Avira小红伞防火墙设置规则.doc

小红伞防火墙设置规则 一.前言： 伞墙主要是为了用户的方便，简化了设置过程，所以看起来比较“傻瓜”。其实它在易用性和安全性结合得相当好，设计者的确是花了不少心思的。这篇教程是基本上涵盖了伞墙的所有方面，应该算比较全面了，后面附有我这几天玩伞墙的一点设置心得。 二.托盘选项 右击桌面右下脚托盘图标，在“Firewall”有以下三个选项： 图1 1.Firewall enable（打开防火墙）：打勾表示当前防火墙正在工作，没打勾表示没在工作。用户可以根据需要在这里切换。 2.Block All Traffic（阻止所有流量）：选中表示所有的进出数据都将被拦截。（前提是必须选中firewall enable） 3.Game mode enable（打开游戏模式）：选中时，所有已设规则仍然有效。但是当有新的程序需要联网时，防火墙会自动允许，不会提示用户。目的是使用户在玩游戏时不被打扰。但这个模式会给木马等恶意程序以可趁之机，建议不要轻易使用。 三.伞墙主界面 1.安全级别说明： “高”：计算机在网络中隐身；外来的主动连接将被阻止；防止洪水攻击和黑客的端口扫描。 “中”：可疑的TCP、UDP数据包将被丢弃；防止洪水攻击和黑客的端口扫描。 “低”洪水攻击和黑客的端口扫描将被检测到（注意，不是防止）。（另外，所有进出计算机的数据都被放行。） 图2 2．双击“网络活动查看区”的某个程序，可以看到： 图3 四.日志界面： 图4 双击某一条日志： 图5 五.伞墙设置界面： 来到configuration(设置)，我们可以看到，与防火墙相关的有四个设置模块： 图6 六.适配器规则（设置伞墙最难的地方，也是它精华所在）： 伞墙支持为每个网卡分别制定规则，方便了通过多种方式上网的用户： 图7 伞墙的网络规则分为三类： 全局规则：没有出入站之分，且优先级比较高的规则。 入站规则：检测进入本机的数据包的规则。 出站规则：检测从本机发出的数据包的规则。 PS：rule up（上移）、rule down（下移），用于上下移动选中的规则。 图8 1.全局规则的制作： 图9 单击“Add rule”（增加规则）。伞墙提供了许多规则的设置模板。其中打红圈的就是全局规则的模板。我们只要在模板中稍作修改就可以生成自己的规则。 注意：新增的规则默认都放在某一类规则的最下方。利用“rule up/down”把规则移到适合的位置。 1）Allow peer to peer network (允许P2P 软件监听端口，如BT、电驴等)： 图10 2）Allow VMWARE connection (允许虚拟机连接网络) 虚拟机连网需要此规则。（此模板不需要设置，图略） 3）Block IP (禁止IP):此模板可用于禁止本机与某一远程计算机的通讯。 图11 4）Block Subnet (禁止子网或某范围的IP地址) 图12 用掩码可以表示一个范围的IP地址。如上图IP=224.0.0.0，掩码=240.0.0就表示224.0.0.0到239.255.255.255。Allow IP（允许IP）与Allow subnet（允许子网或某范围的IP地址）原理同以上两条，略。 5）Allow web sever (允许在本机开启web网站服务) 这是指定某一端口作为WEB服务器端口。这是为服务器设计的功能，普通用户用不到。 6）Allow VPN connection（允许VPN网络连接） 图13 7）Allow Remote Desktop connection （允许远程桌面连接） 图14 3389是远程桌面的服务端口，一般不用改了。 8）Allow VNC connection（允许VNC网络连接） VNC好像是用于远程控制计算机的软件。没用过，不是很清楚。 9）Allow File and Printer Sharing （允许文件与打印机共享） 在局网内需要相互共享资源的需要开启。这条规则也不用自己设置，原理应该是开放本机的137-139端口。 2.出入站规则的制作 以下打红方格的就是出入站规则的模板： 图15 1）IP（IP地址规则） 以outgoing rules（出站规则）为例： 图16 注意：在出入站规则中没有禁止/允许单个IP地址的规则模板。所以，如果要禁止单个IP，请在address后面填入这个IP，然后在mask(掩码)后面填入255.255.255.255。（如果保持默认的0.0.0.0，就表示一个IP段了）。 2）ICMP（ICMP协议规则）： 图17 高级功能是对数据包的内容进行过滤，这也是伞墙的一大亮点。这对于过滤含有恶意代码的数据包（如病毒木马等），很有帮助。这里的“数据包内容”是指数据包的实际内容，也就是说它的偏移量应该从有效负载（payload）的第0字节算起。而不是从IP、TCP包头算起。单击”empty”可以载入包含这些字节的文件（关于是什么文件，官方只回答说是一个二进制的特殊文件。所以目前还不清楚此项功能的用法。希望知情者补充！） 注意：这里的ICMP规则要和“全局规则”中预设的“ICMP protocol”一起用（后面会讲到）。 3）UDP （UDP协议规则）： 图18 这里，端口填写支持单个端口，也支持一段端口（如1024-5000），还支持多个不连续的端口（如53,80,1024-5000,6666），相互之前通过半角逗号“,”隔开。 注意：如果你想填全部端口，请填入0-65535，不要保持默认的”none”（无效，不代表任何端口）。 4）TCP（TCP协议规则） 图19 单击”all packets”可以切换到“新建立和已建立的TCP连接数据包”、“已建立的TCP连接数据包”。具体差别和用法下面会说到。 5）IP protocol (IP协议规则) 图20 点击0-HOPOPT-Ipv6 HOP-by-HOP Option，会出来一个表，这里有许多种IP协议： 图21 这里的大多数协议一般用户都不会用到，常用的可能只有Type2, IGMP。怎样设定网络规则请看“附录一” 七．应用程序规则： 应用程序规则控制着每个联网程序的网络动，与网络规则一样重要。 1．主界面： 图22 如果要得到更详细的设置，请在“popup settings”中点击“define one action for each(为程序的每类每络活动分别设定动作，原来是“define one action for all”——为程序的全部网络活动一次性设定动作)： 图23 为了提高安全性，请打开这个功能。下面为一些常用的联网程序简单地谈一下设置方法： “代码录入”是一个类似HIPS的功能，对HIPS没什么研究，所以下面不作涉及，只谈防火墙功能。装有专业HIPS软件的朋友这里可以全选“允许”，全部交给专业HIPS来控制。 杀软：可以全部允许。 网页浏览器：只允许TCP连接，其它都可以禁止 QQ：全部允许。 P2P类软件（迅雷、BT、Emule等）：全部允许。 Globarlink（联众游戏）：只允许TCP连接。 PPLive：全部允许。 Svchost：除了listen，其它都允许。 Explorer: 除了TCP connection，其它都可禁止。 Userinit: 除了TCP connection，其它都可禁止。 Winlogon: 除了TCP connection，其它都可禁止。 2．新增应用程序规则： 图24 这张表列出了你正在使用的所有软件。单击想要设置的程序，按下添加就可以了。如果你想要的程序不在这个列表中，请按“浏览”自己搜索。 八.系统设置（Settings） 图25 Automatic rule timeout（规则自动过期）：这项功能是针对预设网络规则中的“Port scan”规则来说的。当伞墙检测到某个IP正在对本机进行端口扫描时，它会自动生成一个规则来禁止这个IP。如果选”block forever”，那么这条规则将永远被保留，也就是永远禁止那个IP。如果选Remove rule after xx seconds，那么这个规则到时候会自动被移除，这个IP将被恢复。想安全一点的话，就选block。 Windows Host file is not locked/locked（系统主机文件锁定）：这个功能是对主机文件（一个文本文件，内含T C P / I P主机名与它的I P地址的信息）进行写保护。防止病毒和恶软的修改，防止本机在病毒的控制下访问一些非法的网站。建议lock。 Automatic allow applications created by known vendors(自动允许受信任公司出品的软件联网）：红伞已把以下公司列入信任名单：Microsoft，Mozilla，Opera，Yahoo，Google，Hewlett Packard，Sun，Skype，Adobe，Lexmark，Creative Labs，ATI，nVidia。想安全一点的话就不要选，不信任何程序。因为即使是信任的软件，万一被木马控制，也会危害到安全的。 九．Popup settings（对话框设置） 图26 Inspect process launch stack：检测一个程序通过子进程访问网络。建议勾选。但装了专业HIPS软件的用户不要勾。 Allow multiple popups per process：按照帮助文件的说法，选中这个后，软件试图建立每一个网络连接都会弹出对话框。反之，只对第一个网络连接进行提示，后面的全部按用户为第一个连接所设定的处理。但我试验了一下，似乎选不选没有什么分别。 Remember action for this application:这是针对下图打圈部分的设置： 图27 Show details：这是针对上图打框的部分的设置。 这块内容不太重要，所以不详细讲了。 十.对话框解释 图28 附录一：伞墙网络规则设置经验： 1．网络规则设置的总指导原则： 曾在国外防火墙论坛上看到一位高手对此所作的精辟论断：“Allow what you really need, and block anything else——允许你真正需要的，阻止其它一切。”这就是防火墙规则制作的总原则（适用于一切防火墙）。因为用这个思路做出来的规则是最安全的。 2．制作规则的原理：像一般防火墙一样，伞墙的规则也是从上到下来对数据包进行匹配的。这一点一定要记住！ 按第1点所说的原则，在规则最后添加一条“阻止一切的规则”是必须的（参照伞墙high level预设规则中icoming rules的最后一条）。然后在这一条规则的上方编写一系列的允许规则。但这并不是说一套规则只有最后一条是阻止规则，其它的都是允许规则。大多数情况下还是阻止与允许规则交替编写的。出现在最后一条上方的阻止规则可分成两类： 第1类是单纯是为了生成日志，以方便查找攻击源。如我不想让别人来ping我，这种情况并不需要编写拦截ping的规则，因为只要上面没有允许接收ping的规则，最后一条就会把它拦截的。但是如果我想知道谁在ping，就可以制作这样一条规则：“拦截type=8,code=0的ICMP数据包进入本机，并记入日志”。这样我们到日志查看关于这条规则的记录，看一下源地址就知道是谁在ping我了。 第2类是必须制作的，关系到安全与否的规则。例如有一条规则开放了本机1024-5000端口同外界进行通讯。但在这个范围内的1900和3389是高危端口，要制作一条规则把它们关闭了，并放在原来那条规则的上方。这样从 1900或3389进入的数据首先会被拦下，确保了下面那条规则的安全。 3．具体操作： 伞墙的默认规则，严格来说，即使是最高级别也并不安全，主要是因为把本地的所有端口向所有网络地址开放。而且每个人的网络状况不一样，最好是用自己设置的规则。 自己制作规则时，建议在high level的默认规则下进行修改。因为这里面有些规则和思路是很不错的。 1）先来讲讲默认的全局规则： ICMP protocol（ICMP协议规则）、TCP port scan（防止TCP端口扫描）、UDP port scan（防止UDP端口扫描）这三条建议不要改动，以免破坏防火墙的隐身性能。如ICMP规则已经设置得很好了，出站只允许了ping请求，入站只允许了ping应答、目标不可达和超时，已经很安全，且能适应大多数用户的需要。 2）然后incoming规则中的“Do not discard ICMP based on IP address”也必须保留，因为全局中的ICMP规则中只有阻止，没有允许，如果这条允许规则没了，所有的ICMP都将被最后一条“Deny all IP packets”拦截。 3）最好在outgoing规则的最后一条也写一条Deny all IP packets，所有未经允许的数据包都不能发出。另外，最后拦截规则建议不要记入日志，除非规则还在调试阶段。因为有大量数据被这条规则拦下来。如果记入日志会占用很多的CPU。 4）有一点要注意：伞墙的规则是双向的，也就是说如果你在出站规则中写了一条TCP本地1024-5000→远程1024-65535，那么在入站规则中必须写一条对等的规则：TCP本地1024-5000←远程1024-65535。 5）TCP规则中有一个特别重要的地方请注意：apply for all packets 、apply for packets of existing connections、Apply for connection initiation and existing connection packets理论上来说是有区别的。比如，伞墙的“高安全”级别能使计算机隐身，它的原理就在于预设的TCP规则（只允许packets of existing connections）只允许已建立的连接的数据入站，即对任何主动连接都不响应。而“中安全”级别用的是Apply for connection initiation and existing connection packets，即允许建立新的连接，这样它就不提供隐身功能了。至于Apply for connection initiation and existing connection packets与all packets的区别目前还不太清楚，测试了一下也没有多大的分别，官方也没有说明和答复。 我们虽不太清楚详细的区别，但有些技巧还是可以和大家分享的： 上面已说过，防火墙规则编写原则是“严格禁止，谨慎开放”。凡是阻止规则，TCP的可选apply for all packets，UDP的可选all ports。 而允许规则，TCP的入站可选apply for packets of existing connections（应用程序的监听端口一定要另外编写允许规则，选Apply for connection initiation and existing connection packets，放在上述规则的上方。或直接在全局规则中设置。否则别人无法主动连接到本机。）出站可选Apply for connection initiation and existing connection packets；UDP的出入站都可选opened ports（同样监听端口规则要选all ports）。 由于水平有限，只能谈这么多。这里推荐本论坛菜悠悠版主的一篇文章，对防火墙设置问题谈得很详细，相信会给大家带来很大的帮助： 附录二：个人对伞墙的评价： 伞墙主要的优点： 1．提供了计算机隐身模式，使黑客不能发现你的存在，但你却可以正常地进行网络活动。 2．防止端口扫描。黑客想要入侵一台电脑就往往先要找出端口的漏洞，常用的手法是进行端口扫描。伞墙在这方面作了很好的防护，一旦发现可疑情况，马上封住攻击者的IP。 3．可以拦截来自外界的主动连接，任何连接都必须是你主动要求同别人建立的。这又给黑客的主动攻击带来相当大的困难。 4．防止ICMP洪水攻击和碎片攻击。在ICMP protocol规则中，通过设定每两个ICMP入站的时间间隔来防止洪水攻击。这个对服务器尤其有用。还可以拒绝ICMP碎片，来防止碎片攻击。 5．支持TCP的SPI（全状态数据包检测）。 伞墙主要的缺点： 1．伞墙的应用程序有些粗糙，不能为每个程序制定端口规则和IP规则。这也是几乎所有杀软套装的防火墙的共同缺点。但红伞强大的防毒能力可以弥补它的不足，木马还没来得及联网就被干掉了。如果在网络规则方面限制一下本地端口的开放，屏蔽一些高危端口和高危IP地址，就更安全了。 2．不支持IP以外的协议。不过个人用户所用的协议绝大多数都属于IP协议，所以普通用户绝对够了。但遗憾的是不支持ARP协议，所以伞墙无法防ARP欺骗。处于内网的用户建议另配一个专业的ARP防火墙。 从以上可以看出，红伞的强项还是在防外。虽然相对于顶级防火墙如LNS、Jetico、8sign等还是显得单薄，但比起大多数国产墙还是比较强大的。对于一般用户，只要懂得怎么使用，再稍作设置，没有什么不放心的。 伞墙防内的效果可能不是很好，因为在Matousec反泄露测式中成绩比较差。用户可以配一个专业HIPS软件，如EQ。EQ+红伞的杀毒能力+伞墙的应用程序过滤，应该能在这个测中得到相当高的分数了。