outpost防火墙安全配置.docVIP

Agnitum Outpost Firewall Pro是一个受到越来越多用户喜爱和关注的优秀防火墙，占用资源相对较小，设置灵活方便，稳定强悍，可以算得上个人防火墙中的佼佼者了。东西虽好，可是很多人在使用中只是让软件的默认设置在发挥作用，而防火墙的默认设定往往更侧重于兼容性方面的考虑，想让防火墙更好的发挥作用，就需要你根据自己的网络情况作出调整和配置。正好官方论坛中有一篇相关文章，编译出来和大家一起学习交流。特此感谢原作者和Outpost论坛。文中涉及到的Outpost选项的中文名称出自Silence的2.7.485.540 1 (412)版汉化。导论：本文是为了帮助Outpost防火墙的用户建立一个更安全、对微机的流出数据监控更加严密的网络连接。随着越来越多的软件喜欢在用户不知情的情况下向“老家”传送信息以及花样翻新层出不穷的木马和病毒企图把它们的活动伪装成正常的网络通讯，对网络的流出信 息进行监控和限制逐渐与对流入企图进行限制处在了同等重要的地位。因为本文涉及到了对默认规则的调整，用户最好事先对Outpost防火墙已经有一定熟悉度（按：并且最好对一些基本的网络知识和术语也有所了解）。安全性和方便性永远无法两全，这就需要你根据自己的实际情况做出取舍－下文中一些改动可能需要你完成大量的调整工作，也会让你的某些行为（如更换ISP）变得困难的多。某些（尤其是商业／企业的）网络环境可能会导致文中某些部分出现问题，请在实施改动前详 细阅读各个项目的优点和缺点－如果有疑问可以试着每次只进行一项改动然后进行详尽的测试，分析Outpost的相关日志（尤其是被禁止连接的日志），以便做出进一步的决策。本文中的推荐更多是基于安全性而不是方便性的考虑。最后，请注意本文档并不是出自Agnitum公司，Agnitum公司也不对本文进行技术支持，相关问题和讨论请在Outpost防火墙论坛提出，而不要与Agnitum公司直接联系。Outpost免费版用户注意：文中涉及的设置没有在免费版中进行测试，某些部分（如关于全局规则设置的D小节）也无法部署（由于免费版中全局规则只能被禁用而无法修改），而某些特性（如组件控制）也是在Outpost Pro v2以后才出现的，然而文中涉及的方法仍然会对此类用户系统安全性的提高起到一定的参考作用。A － 局域网设置（位于“选项／系统／局域网设置／设置”）改动收益：通过限制特权用户的连接来提高安全性。付出代价：需要进行更多的设置和维护工作，尤其是对大型局域网来说。本设置指定哪些IP段需要被认定为“可信用户”。从安全性的角度来说，这里列出的IP段越少越好，因为对这些地址流入流出的数据可能会漠视所有应用程序规则和全局规则而得以通行。（请查阅Outpost Rules Processing Order获知详情）对非局域网用户来说，本部分没有考虑的必要。这种情况下可以去掉对“自动检测新的网络设置”的钩选以防止Outpost自动添加默认设置。本部分设置只须处于如下环境的微机加以考虑：● 位于局域网（LAN）中，并且带有需要共享的文件或者打印机的微机；● 位于局域网中并且需要通过网络应用程序进行连接，但是无法通过应用程序规则设定完成工作的微机；● 位于互联网连接共享网关上的微机，其应将每一个共享客户端的IP地址列为可信任地址。请查阅LAN and DNS settings for V2获知详情。上述任一种情况下由Outpost提供的默认网络设置都是过于宽松的，因为它总是假设同一网络中的任何微机都应该被包括在内。步骤：● 取消钩选“自动检测新的网络设置”以防止Outpost自动添加新的设置。注意如果日后安装了新的网卡，在此项禁止的情况下新的地址需要手动添加进去。● 逐个添加每个PC的地址（所添加项随后会以带网络掩码55的形式出现）。互联网地址绝不应该出现在该位置。● 钩选涉及到文件／打印机共享的微机后面的“NetBIOS”选项。● 钩选涉及到网络应用程序的微机后面的“信任”选项。如果你位于一个大型局域网内，逐个列出每个微机就是不太现实的了，此时一个可用的方案就是用Blockpost插件列出IP段然后屏蔽该IP段中不需要的地址（Blockpost插件允许用户定义任意IP段，这是Outpost现阶段还做不到的）。请注意局域网内的网络活动可能被“入侵检测”插件曲解为攻击行为。如果你遇到此问题（尤其是Windows网络中存在Browse Master和Domain Controller的情况下），请在本文F4部分查找通过插件设置避免问题的详细内容。B – ICMP设置（位于“选项／系统／ICMP／设置”）ICMP（Internet Control