Avira小紅傘防火墻設(shè)置規(guī)則

1、最新Avira小紅傘防火墻設(shè)置規(guī)那么小紅傘防火墻設(shè)置規(guī)那么一.前言：傘墻主要是為了用戶(hù)的方便，簡(jiǎn)化了設(shè)置過(guò)程，所以看起來(lái)比擬“傻瓜。其實(shí)它在易用性和平安性結(jié)合得相當(dāng)好，設(shè)計(jì)者確實(shí)是花了不少心思的。這篇教程是根本上涵蓋了傘墻的所有方面，應(yīng)該算比擬全面了，后面附有我這幾天玩?zhèn)銐Φ囊稽c(diǎn)設(shè)置心得。二.托盤(pán)選項(xiàng)右擊桌面右下腳托盤(pán)圖標(biāo)，在“Firewall有以下三個(gè)選項(xiàng)：圖11.Firewall enable翻開(kāi)防火墻：打勾表示當(dāng)前防火墻正在工作，沒(méi)打勾表示沒(méi)在工作。用戶(hù)可以根據(jù)需要在這里切換。2.Block All Traffic阻止所有流量：選中表示所有的進(jìn)出數(shù)據(jù)都將被攔截。前提是必須選中firewa

2、ll enable3.Game mode enable翻開(kāi)游戲模式：選中時(shí)，所有已設(shè)規(guī)那么仍然有效。但是當(dāng)有新的程序需要聯(lián)網(wǎng)時(shí)，防火墻會(huì)自動(dòng)允許，不會(huì)提示用戶(hù)。目的是使用戶(hù)在玩游戲時(shí)不被打攪。但這個(gè)模式會(huì)給木馬等惡意程序以可趁之機(jī)，建議不要輕易使用。三.傘墻主界面1.平安級(jí)別說(shuō)明：“高：計(jì)算機(jī)在網(wǎng)絡(luò)中隱身；外來(lái)的主動(dòng)連接將被阻止；防止洪水攻擊和黑客的端口掃描?！爸校嚎梢傻腡CP、UDP數(shù)據(jù)包將被丟棄；防止洪水攻擊和黑客的端口掃描?！暗秃樗艉秃诳偷亩丝趻呙鑼⒈粰z測(cè)到注意，不是防止。另外，所有進(jìn)出計(jì)算機(jī)的數(shù)據(jù)都被放行。圖22雙擊“網(wǎng)絡(luò)活動(dòng)查看區(qū)的某個(gè)程序，可以看到：圖3四.日志界面：圖4雙擊某

3、一條日志：圖5五.傘墻設(shè)置界面：來(lái)到configuration(設(shè)置)，我們可以看到，與防火墻相關(guān)的有四個(gè)設(shè)置模塊：圖6六.適配器規(guī)那么設(shè)置傘墻最難的地方，也是它精華所在：傘墻支持為每個(gè)網(wǎng)卡分別制定規(guī)那么，方便了通過(guò)多種方式上網(wǎng)的用戶(hù)：圖7傘墻的網(wǎng)絡(luò)規(guī)那么分為三類(lèi)：全局規(guī)那么：沒(méi)有出入站之分，且優(yōu)先級(jí)比擬高的規(guī)那么。入站規(guī)那么：檢測(cè)進(jìn)入本機(jī)的數(shù)據(jù)包的規(guī)那么。出站規(guī)那么：檢測(cè)從本機(jī)發(fā)出的數(shù)據(jù)包的規(guī)那么。PS：rule up上移、rule down下移，用于上下移動(dòng)選中的規(guī)那么。圖81.全局規(guī)那么的制作：圖9單擊“Add rule增加規(guī)那么。傘墻提供了許多規(guī)那么的設(shè)置模板。其中打紅圈的就是全局規(guī)那

4、么的模板。我們只要在模板中稍作修改就可以生成自己的規(guī)那么。注意：新增的規(guī)那么默認(rèn)都放在某一類(lèi)規(guī)那么的最下方。利用“rule up/down把規(guī)那么移到適合的位置。1Allow peer to peer network (允許P2P 軟件監(jiān)聽(tīng)端口，如BT、電驢等)：圖102Allow VMWARE connection (允許虛擬機(jī)連接網(wǎng)絡(luò))虛擬機(jī)連網(wǎng)需要此規(guī)那么。此模板不需要設(shè)置，圖略3Block IP (禁止IP):此模板可用于禁止本機(jī)與某一遠(yuǎn)程計(jì)算機(jī)的通訊。圖114Block Subnet (禁止子網(wǎng)或某范圍的IP地址)圖12用掩碼可以表示一個(gè)范圍的IP地址。如上圖IP=224.0.0.0

5、，掩碼=240.0.0就表示224.0.0.0到239.255.255.255。Allow IP允許IP與Allow subnet允許子網(wǎng)或某范圍的IP地址原理同以上兩條，略。5Allow web sever (允許在本機(jī)開(kāi)啟web網(wǎng)站效勞)這是指定某一端口作為WEB效勞器端口。這是為效勞器設(shè)計(jì)的功能，普通用戶(hù)用不到。6Allow VPN connection允許VPN網(wǎng)絡(luò)連接圖137Allow Remote Desktop connection 允許遠(yuǎn)程桌面連接圖143389是遠(yuǎn)程桌面的效勞端口，一般不用改了。8Allow VNC connection允許VNC網(wǎng)絡(luò)連接VNC好似是用于遠(yuǎn)程控

6、制計(jì)算機(jī)的軟件。沒(méi)用過(guò)，不是很清楚。9Allow File and Printer Sharing 允許文件與打印機(jī)共享在局網(wǎng)內(nèi)需要相互共享資源的需要開(kāi)啟。這條規(guī)那么也不用自己設(shè)置，原理應(yīng)該是開(kāi)放本機(jī)的137-139端口。2.出入站規(guī)那么的制作以下打紅方格的就是出入站規(guī)那么的模板：圖151IPIP地址規(guī)那么以outgoing rules出站規(guī)那么為例：圖16注意：在出入站規(guī)那么中沒(méi)有禁止/允許單個(gè)IP地址的規(guī)那么模板。所以，如果要禁止單個(gè)IP，請(qǐng)?jiān)赼ddress后面填入這個(gè)IP，然后在mask(掩碼)后面填入255.255.255.255。如果保持默認(rèn)的.0，就表示一個(gè)IP段了。2ICMPIC

7、MP協(xié)議規(guī)那么：圖17高級(jí)功能是對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行過(guò)濾，這也是傘墻的一大亮點(diǎn)。這對(duì)于過(guò)濾含有惡意代碼的數(shù)據(jù)包如病毒木馬等，很有幫助。這里的“數(shù)據(jù)包內(nèi)容是指數(shù)據(jù)包的實(shí)際內(nèi)容，也就是說(shuō)它的偏移量應(yīng)該從有效負(fù)載payload的第0字節(jié)算起。而不是從IP、TCP包頭算起。單擊empty可以載入包含這些字節(jié)的文件關(guān)于是什么文件，官方只答復(fù)說(shuō)是一個(gè)二進(jìn)制的特殊文件。所以目前還不清楚此項(xiàng)功能的用法。希望知情者補(bǔ)充！注意：這里的ICMP規(guī)那么要和“全局規(guī)那么中預(yù)設(shè)的“ICMP protocol一起用后面會(huì)講到。3UDP UDP協(xié)議規(guī)那么：圖18這里，端口填寫(xiě)支持單個(gè)端口，也支持一段端口如1024-5000，還

8、支持多個(gè)不連續(xù)的端口如53,80,1024-5000,6666，相互之前通過(guò)半角逗號(hào)“,隔開(kāi)。注意：如果你想填全部端口，請(qǐng)?zhí)钊?-65535，不要保持默認(rèn)的none無(wú)效，不代表任何端口。4TCPTCP協(xié)議規(guī)那么圖19單擊all packets可以切換到“新建立和已建立的TCP連接數(shù)據(jù)包、“已建立的TCP連接數(shù)據(jù)包。具體差異和用法下面會(huì)說(shuō)到。5IP protocol (IP協(xié)議規(guī)那么)圖20點(diǎn)擊0-HOPOPT-Ipv6 HOP-by-HOP Option，會(huì)出來(lái)一個(gè)表，這里有許多種IP協(xié)議：圖21這里的大多數(shù)協(xié)議一般用戶(hù)都不會(huì)用到，常用的可能只有Type2, IGMP。怎樣設(shè)定網(wǎng)絡(luò)規(guī)那么請(qǐng)看“

9、附錄一七應(yīng)用程序規(guī)那么：應(yīng)用程序規(guī)那么控制著每個(gè)聯(lián)網(wǎng)程序的網(wǎng)絡(luò)動(dòng)，與網(wǎng)絡(luò)規(guī)那么一樣重要。1主界面：圖22如果要得到更詳細(xì)的設(shè)置，請(qǐng)?jiān)凇皃opup settings中點(diǎn)擊“define one action for each(為程序的每類(lèi)每絡(luò)活動(dòng)分別設(shè)定動(dòng)作，原來(lái)是“define one action for all為程序的全部網(wǎng)絡(luò)活動(dòng)一次性設(shè)定動(dòng)作)：圖23為了提高平安性，請(qǐng)翻開(kāi)這個(gè)功能。下面為一些常用的聯(lián)網(wǎng)程序簡(jiǎn)單地談一下設(shè)置方法：“代碼錄入是一個(gè)類(lèi)似HIPS的功能，對(duì)HIPS沒(méi)什么研究，所以下面不作涉及，只談防火墻功能。裝有專(zhuān)業(yè)HIPS軟件的朋友這里可以全選“允許，全部交給專(zhuān)業(yè)HIPS來(lái)控

10、制。殺軟：可以全部允許。網(wǎng)頁(yè)瀏覽器：只允許TCP連接，其它都可以禁止QQ：全部允許。P2P類(lèi)軟件迅雷、BT、Emule等：全部允許。Globarlink聯(lián)眾游戲：只允許TCP連接。PPLive：全部允許。Svchost：除了listen，其它都允許。Explorer: 除了TCP connection，其它都可禁止。Userinit: 除了TCP connection，其它都可禁止。Winlogon: 除了TCP connection，其它都可禁止。2新增應(yīng)用程序規(guī)那么：圖24這張表列出了你正在使用的所有軟件。單擊想要設(shè)置的程序，按下添加就可以了。如果你想要的程序不在這個(gè)列表中，請(qǐng)按“瀏覽自己

11、搜索。八.系統(tǒng)設(shè)置Settings圖25Automatic rule timeout規(guī)那么自動(dòng)過(guò)期：這項(xiàng)功能是針對(duì)預(yù)設(shè)網(wǎng)絡(luò)規(guī)那么中的“Port scan規(guī)那么來(lái)說(shuō)的。當(dāng)傘墻檢測(cè)到某個(gè)IP正在對(duì)本機(jī)進(jìn)行端口掃描時(shí)，它會(huì)自動(dòng)生成一個(gè)規(guī)那么來(lái)禁止這個(gè)IP。如果選block forever，那么這條規(guī)那么將永遠(yuǎn)被保存，也就是永遠(yuǎn)禁止那個(gè)IP。如果選Remove rule after xx seconds，那么這個(gè)規(guī)那么到時(shí)候會(huì)自動(dòng)被移除，這個(gè)IP將被恢復(fù)。想平安一點(diǎn)的話，就選block。Windows Host file is not locked/locked系統(tǒng)主機(jī)文件鎖定：這個(gè)功能是對(duì)主機(jī)文件一

12、個(gè)文本文件，內(nèi)含T C P / I P主機(jī)名與它的I P地址的信息進(jìn)行寫(xiě)保護(hù)。防止病毒和惡軟的修改，防止本機(jī)在病毒的控制下訪問(wèn)一些非法的網(wǎng)站。建議lock。Automatic allow applications created by known vendors(自動(dòng)允許受信任公司出品的軟件聯(lián)網(wǎng)：紅傘已把以下公司列入信任名單：Microsoft，Mozilla，Opera，Yahoo，Google，Hewlett Packard，Sun，Skype，Adobe，Lexmark，Creative Labs，ATI，nVidia。想平安一點(diǎn)的話就不要選，不信任何程序。因?yàn)榧词故切湃蔚能浖?，萬(wàn)一被木

13、馬控制，也會(huì)危害到平安的。九Popup settings對(duì)話框設(shè)置圖26Inspect process launch stack：檢測(cè)一個(gè)程序通過(guò)子進(jìn)程訪問(wèn)網(wǎng)絡(luò)。建議勾選。但裝了專(zhuān)業(yè)HIPS軟件的用戶(hù)不要勾。Allow multiple popups per process：按照幫助文件的說(shuō)法，選中這個(gè)后，軟件試圖建立每一個(gè)網(wǎng)絡(luò)連接都會(huì)彈出對(duì)話框。反之，只對(duì)第一個(gè)網(wǎng)絡(luò)連接進(jìn)行提示，后面的全部按用戶(hù)為第一個(gè)連接所設(shè)定的處理。但我試驗(yàn)了一下，似乎選不選沒(méi)有什么分別。Remember action for this application:這是針對(duì)下列圖打圈局部的設(shè)置：圖27Show details

14、：這是針對(duì)上圖打框的局部的設(shè)置。這塊內(nèi)容不太重要，所以不詳細(xì)講了。十.對(duì)話框解釋圖28附錄一：傘墻網(wǎng)絡(luò)規(guī)那么設(shè)置經(jīng)驗(yàn)：1網(wǎng)絡(luò)規(guī)那么設(shè)置的總指導(dǎo)原那么：曾在國(guó)外防火墻論壇上看到一位高手對(duì)此所作的精辟論斷：“Allow what you really need, and block anything else允許你真正需要的，阻止其它一切。這就是防火墻規(guī)那么制作的總原那么適用于一切防火墻。因?yàn)橛眠@個(gè)思路做出來(lái)的規(guī)那么是最平安的。2制作規(guī)那么的原理：像一般防火墻一樣，傘墻的規(guī)那么也是從上到下來(lái)對(duì)數(shù)據(jù)包進(jìn)行匹配的。這一點(diǎn)一定要記??！按第1點(diǎn)所說(shuō)的原那么，在規(guī)那么最后添加一條“阻止一切的規(guī)那么是必須的參

15、照傘墻high level預(yù)設(shè)規(guī)那么中icoming rules的最后一條。然后在這一條規(guī)那么的上方編寫(xiě)一系列的允許規(guī)那么。但這并不是說(shuō)一套規(guī)那么只有最后一條是阻止規(guī)那么，其它的都是允許規(guī)那么。大多數(shù)情況下還是阻止與允許規(guī)那么交替編寫(xiě)的。出現(xiàn)在最后一條上方的阻止規(guī)那么可分成兩類(lèi)：第1類(lèi)是單純是為了生成日志，以方便查找攻擊源。如我不想讓別人來(lái)ping我，這種情況并不需要編寫(xiě)攔截ping的規(guī)那么，因?yàn)橹灰厦鏇](méi)有允許接收ping的規(guī)那么，最后一條就會(huì)把它攔截的。但是如果我想知道誰(shuí)在ping，就可以制作這樣一條規(guī)那么：“攔截type=8,code=0的ICMP數(shù)據(jù)包進(jìn)入本機(jī)，并記入日志。這樣我們到日

16、志查看關(guān)于這條規(guī)那么的記錄，看一下源地址就知道是誰(shuí)在ping我了。第2類(lèi)是必須制作的，關(guān)系到平安與否的規(guī)那么。例如有一條規(guī)那么開(kāi)放了本機(jī)1024-5000端口同外界進(jìn)行通訊。但在這個(gè)范圍內(nèi)的1900和3389是高危端口，要制作一條規(guī)那么把它們關(guān)閉了，并放在原來(lái)那條規(guī)那么的上方。這樣從 1900或3389進(jìn)入的數(shù)據(jù)首先會(huì)被攔下，確保了下面那條規(guī)那么的平安。3具體操作：傘墻的默認(rèn)規(guī)那么，嚴(yán)格來(lái)說(shuō)，即使是最高級(jí)別也并不平安，主要是因?yàn)榘驯镜氐乃卸丝谙蛩芯W(wǎng)絡(luò)地址開(kāi)放。而且每個(gè)人的網(wǎng)絡(luò)狀況不一樣，最好是用自己設(shè)置的規(guī)那么。自己制作規(guī)那么時(shí)，建議在high level的默認(rèn)規(guī)那么下進(jìn)行修改。因?yàn)檫@里面

17、有些規(guī)那么和思路是很不錯(cuò)的。1先來(lái)講講默認(rèn)的全局規(guī)那么：ICMP protocolICMP協(xié)議規(guī)那么、TCP port scan防止TCP端口掃描、UDP port scan防止UDP端口掃描這三條建議不要改動(dòng)，以免破壞防火墻的隱身性能。如ICMP規(guī)那么已經(jīng)設(shè)置得很好了，出站只允許了ping請(qǐng)求，入站只允許了ping應(yīng)答、目標(biāo)不可達(dá)和超時(shí)，已經(jīng)很平安，且能適應(yīng)大多數(shù)用戶(hù)的需要。2然后incoming規(guī)那么中的“Do not discard ICMP based on IP address也必須保存，因?yàn)槿种械腎CMP規(guī)那么中只有阻止，沒(méi)有允許，如果這條允許規(guī)那么沒(méi)了，所有的ICMP都將被最后

18、一條“Deny all IP packets攔截。3最好在outgoing規(guī)那么的最后一條也寫(xiě)一條Deny all IP packets，所有未經(jīng)允許的數(shù)據(jù)包都不能發(fā)出。另外，最后攔截規(guī)那么建議不要記入日志，除非規(guī)那么還在調(diào)試階段。因?yàn)橛写罅繑?shù)據(jù)被這條規(guī)那么攔下來(lái)。如果記入日志會(huì)占用很多的CPU。4有一點(diǎn)要注意：傘墻的規(guī)那么是雙向的，也就是說(shuō)如果你在出站規(guī)那么中寫(xiě)了一條TCP本地1024-5000遠(yuǎn)程1024-65535，那么在入站規(guī)那么中必須寫(xiě)一條對(duì)等的規(guī)那么：TCP本地1024-5000遠(yuǎn)程1024-65535。5TCP規(guī)那么中有一個(gè)特別重要的地方請(qǐng)注意：apply for all pac

19、kets 、apply for packets of existing connections、Apply for connection initiation and existing connection packets理論上來(lái)說(shuō)是有區(qū)別的。比方，傘墻的“高平安級(jí)別能使計(jì)算機(jī)隱身，它的原理就在于預(yù)設(shè)的TCP規(guī)那么只允許packets of existing connections只允許已建立的連接的數(shù)據(jù)入站，即對(duì)任何主動(dòng)連接都不響應(yīng)。而“中平安級(jí)別用的是Apply for connection initiation and existing connection packets，即允許建立新

20、的連接，這樣它就不提供隱身功能了。至于Apply for connection initiation and existing connection packets與all packets的區(qū)別目前還不太清楚，測(cè)試了一下也沒(méi)有多大的分別，官方也沒(méi)有說(shuō)明和答復(fù)。我們雖不太清楚詳細(xì)的區(qū)別，但有些技巧還是可以和大家分享的：上面已說(shuō)過(guò)，防火墻規(guī)那么編寫(xiě)原那么是“嚴(yán)格禁止，謹(jǐn)慎開(kāi)放。但凡阻止規(guī)那么，TCP的可選apply for all packets，UDP的可選all ports。而允許規(guī)那么，TCP的入站可選apply for packets of existing connections應(yīng)用程序

21、的監(jiān)聽(tīng)端口一定要另外編寫(xiě)允許規(guī)那么，選Apply for connection initiation and existing connection packets，放在上述規(guī)那么的上方?；蛑苯釉谌忠?guī)那么中設(shè)置。否那么別人無(wú)法主動(dòng)連接到本機(jī)。出站可選Apply for connection initiation and existing connection packets；UDP的出入站都可選opened ports同樣監(jiān)聽(tīng)端口規(guī)那么要選all ports。由于水平有限，只能談這么多。這里推薦本論壇菜悠悠版主的一篇文章，對(duì)防火墻設(shè)置問(wèn)題談得很詳細(xì)，相信會(huì)給大家?guī)?lái)很大的幫助：附錄二：個(gè)人對(duì)傘墻的評(píng)價(jià)：傘墻主要的優(yōu)點(diǎn)：1提供了計(jì)算機(jī)隱身模式，使黑客