荣大售后:bloodmelon - Jetico in ubuntu Way 之:牛刀小试
来源:百度文库 编辑:九乡新闻网 时间:2024/05/05 20:53:27
Jetico in ubuntu Way 之:牛刀小试
Sunday, 4. June 2006, 22:39
主题:Jetico in ubuntu Way 之:牛刀小试作者:ubuntu
版权声明:本文采用GNU Free Documentation License 简称GFDL,在遵守GFDL,非商用以及保留作者和版权声明的前提下,你可以任意转载本文。将本文用于商业用途请先联系作者,以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。
本文作者保留对违反本声明的行为进行法律诉讼的权利。
Jetico Personal Firewall 以后简称JPF。在我看来,它的规则设置并不复杂。无非是把已经公认的Network Rules和Aplication Rules用JPF自己的设置方式,重新设一遍而已。前提是你对TCP/IP协议和防火墙有点了解,对服务,对端口,对常用的程序有点认识。起码,你对照JPF的log能写出对应的应用程序规则。
嘿,看你说的那么容易,不能光说不练是吧。 那好,你看我怎么折腾的。
基本设置
设置JPF需要时间,耐心和细心,不具备以上条件的暂时不要装JPF啦。
安装之前的准备:
1.断开Internet。
2.卸载现有的防火墙,关闭XP自带防火墙。
3.全盘扫描病毒,或者至少扫描系统盘和访问网络的软件。
4.reboot
5.安装JPF。最后一步,一定要选择设置Trust Zone和Block Zone。
6.reboot
重启,看到有JPF的弹出窗口,说明你安装算是正常。JPF管这些弹出窗口叫学习模式,在我看来不是学习模式,是折腾模式,折磨模式。面对这一大堆窗口,好人也要挂掉。当然了,在没有规则模板,在不能由Log直接生成规则的情况下,那东西还是有用的。目前的情况是很多人只看排名,不看手册,只好用折磨模式,然后得出结论:JPF很烦,窗口N多。
我要做的第一件事,就是任务栏右下角JPF图标,把Security policy 设成Allow all,然后升级杀毒软件,开个浏览器如:Opera,把和JPF设置有关的网页打开。然后,改成Block all。插一句,使用非IE内核浏览器是个好习惯。
老有人说JPF记不住规则,那是你不会用,Option菜单和图里一样就可以啦。
我下面要做的是添加几条规则,阻止对135和445端口的访问。为什么? 因为,有人说JPF默认开放135和445端口,这是不对的。JPF的默认规则写的很专业,严谨且简洁。经过我在Shields Up和[url]http://scan.sygate.com的测试,这两个端口是Block/Stealth的,只要是默认规则。对于135和445的TCP访问,在JPF中是用ask,而不是用reject,所以会有对话框弹出,并且无论你是允许还是阻止都能通过测试。JPF同样处理的端口还有137-139。所以用不到上述端口的人,可以和我一样处理,加几条reject规则,避免窗口的骚扰。关于这几个端口的作用,大家可以谷歌。
不需要DCOM-RPC服务的,可以关闭135端口。拨号上网,不使用局域网的可以像我这样关闭137-139,445。局域网要使用NetBios服务,如果要访问的网段在Trusted Zone应该也可以关闭上述端口。
NetBIOS 使用下列端口:
UDP/137(NetBIOS 名称服务)
UDP/138(NetBIOS 数据报服务)
TCP/139(NetBIOS 会话服务)
137,138是udp端口。当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。
在Root-->Application Table-->Ask User 加一条屏蔽inbound connection 135-139端口的规则,如图:
Description:Block svchost port 135-139
Condition:
Application:c:\windows\system32\svchost.exe
Event:inbound connection
Protocol:TCP/IP
Local address:any
Local Port: from 135:139
Remote address:any
Remote Port:any
Action:reject
SMB 使用下列端口:
TCP/139
TCP/445
在Root-->Application Table-->Ask User 最上面加一条屏蔽inbound connection 445端口的规则,如图:
Description:Block System port 445
Condition:
Application:System
Event:inbound connection
Protocol:TCP/IP
Local address:any
Local Port : single port 445
Remote address:any
Remote Port:any
Action:reject
Block System inbound 139
Block System inbound 445
我为什么这样写规则。因为JPF手册里规则由Condition和Action组成,并且我加入了Description。
我建议以后其它人回答有关规则问题的时候,也使用相同的格式或者附图。
有兴趣的可以把上面的几条规则clone一下,将Event改为receive datagrams ,可以Block receive datagrams。
以上,只是展示下,Jetico怎么写规则,这叫第一印象。只是给新人看看而已,关于这些端口,还有更高效的组织规则的方式,那是以后的事。
Table入门篇
Jetico一个很重要的特点是:Rule Table。下面的很多内容都是围绕Table展开的。
接下来是浏览器Opera
用Opera的有福咯,不用Opera的也不要担心,规则是一样的。
JPF难得有几个预设规则,包括浏览器Web Browser和邮件客户端Mail Client。Opera强吧,又是浏览器,又是邮件客户端,还能BT。。。 其它IE,FF只能是浏览器。
直接修改Web Browser
如图:加一条允许浏览器ftp下载的规则,不喜欢的可以不加。你还可以加入81-83,3128,8080之类的。
要避免弹出提示窗口,加一条reject规则,可以不加。
Root-->Application Table-->Ask User 右边规则区 右键-->New Application rule加入Opera的规则,使用预设的Web Browser Table 如图:
那些没有Mail Client的浏览器就不用设置Mail Client啦。或者选择自己的Mail Client设置。记住要加到ask前面。
所以呀,要避免弹啊弹的,就要先设置模板规则,或者导入别人的设置,最好的办法就是参考以前防火墙的规则来设啦,比如OP论坛有一篇文章不错,我以后就参考它设置。
当然啦学习模式,无法避免,我们接下来看看通过对话框设置规则。
把Security policy 设成Optimal Protection,升级下杀毒软件,比如NOD32,首先,弹出如下窗口。两部分,一个是对事件的描述,程序名,事件,协议,规则所在的Table,是否记录日志,程序Hash;一个是如何处理事件,允许,阻止,用预设的规则处理,自定义规则,记住我的选择。
记住啦,要JPF记住规则的话,Remember my answer的勾要打上。 第一个事件,access to network如图处理。
第二个事件是outbound connection 到升级服务器的80端口,如图处理。
NOD32规则完成。
Table实战篇
那我的杀毒软件是KAV,Ewido,瑞X,金X或者其它的话,难到还要一个一个窗口和程序的去添加嘛?有没有偷懒的办法。当然有。
我们需要建立一个AntiVirus的Table,就像预设的Web Browser一样,不过是杀毒软件的通用规则而已。
右键Root-->Insert table,右键New table-->rename-->AntiVirus
左键AntiVirus,发现只有一条默认规则 continue。
Root-->Application Table-->Ask User,把NOD32的两条规则拖到Antivirus,记住左键拖是移动,右键拖是复制,我们用左键移动。
如图修改规则,把Application留空,这样就变成了通用规则。如果升级要用到ftp的话加一条Allow ftp的规则。
下面就可以到Ask User里添加一条NOD32规则
或者重新升级NOD32,在对话框里如图操作。
接下来,重复把其它杀毒软件都加进去。
通过学习模式设置IE
一般用下图:
使用Table的话是这样的:
小结:
为什么要用Table呢? 我直接在学习模式里一个一个设置,不是也挺好的。
我们可以假设一下:如果一个AntiVirus程序有10条规则,如果有10个这样类型的程序,就要100条规则。还不累死你。如果用了Antivirus Table的话,只需要20条规则,工作量是1:5。另外,JPF搜索规则的速度显然也会加快。还有,好多人说,一旦程序升级,JPF会让你把所有规则重新设置一遍,太麻烦了。显然,这些人还没入门,根本不懂得Table是干什么的。比如我的Opera升级啦,因为我使用了Web Browser Table,我当然不用把什么80,443,8080之类的再设一遍,我只要把Ask User里的那条Opera的规则里的Application重设一下,让它用新的Hash就可以了。
JPF规则包的最高境界就是规则基本上由通用的Table组成,并且尽量不使用Trusted Zone。
再加个QQ,算是完成了一个自己的基本JPF 规则。
要想继续折腾的,自己多摸索吧。
It's Jetico in Ubuntu Way!
本文所有规则仅供参考,由于个人情况不同,切勿完全模仿。
本文系作者原创,转载请保留原文地址:
http://my.opera.com/bloodmelon/blog/show.dml/284354
bloodmelon - Jetico in ubuntu Way 之:牛刀小试
bloodmelon - Jetico in ubuntu Way 之:去芜存菁
Something In The Way
The most distant way in the world
HOW TO : use DDMS in Ubuntu
::Ryegrass.Way 之 手工小站::
Part 1: A way of life in Montana
Out of spotlight, Yastrzemski stays in game his way
“Ubuntu is running in low-graphics mode”的错误
Installing OpenCV 2.1 in Ubuntu – Sebastian M...
Is Meat Inspection in UK Abattoirs in 2011 Still a Necessary and Cost-Effective Way of Protecting Pu
Supertall Architectural Projects To Be Built In China – 30 Buildings | Design your way
(转)ASCII 到UNICODE再到UTF8 - My Way In Programing - ItEye技术网站
a better way to solve the insufficient in TimedRun1可以处理线程中未捕获的异常
KISS way
way back into love(妮莎后续之重新找到爱)
一首带你进入完美意境的天籁之音On My Way Home
ubuntu nfs
Ubuntu 环境变量
Ubuntu中文
中文之妙(the beauty in Chinese)
Ubuntu安装过程之磁盘分区图文教程(新版见5楼──20070818更新)
girl's way
girl's way