ping我了。第2类是必须制作的,关系到安全与否的规则。例如有一条规则开放了本机1024-5000端口同外界进行通讯。但在这个范围内的190
