深入剖析8Signs Firewall.docVIP

深入剖析8Signs Firewall 关于8Signs Firewall的简介，官方的介绍如下： 8Signs Firewall is a software firewall for administrators wanting to protect a Windows Internet server, and power users who want complete information and control over their network security. With these users in mind, the 8Signs Firewall includes features such as: ? Stateful Packet Inspection ? Tarpits ? Port Scan Detection – Server Only ? SYN Flood Detection ? Remote Administration Server Only ? IP Address Ban List ? HTTP Filtering ? MAC Address Filtering 概括起来就如下几点： 1、状态包检查； 2、Tarpits;(这个功能非常有用，允许你为黑客设置陷阱，减缓“蠕虫”病毒的传播速度和阻止垃圾信息的散发。通过设置Tarpits,你的系统接受外 部TCP的连接，但从不回答也从不理睬它的它关闭连接的请求。这样一直耗着HACKER的资源，困陷其达几小时到几天不等。“以其人之道还其人之身”，这 是8SIGNS FIREWALL的特色之一) 3、端口扫描侦察（仅服务器版）； 4、SYN洪水泛滥侦察；（也就是防止DDoS攻击） 5、远程管理（仅服务器版）； 6、IP地址禁止清单；（也即黑名单功能） 7、HTTP过滤； 8、基于MAC地址的过滤； 通过与其他包过滤类防火墙（如：LNS等）比较，8SIGNS FIREWALL的优点表现在： 1、Tarpits; 2、Port Scan Dtection; 3、SYN Flood Dtection; 4、IP Address Ban List; 5、规则控制灵活、设置简单，用户容易上手，并且可以设置每个规则的生效时间段； 6、支持多网卡； 当然也有几个缺点很明显： 1、无应用程序过滤功能； 2、规则不能同应用程序捆绑结合起来； 3、状态包检测只提供TCP协议的检测，不提供UDP等别的协议的状态包检测功能。 资源占用：8SIGNS FIREWALL内存占用一般在6M左右，最高时发现有10M，CPU基本没有。所以说占用情况还比较理想，特别作为一款服务器使用的软墙，完全可以接受。请看我的机子的资源占用情况： 安装过程就不用说了，我们主要谈谈它的功能、设置等方面的问题： 主界面如下图： 左边为控制窗口区，给你一个快速接入到所有的设置和状态的区域。右边的窗口即是显示详细信息的区域。 控制窗口区： Network Adapters:对监测的网卡进行配置和设置规则的地方，可以为不同的网卡建立不同的规则，设置不同的策略。这是我将要详细说明的地方。 Ban List:被拖入黑名单的IP清单； Tarpit:即我们所说的陷阱，所有被困住的IP都在这个地方可以看到。 Ports:本机端口使用情况，这里可以详细看到目前所有程序使用端口的情况。 Connections:即本机目前与网络的连接情况； Log:日志显示。 如果你使用了服务器版本的远程管理功能，你已连接的任意远端防火墙系统也在这个控制窗口区出现。这个功能我不打算本次详谈。 防火墙的全局参数配置： 依次点击菜单栏的view—settings..会出现如下窗口： log file区：设置log文件的存放地址、大小、开始新LOG文件的时间以及是否给你邮寄LOG文件； Startup区：设置8SIGNS FIREWALL是否随系统启动； Shutdown区：当关闭系统时是否需要确认防火墙的关闭； Administration区：当允许防火墙远程接入控制时在这里配置接入密码和端口；（注意，远程接入控制功能的实现还需要另下载一个软件） When Not Running区：当防火墙没有运行时，是允许所有通信还是阻止所有通信就在这个地方设置。（这个功能也不错，你就不怕被病毒、木马意外终止防火墙而偷偷传送数据出去） When Running区：防火墙运行时是采用“过滤”功能还是“允许所有适配器的所有通信”或“阻止所有适配器的所有通信”。当然我们选择“过滤”功能，“允许 所有”、“阻止所有”作为应急措施，我们有更方便的快捷方式，这个在后面的说明中将会提及。刚上手8SIGNS时对规则制订不太清楚时，在这里可以开启 “学习模式”。 适配