" />
8Signs Firewall 是一款簡單易用的軟件網(wǎng)絡(luò)防火墻,使用它,可以幫助你限制非法的網(wǎng)絡(luò)連接訪問本地資源,或者也可以幫助你限制本地電腦訪問網(wǎng)絡(luò)中的不良資源!
主界面如下圖:
左邊為控制窗口區(qū),給你一個快速接入到所有的設(shè)置和狀態(tài)的區(qū)域。右邊的窗口即是顯示詳細信息的區(qū)域。
控制窗口區(qū):
Network Adapters:對監(jiān)測的網(wǎng)卡進行配置和設(shè)置規(guī)則的地方,可以為不同的網(wǎng)卡建立不同的規(guī)則,設(shè)置不同的策略。這是我將要詳細說明的地方。
Ban List:被拖入黑名單的IP清單;
Tarpit:即我們所說的陷阱,所有被困住的IP都在這個地方可以看到。
Ports:本機端口使用情況,這里可以詳細看到目前所有程序使用端口的情況。
Connections:即本機目前與網(wǎng)絡(luò)的連接情況;
Log:日志顯示。
如果你使用了服務(wù)器版本的遠程管理功能,你已連接的任意遠端防火墻系統(tǒng)也在這個控制窗口區(qū)出現(xiàn)。這個功能我不打算本次詳談。
防火墻的全局參數(shù)配置:
依次點擊菜單欄的view---settings..會出現(xiàn)如下窗口:
log file區(qū):設(shè)置log文件的存放地址、大小、開始新LOG文件的時間以及是否給你郵寄LOG文件;
Startup區(qū):設(shè)置8SIGNS FIREWALL是否隨系統(tǒng)啟動;
Shutdown區(qū):當(dāng)關(guān)閉系統(tǒng)時是否需要確認防火墻的關(guān)閉;
Administration區(qū):當(dāng)允許防火墻遠程接入控制時在這里配置接入密碼和端口;(注意,遠程接入控制功能的實現(xiàn)還需要另下載一個軟件)
When Not Running區(qū):當(dāng)防火墻沒有運行時,是允許所有通信還是阻止所有通信就在這個地方設(shè)置。(這個功能也不錯,你就不怕被病毒、木馬意外終止防火墻而偷偷傳送數(shù)據(jù)出去)
When Running區(qū):防火墻運行時是采用“過濾”功能還是“允許所有適配器的所有通信”或“阻止所有適配器的所有通信”。當(dāng)然我們選擇“過濾”功能,“允許所有”、“阻止所有”作為應(yīng)急措施,我們有更方便的快捷方式,這個在后面的說明中將會提及。剛上手8SIGNS時對規(guī)則制訂不太清楚時,在這里可以開啟“學(xué)習(xí)模式”。
適配器配置:
8SIGNS 除檢測到系統(tǒng)安裝的所有物理網(wǎng)卡以外,還有個Dial_Up Adapter,凡是使用撥號上網(wǎng)的用戶,配置規(guī)則就要在這個地方設(shè)置,而實際的網(wǎng)卡需要設(shè)置為“允許所有”;但非撥號用戶,如LAN用戶等配置規(guī)則一定要在實際使用的那個物理網(wǎng)卡上配置。
1、 狀態(tài)包檢查;
2、 Tarpits;(這個功能非常有用,允許你為黑客設(shè)置陷阱,減緩“蠕蟲”病毒的傳播速度和阻止垃圾信息的散發(fā)。通過設(shè)置Tarpits,你的系統(tǒng)接受外部TCP的連接,但從不回答也從不理睬它的它關(guān)閉連接的請求。這樣一直耗著HACKER的資源,困陷其達幾小時到幾天不等。“以其人之道還其人之身”,這是8SIGNS FIREWALL的特色之一)
3、 端口掃描偵察(僅服務(wù)器版);
4、 SYN洪水泛濫偵察;(也就是防止DDoS攻擊)
5、 遠程管理(僅服務(wù)器版);
6、 IP地址禁止清單;(也即黑名單功能)
7、 HTTP過濾;
8、 基于MAC地址的過濾;
通過與其他包過濾類防火墻(如:LNS等)比較,8SIGNS FIREWALL的優(yōu)點表現(xiàn)在:
1、 Tarpits;
2、 Port Scan Dtection;
3、 SYN Flood Dtection;
4、 IP Address Ban List;
5、 規(guī)則控制靈活、設(shè)置簡單,用戶容易上手,并且可以設(shè)置每個規(guī)則的生效時間段;
6、 支持多網(wǎng)卡;
在Controls區(qū):
要想放行本適配器的所有通信就選擇“Allow all traffic on this adapter”,想阻止本適配器的所有通信就選擇“Block all traffic on this adapter”.這兩個選項的功能還是比較實用的。這里也許有人要說了“這有什么實用的?其他不提供該功能的包狀態(tài)檢測防火墻一樣可以實現(xiàn)這個功能,只要在最上面加一條允許所有通信或阻止所有通信不就成了?”這個想法沒錯,不過沒考慮到占用資源及對網(wǎng)絡(luò)流量影響的情況。在遇到網(wǎng)絡(luò)大流量的情況,加一條允許所有通信的規(guī)則,這需要防火墻耗費系統(tǒng)資源比對過濾、檢測該規(guī)則,會明顯影響網(wǎng)絡(luò)數(shù)據(jù)的傳送速度;而8SIGNS的這個選項是直接跳過防火墻的監(jiān)測,網(wǎng)絡(luò)直接與系統(tǒng)通信,所以不會對網(wǎng)絡(luò)速度造成影響。(這是對單個網(wǎng)卡設(shè)置的地方,如果要對所有網(wǎng)卡臨時允許或阻止所有通信,只需要在系統(tǒng)狀態(tài)欄8SIGNS RIREWALL的標識上點右鍵,選擇“Allow All Traffic”或“Block All Traffic”即可。)
“Filter traffic on this adapter”即是根據(jù)本適配器上的規(guī)則設(shè)置過濾通信。“Use Stateful Inspection”即是使用狀態(tài)包檢測功能。狀態(tài)包檢測是8SIGNS FIREWALL的安全機制的核心,在非特殊需要的情況下請不要隨意禁止它。禁止了狀態(tài)包檢測,8SIGNS的行為就只成了非常簡單的包過濾了,每個包到達后,8SIGNS只簡單地與規(guī)則進行比較,按規(guī)則設(shè)置的行為只做放行或攔截的動作。而啟用狀態(tài)包檢測功能后,8SIGNS不但要與規(guī)則進行比較,而且還要判斷該連接行為是否合法,如果不合法,就是規(guī)則允許也不會放行的。但8SIGNS FIREWALL只支持對TCP協(xié)議的狀態(tài)包檢測,對其他協(xié)議不支持。
Advanced:在這里設(shè)置默認的過濾選項。點擊該按鈕將出現(xiàn)如下界面:
8SIGNS FIREWALL提供了豐富的協(xié)議設(shè)置,不但有通用的TCP/UDP/ICMP/ARP/RARP外,還提供256種IP協(xié)議及上面未提及到的所有其他協(xié)議類型。這里設(shè)置當(dāng)該適配器檢測到一個數(shù)據(jù)包,不能與已有的所有規(guī)則相匹配時,默認情況下是允許呢還是攔截?以及是否要記錄日志?Block旁邊打上對號就是默認行為為攔截,無對號就是默認放行。“Steteful Inspection”只對TCP協(xié)議有效,也就是前面所說的“Use Stateful Inspection”的選項。“Sequence Number Hardening”是另一個特別重要的安全機制,所以非特殊需要一般不要取消,該功能通過改進序號產(chǎn)生的隨機性,幫助保護WINDOWS避免通過最初序號猜測而進行的TCP欺騙連接。“Connection Timeout”非活躍TCP連接超時600秒(10分鐘)自動斷開連接,當(dāng)然你也可以設(shè)置為別的超時時間,建議選此。
Configuration圖右邊部分為端口開放情況的直觀顯示,通過拉動ZOOM IN/OUT,可以直觀看到0-65535范圍內(nèi)任意區(qū)域的本地、遠端的TCP/UDP端口開放情況,紅色表示端口關(guān)閉,綠色表示端口開放。Rule# [Port]內(nèi)顯示的是該區(qū)域中規(guī)則設(shè)置情況(即第幾條規(guī)則,設(shè)置的是什么端口),點擊某個規(guī)則后可以在左邊的窗口看到該規(guī)則的詳細設(shè)置。
在主界面控制窗口區(qū)點選某個適配器的RULES,我們就可以進行本適配器的規(guī)則設(shè)置了,具體圖形如下示:
8SIGNS FIREWALL對規(guī)則的分類比較詳細,從圖就可以看出。 TCP/UDP/ICMP好理解,不多做說明;ARP地址解析協(xié)議,是將IP地址轉(zhuǎn)換為網(wǎng)卡的物理MAC地址,在局域網(wǎng)中允許該協(xié)議是必須的;RARP是反地址解析協(xié)議,剛好與ARP協(xié)議相反,是由計算機的物理網(wǎng)卡地址尋找到它的INTERNET IP地址;MAC Address 即Media Access Control address,不說大家也知道—連接網(wǎng)絡(luò)的設(shè)備的物理地址,用一個48-bit的十六進制數(shù)表示。
默認情況下,8SIGNS FIREWALL帶有四個標準規(guī)則,分別是StandardDialupRules、StandardInternetRules、StandardLANRules、StandardRules,根據(jù)自己的使用情況,通過點擊工具欄的“Import”按鈕可以導(dǎo)入相應(yīng)規(guī)則,當(dāng)然也可以用此導(dǎo)入外部規(guī)則。然后在此基礎(chǔ)上再建立屬于自己的規(guī)則。