8Signs Firewall 是一款简单易用的软件(jiàn)网络防(fáng)火墙,使用它(tā),可以帮助你限制非法的网络(luò)连接访问本地资源,或者也(yě)可(kě)以帮助你限(xiàn)制本地电脑访问网络(luò)中的(de)不良资源(yuán)!
主界面如下图:
左边为控制窗口(kǒu)区,给你一个快速接入到所有(yǒu)的设置和(hé)状态的区域(yù)。右边(biān)的窗口即是显示详细信息的区域。
控制窗口区:
Network Adapters:对监测的网卡进行配置和(hé)设置规则的地(dì)方,可以为不同(tóng)的网卡建立(lì)不同(tóng)的规则(zé),设置不同(tóng)的策略。这是(shì)我将要详细说明的(de)地方。
Ban List:被拖入黑名单的IP清单;
Tarpit:即我们所说的陷(xiàn)阱,所有被困住的IP都在这个地(dì)方可以看到。
Ports:本机端口使用情况,这里可(kě)以(yǐ)详细看(kàn)到(dào)目前所有程序使用端口的(de)情况。
Connections:即本机目前与网(wǎng)络的连接情况;
Log:日(rì)志显示。
如果你使用了服务器(qì)版本的远程管理功能(néng),你已连接的任意远端防火墙系统也在这(zhè)个控制窗口区出现。这(zhè)个功能我(wǒ)不打算本次详谈。
防火墙的全局参数配置:
依次点击菜单栏(lán)的(de)view---settings..会出(chū)现如下窗口:
log file区:设置log文件的存放地址(zhǐ)、大小、开(kāi)始新(xīn)LOG文件的(de)时间以及是否给你邮(yóu)寄LOG文件;
Startup区:设置(zhì)8SIGNS FIREWALL是否随(suí)系(xì)统启动;
Shutdown区(qū):当关闭系(xì)统(tǒng)时是否需要确认防火(huǒ)墙的关闭;
Administration区:当允许防火(huǒ)墙远程接入控制时在这里配置接入(rù)密码(mǎ)和端(duān)口;(注意,远程接入控制功能的实(shí)现还(hái)需要另(lìng)下载(zǎi)一个软件)
When Not Running区:当防火墙没有(yǒu)运行时,是允(yǔn)许所有通信还是阻止所有通信就在(zài)这个地方(fāng)设置。(这个功能也(yě)不错,你(nǐ)就不怕被病毒、木马(mǎ)意外终止防(fáng)火(huǒ)墙而偷偷(tōu)传送数据(jù)出去(qù))
When Running区:防火(huǒ)墙运行时是采用“过滤”功能还是“允许所(suǒ)有适配器的所(suǒ)有(yǒu)通信”或“阻止所有适配器的所有(yǒu)通信(xìn)”。当然我们(men)选择“过滤(lǜ)”功(gōng)能,“允许所有(yǒu)”、“阻止所有”作为应急(jí)措施(shī),我们有(yǒu)更方便的(de)快捷(jié)方(fāng)式,这个在后面的说明中将(jiāng)会(huì)提及。刚上手8SIGNS时(shí)对规则制(zhì)订不太清(qīng)楚时,在这(zhè)里可以开启(qǐ)“学习(xí)模(mó)式”。
适(shì)配器(qì)配置:
8SIGNS 除检测到系统安(ān)装的所有物理网卡以外,还有(yǒu)个Dial_Up Adapter,凡是(shì)使用拨号上网的用户,配(pèi)置规则就要(yào)在这个(gè)地(dì)方设置,而实际的网卡需要(yào)设置为(wéi)“允许所有”;但非拨号用户,如(rú)LAN用户等配置规则一定要在实际使(shǐ)用的那个物理网卡上配置。
1、 状态(tài)包检查(chá);
2、 Tarpits;(这个功(gōng)能非常(cháng)有用,允许你为黑客设(shè)置陷阱(jǐng),减缓“蠕虫”病毒的传播(bō)速度和(hé)阻止(zhǐ)垃圾信(xìn)息的散发。通过设(shè)置(zhì)Tarpits,你的(de)系统接受(shòu)外(wài)部TCP的(de)连接,但(dàn)从不回答也从不理睬它的它关闭(bì)连接的(de)请求。这样一直耗着HACKER的资源(yuán),困陷其达几小时到几天不等。“以(yǐ)其人之道还其人(rén)之身”,这是8SIGNS FIREWALL的特(tè)色之一(yī))
3、 端口扫(sǎo)描侦察(仅服务器版);
4、 SYN洪水泛滥侦察;(也就是防止DDoS攻击)
5、 远(yuǎn)程管(guǎn)理(仅(jǐn)服(fú)务(wù)器版);
6、 IP地址禁止清单;(也即黑名(míng)单功能(néng))
7、 HTTP过(guò)滤;
8、 基于MAC地址(zhǐ)的过滤;
通(tōng)过与其他包过滤类(lèi)防火墙(如:LNS等)比较,8SIGNS FIREWALL的优点表现在:
1、 Tarpits;
2、 Port Scan Dtection;
3、 SYN Flood Dtection;
4、 IP Address Ban List;
5、 规则控制灵活、设置简单,用户容(róng)易上手,并且(qiě)可以设置每个规则的生效时间段;
6、 支(zhī)持多网卡;
在Controls区:
要想放(fàng)行本(běn)适(shì)配(pèi)器的所有通信就选择(zé)“Allow all traffic on this adapter”,想(xiǎng)阻止本适(shì)配器的所有通信就选择(zé)“Block all traffic on this adapter”.这两(liǎng)个(gè)选项的功能还是比(bǐ)较实(shí)用的。这(zhè)里(lǐ)也许有(yǒu)人要说了“这有什么实用的(de)?其他(tā)不提供(gòng)该(gāi)功能的包状态(tài)检测(cè)防火墙一样可以实现这个功能,只要在最(zuì)上(shàng)面加一条允许(xǔ)所有(yǒu)通信或阻(zǔ)止(zhǐ)所有通信不就成(chéng)了?”这个想法没错,不过没考虑到占用资源及对(duì)网络流量影响的情况。在(zài)遇到(dào)网(wǎng)络大流量的情(qíng)况,加一条允许(xǔ)所有通信的规(guī)则,这(zhè)需(xū)要防(fáng)火(huǒ)墙耗费系统(tǒng)资源比(bǐ)对过滤、检测该规(guī)则,会明(míng)显影响网络数据的传(chuán)送(sòng)速(sù)度;而8SIGNS的这个选项是直接跳过防火(huǒ)墙的监测,网(wǎng)络直接与系统通信,所以不会(huì)对网络速度造成影响。(这是对单个网卡设置的地(dì)方(fāng),如果要对所有(yǒu)网卡临时(shí)允许(xǔ)或阻止所有通信,只需要在系统(tǒng)状态栏8SIGNS RIREWALL的标(biāo)识上点右键,选择“Allow All Traffic”或“Block All Traffic”即可。)
“Filter traffic on this adapter”即是根据(jù)本适配(pèi)器上的规则设置过滤通(tōng)信。“Use Stateful Inspection”即是(shì)使用状态包检测功能。状态包检测是(shì)8SIGNS FIREWALL的安全机制的核心,在非特殊需要的(de)情况下请不要随意禁止它。禁止了(le)状态包检测,8SIGNS的行(háng)为就(jiù)只成了非常简单的包过滤(lǜ)了,每个包到达后,8SIGNS只简单地与规则进行比(bǐ)较(jiào),按规则(zé)设置的(de)行为只(zhī)做放行或拦截的动作。而启用状态(tài)包检测功能后,8SIGNS不但要与规则进行比较,而且还要判断该连接行(háng)为是否(fǒu)合法,如果不合(hé)法,就是规则允(yǔn)许也(yě)不会放行(háng)的。但(dàn)8SIGNS FIREWALL只支持对(duì)TCP协议(yì)的状态包检测,对(duì)其他协(xié)议不(bú)支持。
Advanced:在(zài)这里(lǐ)设置默(mò)认的过滤选(xuǎn)项。点击该按钮将出现(xiàn)如下界(jiè)面:
8SIGNS FIREWALL提供了丰富的协(xié)议设(shè)置,不但(dàn)有(yǒu)通用的TCP/UDP/ICMP/ARP/RARP外,还提供256种IP协议及上面未(wèi)提(tí)及到的所(suǒ)有其他协议类型。这里设置当该适(shì)配器检测到一个数(shù)据包,不能与已有的(de)所有规则相匹配时,默认情况下是(shì)允许呢还(hái)是拦(lán)截?以及是否要(yào)记录日志?Block旁边(biān)打上对号就是默认(rèn)行为为拦(lán)截,无对号就(jiù)是默认放行。“Steteful Inspection”只对TCP协议有效,也(yě)就是(shì)前面(miàn)所说的“Use Stateful Inspection”的(de)选项。“Sequence Number Hardening”是(shì)另一个特别重(chóng)要的安(ān)全机制,所(suǒ)以非特殊(shū)需要一般不要取(qǔ)消,该功能(néng)通过改进序号产(chǎn)生(shēng)的随机性,帮助保护WINDOWS避免通过最初序号猜测而进(jìn)行的TCP欺骗连接。“Connection Timeout”非活跃TCP连接超时600秒(10分钟)自动(dòng)断开连(lián)接,当然你也可以设置(zhì)为别的(de)超(chāo)时时间,建议选此。
Configuration图右边部分为端口开放情况的直观(guān)显示,通过拉动(dòng)ZOOM IN/OUT,可(kě)以直观看(kàn)到0-65535范围内任意区(qū)域的(de)本地、远端的TCP/UDP端口开放情况,红(hóng)色表示端(duān)口关闭,绿色表(biǎo)示端口开放。Rule# [Port]内显示的是该区域中(zhōng)规则设置情况(即第几条规则,设(shè)置的(de)是什么端口(kǒu)),点(diǎn)击某个(gè)规则(zé)后可(kě)以在(zài)左边的(de)窗(chuāng)口看到该规则的详细设置。
在主(zhǔ)界面控制(zhì)窗(chuāng)口区点选某个适(shì)配器(qì)的RULES,我们(men)就可以(yǐ)进行本适配(pèi)器的规则设置了,具体图形如下示(shì):
8SIGNS FIREWALL对规则的分(fèn)类比较(jiào)详细,从图就(jiù)可以看出(chū)。 TCP/UDP/ICMP好理解(jiě),不多(duō)做说明;ARP地址解析协议,是将IP地(dì)址转换为网(wǎng)卡的物理MAC地(dì)址,在局域网中允许该协议是必须(xū)的;RARP是反地(dì)址解析协议,刚(gāng)好与ARP协议相(xiàng)反,是由计(jì)算(suàn)机的(de)物(wù)理(lǐ)网卡地址寻找到它的INTERNET IP地址;MAC Address 即Media Access Control address,不说大家也知道—连(lián)接网络的(de)设备的(de)物理地址,用一个48-bit的十六进(jìn)制数(shù)表(biǎo)示。
默认情(qíng)况下,8SIGNS FIREWALL带有四个(gè)标准规则,分别是(shì)StandardDialupRules、StandardInternetRules、StandardLANRules、StandardRules,根(gēn)据自己的使用情况,通过(guò)点击(jī)工具栏的“Import”按钮可以(yǐ)导入相(xiàng)应规(guī)则(zé),当然也可以用此导入外部(bù)规(guī)则。然(rán)后在此基础上再建立属于自己的(de)规则。
