Computer: Windows: Software: Outpost
Agnitum Outpost Firewall 是款很簡單易用的防火牆軟體,它是以進行連線請求的「應用程式」為主,來建立允許或阻擋清單的,另外也有簡潔明嘹的 Log 資訊,設定方面也沒有啥特別困難的,幾乎只要你能在 Policy 和 Application 的設定上注意一下就不會有啥問題。
版本別
Outpost 共分為免費的 FREE ,以及付費授權的 PRO 兩種版本。
Agnitum Outpost Firewall FREE 1.0
版本: 1.0.1817.1645
十分陽春的版本,但是絕對是安全的,只要你的設定以及使用上無操作過失的話。(未來可能會有無視軟體防火牆的攻擊行為,或是對你的 Switch 等連線機器直接進行攻擊的行為,不過前者我不清楚,但是後者是跟軟體防火牆無關的,我會建議各位自行架設一台 NAT 主機或是買台好一點的 IP 分享器或很貴很貴的硬體防火牆之類的比較好,或者你也可以考慮不要跟別人共用區域網路。)
設定
在選單工具列的 Options 中可以設定以下各項。
Application
對應用程式的許可(Allow)與阻擋(Block)的設定法。
- 先安裝好,在執行後,右下工作列會有一個它的圖示,按右鍵, Policy 中,選 Rules Wizard ,有碰上時再設就好。
- 或者可以先到 Options --> Application 中,把可信任的程式全設到 Trusted applications 去,然後把 Policy 設為 Block Must Mode ,等碰上開不了的網頁再換 Rules Wizard 設定 Rules 就好。
- 總之無緣無故跳出來要你設的,就選 Blocked Once 啥的就好,沒事時就切 Block Must Mode 省得煩人。
- 另外我其實完全不建議各位把任何程式放到 Trusted applications 中。
- 若你是 firefox 跟 thunderbird 的使用者,建議開 Rules Wizard ,並把 System 中的 Global.... 的「Allow DNS Resolving」勾選起來使用。
- 注意,目前發現到了一個問題, Thunderbird 若在設定為可信任的應用程式時,卻不小心在某些情況按了 Blocked Once 的話,會無法正常地利用 Thunderbird 進行連線,這時好像到 Application 清單中把 Thunderbird 給刪除掉重新再設定就行了?總之這是因為 Mozilla 系的軟體會開一個 Localhost 的連線請求,但卻因為 Blocked Once 而造成無法正確運作,而因此所造成的問題的樣子。
常用的連線請求程式
本處是以 Windows XP 在裝好並進行連線後經常看到會跳出連線請求的程式為主來介紹的。
SVCHOST
WinXP在設了防火牆後,會有個SVCHOST.EXE的程序要求通過,該程序似乎是處理線上對時還有對外連線用的,不是什麼間諜程式的樣子,相關討論串如下,即是在討論239.255.255.250這個連線的問題。
討論串:uPNP broadcasts to 239.255.255.250
補述: svchost - svchost.exe - Process Information
不過也是有辦法把它解決掉的就是了,開啟「開始 → 執行」,或按「WindowKey - r」,輸入「services.msc」,然後把「登入身分」中,為「Local Service」和「Network Service」的「啟動類型」改成已停用,「狀態」則是改成「停止」,就可以不必經由此服務,一樣能夠正常上網。
(補註:重點在於 DNS Client 這項服務的樣子。)
如果你的 ISP 有提供 DNS Server 的 IP ,或是你是用有提供 DHCP 的寬頻的話,系統內建的 DNS Client 服務可以不開啟沒關係。
但是要注意,當你的電腦中有惡意程式在運作時, svchost 有可能被利用來進行私人資訊的盜流發送行為,而且有些惡意程式也會用看起來很像 svchost 的名稱來讓你不小心地把它誤認為是安全的程式。總之請多多注意看 Log 這樣。
ALG
這是 Windows XP 的系統內建防火牆,在「開始 → 執行」中輸入 services.msc 後,找 Application Layer Gateway Service 這項服務就是了。基本上是很好關掉的。
Plugin
就是所謂的外掛插件啦。
Ads
在此要說明一下用了 Outpost 之後看網頁會出現「AD-SIZE」的這個問題。
目前手上只有在用 Free 的,總之先 Show Outpost Firewall 出來,在上方的圖形工具列上,有個像鐵槌圖示的,在其右邊會有個向下箭頭,點下去會有個 Ad Blocking 啥的,那個就能設定要擋下怎樣大小的圖片和連往何處的網站了。
(補述:這必須要你有開啟該項 Plugin 時才會看到)
Attack Detection
可以記錄掃你的 Port 或是試圖與你的電腦連線的 IP 之類的訊息。
另外還可以設定要不要把入侵者阻擋掉之類的。
System
Global Application and System Rules
有項「Allow DNS Resolving」的 Allow 勾選起來是沒關係的,至於其它的 Allow 則是關掉也無妨,至於 Block 跟 Deny 的則是建議全勾選。
補述:在使用巴哈姆特電玩資訊站的 Telnet BBS 時,要等對方傳送使用者登入畫面過來要花上一分鐘十幾秒,這是因為巴哈在接在你的連線請求並準備要回傳之前,會先要你的 113 port 回傳資料,然後才會再回傳資料給你的樣子,所以這一分鐘之久的時間就是等待回應的應對時間這類的感覺的東西,你可以把 Allow Inbound Identification 給勾選起來就沒這個問題了,至於會不會造成其它安全漏洞嘛…我是覺得這應該不是那麼嚴重的問題啦。(我個人是選擇關閉這項目就是了)
ICMP
台灣區用戶若在 log 記錄中的 Allowed 出現以下的,好像是正常的現象。
這個似乎也是線上校時的??不過我想應該只是用來確認網路狀況用的吧。
( ICMP = Internet Control Message Protocol )
補述:當你在用 command line 輸入 ping 跟 tracert 的指令時,要記得把 Echo Reply 和 Echo Request 勾選起來才行。
來源 IT用語辞典 e-Words
資料 http://e-words.jp/w/icmp.html
來源 OutPost and 2ch
資料 http://www.geocities.jp/outpost_2ch/log/part14.html
ICMP Traffic n/a 202.97.35.141 (resolving...) Time Exceeded for a Datagram/0 Inbound ICMP
ICMP Traffic n/a 202.97.41.197 (resolving...) Time Exceeded for a Datagram/0 Inbound ICMP
ICMP Traffic n/a 202.97.35.141 Time Exceeded for a Datagram/0 Inbound ICMP
ICMP Traffic n/a 61.132.220.1 Time Exceeded for a Datagram/0 Inbound ICMP
ICMP Traffic n/a 61.140.8.42 Time Exceeded for a Datagram/0 Inbound ICMP