E - 应用程序规则 (位于“选项/应用程序”)
E1-移除位于“信任的应用程序”组中的项目
即使程序需要正常的访问互联网,对其通讯不加过问的一律放行也不是明智的做法。某些程序可能会要求比所需更多的连接(浪费带宽),有的程序会跟“老家”悄悄联系泄漏你的隐私信息。出于这种考虑,应该把“信任的应用程序”组中的项目移入“部分允许的应用程序 ”组,并且设置如下所建议的合适的规则。
E2-谨慎设置“部分允许的应用程序”
Outpost的自动配置功能将会给每一个探测到要求连接网络的程序配置默认的规则,然而这些默认规则是从易于使用的角度出发的,所以大多情况下可以进一步的完善之。决定什么样的连接需要放行无疑是防火墙配置中最富有挑战性的部分,由于个人的使用环境和偏 好不同而产生很大的差别。下文中会根据颜色的不同来区分推荐配置和参考配置。
推荐配置用红色表示
建议配置用蓝色表示
可选配置用绿色表示
如果使用了D1部分提及的“应用程序DNS”设置,那么每个应用程序除采用下面会提到的规则外还需要一条DNS规则,请注意这些应用程序规则的优先级位于全局规则之上,详情请见Outpost Rules Processing Order常见问题贴。
在规则中使用域名注意事项:
当域名被用作本地或远程地址时,Outpost会立刻查找相应的IP地址(需要DNS连接),如果该域名的IP发生了改变,规则不会被自动更新-域名需要重新输入。如果某条使用了域名的应用程序规则或全局规则失效的话请考虑这种可能性。
某些域名可能使用了多个IP地址-只有在“选项/应用程序”中手动建立的规则Outpost才会自动寻找其所有IP地址,通过规则向导建立的规则则不行。因此,通过规则向导建立的规则需要重新在“选项/应用程序”中手动输入域名以确保所有IP地址能被找到 。
Svchost.exe(Windows XP系统独有)
Svchost.exe是一个棘手的程序-为了完成一些基本的网络任务它需要进行互联网连接,但是给它完全的权限又会把系统至于RPC(例如Blaster、Welchia/Nachi等蠕虫)泄漏的危险之中。给这个程序创建合适的规则也就变得格外的重要。
Allow DNS(UDP):协议 UDP,远程端口 53,远程地址 <你的ISP的DNS服务器地址,允许
Allow DNS(TCP):协议TCP,方向 出站,远程端口 53,远程地址 <你的ISP的DNS服务器地址,允许
Possible Trojan DNS(UDP):协议 UDP,远程端口 53,禁止并且报告
Possible Trojan DNS(TCP):协议 TCP,方向 出站,远程端口 53,禁止并且报告
●DNS规则 - 可在D1部分中查看详情,只有在DNS客户端服务没有被禁止的情况下才需要这些规则,因为此时svchost.exe才会进行查找工作;
●因为此处只需要一条TCP规则,此规则被设定为“允许”;
●因为某些木马程序试图把它们的活动伪装成DNS查询,推荐把任何试图与DNS服务器以外的地址进行连接的尝试视为可疑-Trojan DNS规则将报告类似的连接。如果连接是合法的(如果你的ISP更换了DNS服务器地址这些“允许”规则需要及时进行更新)则对其做出报告很容易导致网络失去连接,此时应该从禁止日志中查明原因。
Block Incoming SSDP:协议 UDP,本地端口 1900,禁止
Block Outgoing SSDP:协议 UDP,远程端口 1900,禁止
●这些规则屏蔽了用于在局域网中查找即插即用设备(UPnP)的简单服务搜寻协议(SSDP)。由于即插即用设备会导致许多安全问题的出现,如非必要最好还是将其禁用-如果必须使用的话,则把这些规则设为“允许”。如果最后的“Block Other UDP”规则也被采用,即可防止SSDP起作用,所以这些规则是建议配置。
Block Incoming UPnP:协议 TCP,方向 入站,本地端口 5000,禁止
Block Outgoing UPnP:协议TCP,方向 出站,远程端口 5000,禁止
●这些规则屏蔽了UPnP数据包-如同上面关于SSDP的规则,如果你非常需要UPnP则把规则改为“允许”,可是一定要把UPnP设备的IP地址设为远程地址以缩小其范围。如果最后的“Block Other TCP”的规则被采用,即可防止UPnP起作用,所以这些规则是建议配置。
Block RPC(TCP):协议 TCP,方向 入站,本地端口 135,禁止
Block RPC(UDP):协议 UDP,本地端口 135,禁止
●这些规则实际上是默认的全局规则中关于屏蔽RPC/DCOM通讯的规则拷贝-所以在这里并不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM连接,则把这些规则改为“允许”,不过仅限于信任的远程地址。
Allow DHCP Request:协议 UDP,远程地址 <ISP的DHCP服务器地址,远程端口 BOOTPS,本地端口 BOOTPC,允许
●DHCP规则-请至D2部分查看详情(如果使用的是固定IP地址则不需应用此规则-通常只有在私有局域网内才会如此)。因为svchost.exe会对DHCP查询作出回应所以这条规则是必需的-由于应用了最后的“Block Other TCP/UDP”规则,全局DHCP规则此时并不会起作用。
Allow Help Web Access:协议TCP,方向 出站,远程端口 80,443,允许
●Windows帮助系统可能会通过svchost.exe发起网络连接-如果你不想使用帮助系统(或者是不希望微软知道你何时使用的)则可以略过本规则。
Allow Time Synchronisation:协议 UDP,远程端口 123,远程地址 time.windows.com,time.nist.gov,允许
●用于时间同步-只有当你需要用到Windows XP这个特性时才需要创建该规则。
Block Other TCP Traffic:协议TCP,方向 出站,禁止
Block Other TCP Traffic:协议 TCP,方向 入站,禁止
Block Other UDP Traffic:协议 UDP,禁止
●把这些规则设定在规则列表的最下面-它们会阻止未设定规则的服务的规则向导弹出窗口。未来所添加的任何规则都应该置于这些规则之上。
商业用户请参考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系统服务所需放行的额外端口信息。
Services.exe(Windows 2000系统独有)
Allow DNS(UDP):协议UDP,远程端口 53,远程地址 <你的ISP的DNS服务器地址,允许
Allow DNS(TCP):协议 TCP,方向 出站,远程端口 53, 远程地址 <你的ISP的DNS服务器地址,允许
Possible Trojan DNS(UDP):协议 UDP,远程端口 53,禁止 并且报告
Possible Trojan DNS(TCP):协议 TCP,方向 出站,远程端口 53,禁止 并且报告
●DNS规则-请至D1部分查看详情。只有当“DNS客户端服务”没有被停用时才需要上述规则,因为此时services.exe将会接手查找工作;
●因为这里只需要TCP规则,所以操作设定为“允许”;
●与svchost规则一样,“Possible Trojan”规则在拦截到连接其它地址的企图时会作出报告。
Allow DHCP Request:协议 UDP,远程地址 <ISP的DHCP服务器地址,远程端口 BOOTPS,本地端口 BOOTPC,允许
●DHCP规则-请至D2部分查看详情(注意如果使用的是静态IP则不需设置-通常只有私有局域网中才会如此)。需要设置的原因同上述svchost.exe。
Block Other TCP Traffic:协议 TCP,方向 出站,禁止
Block Other TCP Traffic:协议 TCP,方向 入站,禁止
Block Other UDP Traffic:协议 UDP,禁止
●把这些规则列到最下面-它们会阻止未设定的程序的规则向导窗口弹出,任何后续添加的规则均需列到这些规则上方。
与上面的svchost.exe一样,商业用户请参考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系统服务所需放行的额外端口信息。
Outpost 升级服务
除了DNS规则外,Outpost 2.0不再需要额外的网络连接,Outpost 2.1及后续版本可以从Agnitum下载新闻和插件信息。应用此功能需要作出如下设定:
Allow Outpost News and Plugin Info:协议 TCP,方向 出站,远程端口 80,远程地址 http://www.agnitum.com/,允许
还可以使用一条类似的规则用于程序的升级:
Allow Agnitum Update:协议 TCP,方向 出站,远程端口 80,远程地址 http://www.agnitum.com/,允许
网络浏览器(Internet explorer,Netscape/Mozilla,Opera,等)
Outpost的自动配置功能以及预设规则为浏览器提供了比较宽松的设置-对于大多数用户来说可以将其进一步强化如下:
Allow Web Access:协议 TCP,方向 出站,远程端口80,允许
Allow Secure Web Access:协议 TCP,方向 出站,远程端口 443,允许
●上述规则允许了建立标准(HTTP)和加密(HTTPS)网络连接。如果你使用了代理并且想使所有信息都流经代理,则可考虑将上述规则设为“禁止”,注意此类代理将需要单独为其设立一条规则(具体设定取决于代理所以此处不再作详细说明)。
Allow Alternate Web Access:协议 TCP,方向 出站,远程端口 8000,8010,8080,允许
●某些网站可能会把连接转到其它远程端口(比如8080-在URL中以h
