DeerField Visnetic Firewall 配置指南 (多图)
点击这里下载DeerField Visnetic Firewall 2.2.5及本文chm格式文档。
http://www.bitipcman.com/pub/software/DeerField_Visnetic_Firewall_2.2.5/
提到 DeerField 公司,估计没多少人听说过。但是提起大名鼎鼎的“ WinRoute ”,想必大家都知道了吧。Visnetic Firewall 是 DeerField 出品的一款软件防火墙。 相对于BlackICE等常见防火墙,他有着抗SYN攻击、防端口扫描、自动屏蔽IP、HTTP过滤等强大功能。
安装工作最好在服务器本地进行。目前的Visnetic防火墙尚不支持终端服务方式运行,只可在服务器本地进行管理,所以请使用WinVNC、Pcanywhere等屏幕遥控软件来操作防火墙。这里我们强烈推荐使用VNC。
安装文件包括三个部分:
vfsetup.exe -- 主程序文件
sn.txt -- 序列号文件
rules -- 规则目录,里边包括预先定义的最小化的防火墙规则
安装前先检查服务器的网卡与拨号连接。DeerField Visnetic Firewall是基于适配器的防火墙,对每个网络连接如网卡、拨号连接都需要捆绑相应的规则,所以首先需要确定工作中的网卡,最好将另外一块网卡禁用。
双击vfsetup.exe开始安装。
-----------------------
详细内容见评论。
点击下一步继续。
同意安装协议。
输入用户信息和注册码。
注册码在sn.txt中。
设置安装目录。
设置开始菜单中快捷方式的项目名称。
点击Install开始复制文件。
复制文件完成。下面进入关键一步,初始化防火墙规则。
注意:如果初始化时候配置错误,那么将有可能无法连接服务器。
这里选择第四项:“我有已经存在的规则,并且希望导入到每个网络适配器”。
首先提示给第一块网卡导入一个规则。
这个时候进入安装目录中的rule目录中,可以看到里边包括2个默认rule文件:
pcanywhere.rls
vnc.rls
在pcanywhere.rls定义的规则中,开放了TCP 5631和UDP 5632端口。在vnc.rls定义的规则中,开放了TCP 5900端口。这些预先定义规则,可以确保通过网络进行远程安装时候,不会被防火墙屏蔽在外。这里导入规则时候,请根据您使用的远程操作方式来导入相应的规则。当防火墙完全安装好之后,再根据您的需要,开放相应的端口。
现在返回安装界面,安装程序提示要给第一块网卡导入规则,我们选择vnc.rls这个文件。
随后安装程序给第二块网卡导入规则,我们也选择vnc.rls这个文件。
最后系统提示给拨号连接导入规则,由于我们的服务器都是通过以太网卡连接的,所以这里无需导入,将地址栏留空,直接点击下一步即可。
现在系统会列出所有适配器和已经导入的规则。确认无误后,点击“Save”按钮保存设置。
选择是否启用远程管理功能。由于这个功能会让防火墙打开一个端口做监听,所以为了安全起见,关闭该功能。
选择是否自动启动防火墙,这里选择是。
选择当防火墙停止的时候,是否允许网络连接。这个选项对于一些敏感服务器很重要,当防火墙因为某些故障停止运行,那么就会切断所有网络连接,保证服务器是物理上隔绝的。但是相应也存在缺点,例如误操作停止了防火墙,或者防火墙因为配置错误没能启动,那么服务器就是完全隔绝网络的状态了。
通常选择“当防火墙没启动的时候,允许所有网络连接”。
安装完成。
选择重新启动使防火墙生效。在重新启动前运行防火墙,是看不到任何网络适配器的,无法管理防火墙。
至此安装完成。
现在我们可以通过vnc登陆到服务器上了,如图。
下边对防火墙进行基本设置。
注意:本防火墙工作在本地console状态下,即只能通过WinVNC或者Pcanywhere等屏幕遥控软件进行管理,终端服务、远程桌面等管理方式无效。
首先点击“View”,选择“Settings”。
找到Shutdown标签,将“确认防火墙关闭”一项去掉。如果启用了这个功能,那么在关闭系统的时候会提示“是否要关闭防火墙”,而这个设置将造成系统不能自行重新启动。
下边开始手动添加规则。这里仅以添加HTTP服务所需的80端口和终端服务所需的3389端口为例进行说明,其他端口的添加参照如下方法即可。
首先在“Network Adapters”网络适配器中找到当前正在使用的网卡(已经禁用的网卡不会显示)。
点击Rules,右侧将列出“TCP”、“UDP”等各种协议。现在协议中只有默认的5900端口允许外部连接,我们新建一条允许80端口被外部连接的协议。
点击菜单上的“Rules”,选择New。
在“Description”描述中,输入HTTP。这个描述内容可以任意填,一般就用协议名称了。
切换到第二个标签“Filtering”过滤器。第二个标签分成两个部分,本地地址端口与远程地址端口。
以添加HTTP访问为例:将本地地址选择为本机,端口为80;将远程地址选择为所有地址,端口选择为任意端口。
设置通信方向,只允许外部网络向本机的80端口发起连接,不允许本机的80向外部连接。
切换到最后一个“Actions”动作标签,将行为设置为“允许”。
最后点击确定,配置完成。
现在我们已经可以在TCP协议中看到了一条名字为“HTTP”新的规则。
点击菜单上的Save按钮进行保存。
下面启用HTTP过滤功能。注意,如果改功能是关闭的,启动这个功能需要重新引导系统。
点击“Edit HTTP filters”,进入详细配置。
默认进行监听的端口是80的端口。
在第二个标签“Methods”方法中,左侧是允许的方法,右侧是禁止的。也就是说,用户可以通过GET、HEAD、POST等方式来传递变量,而URL中是禁止出现CONNECT、DELETE等关键词的。这些关键词一般都是在攻击过程中必须用到的。
第三个标签“Extenseions”是扩展名的设置,即URL中包含对BAT、CMD等扩展名访问的时候,防火墙将禁止其访问。
最后一项过滤器,将对URL中的“SYSTEM32”、“CMD.EXE”、“%”等内容进行过滤。
注意,过滤掉“%”可能造成url无法传递中文,如果您的站点出现问题,请调整过滤器中的相关内容。
下边调整自动屏蔽功能。对于进行SYN攻击和端口扫描的用户,防火墙会自动屏蔽掉它的IP地址。我们也可以设置不屏蔽IP地址。
点击“Ban List”菜单,选择“Properties”。
下边调整自动屏蔽功能。对于进行SYN攻击和端口扫描的用户,防火墙会自动屏蔽掉它的IP地址。我们也可以设置不屏蔽IP地址。
点击“Ban List”菜单,选择“Properties”。
至此防火墙配置完成。
强!学习!
非常好。这样的认真,一定能做好每件事情。
学习 学习
好~~