BlackICE簡單設置應用圖文教程

更新時間：2007年05月29日 00:00:00 作者：

BlackICE是一個簡單的防火墻軟件，雖然你不可以指望他能抵御DDOS之類的攻擊，不過抵擋一下那些不學無術的家伙還是合格的。重要的是他有Server版，可以成為服務運行。

本來這個軟件設置非常簡單，不過依然有人在問，只好逞一下英雄滿足一下自己的虛榮心了。

安裝BlackICE

這個不需要說什么了吧，請看清楚，在服務器運行的話請使用Server版。

請注意，除非你非常了解并且能很方便的控制機器，這里應該選“AP Off”，這里的大意是是否監(jiān)控可運行程序(包括DLL)，如果你在這里選“AP On”?幕?，栽x滄巴瓿珊驜lackICE將會掃描一次你的系統(tǒng)，記錄下所有可執(zhí)行文件，如果以后他發(fā)現(xiàn)有新的沒有記錄過的可執(zhí)行文件被運行(被攻擊者上傳木馬)，或者這些被記錄的文件被改變(被攻擊者替換文件)，他將按照默認設置拒絕運行。一般來說，他第一次運行很可能會拒絕你的遠程管理軟件運行，所以特別建議新手選擇“AP Off”。

在以后的安裝過程里全部是Next。

BlackICE的配置

首先我們進入配置菜單

在Firewall選項選擇攔截所有非信任鏈接(Paranoid)。簡單說就是所有沒有特別設置允許的動作都被拒絕，同時禁止那些NetBIOS等服務器不需要的鏈接?；旧习凑障聢D設置就可以了。

在“Notifications”菜單選擇自動更新通知(Update Notifications)，建議設置為一天檢查一次(下圖是3天檢查一次)。

如果BlackICE發(fā)現(xiàn)有新的版本，將會在右上角顯示，看下圖紅圈處，當發(fā)現(xiàn)有新版本的時候建議盡快更新。

最后在“Intrusion Detection”做額外通行設置，個別系統(tǒng)例如DVBBS有時候會觸發(fā)BlackICE誤鳴，錯誤攔截用戶IP，遇到這這種情況的話，請查閱log檔檢查是什么激活攔截并在“Intrusion Detection”允許通行。下圖是DVBBS其中一個會觸發(fā)BlackICE誤鳴的其中一個動作。

BlackICE端口設置

首先當然是進入設置菜單

安全設置的基本道理其實就是只允許被允許特定的動作，其他所有動作拒絕。

以下是針對80端口的示范設置(允許所有ip通過TCP協(xié)議訪問指定端口)。

以下是指定端口只允許指定IP訪問的范例。

如果你需要允許某個IP段可以訪問，你可以在“IP”設置里設置為“1.1.1.1-2.2.2.2”，端口段也一樣。你也可以通過同樣的設置禁止某個IP或者某個IP段禁止訪問你的服務器，只需要在“All Addresse”選擇你要屏蔽的IP，“Type”選擇“IP”，“Mode”選擇“Reject”，“Duration of Rule”選擇你要屏蔽的時間就可以了。

補充常用端口和協(xié)議

HTTP 80 TCP

MSSQL 1433 TCP

MYSQL 3306 TCP

FTP 21 TCP

遠程桌面 3389 TCP

DNS 53 UDP

CS(反恐) 27015 UDP

全文完

Odin

2005.01.10

BlackIce簡單應用(20050723補充)

by:FreeShadow 20050723

F:空間用戶被ban或者web操作被Block

Q:BlackIce有autoblock設置，他在

的“Enable Auto-Blocking”。如果你真的覺得他很討厭的話，你可以考慮把前面的勾去掉，BlackIce將不再主動自動屏蔽，不過一般不建議這樣做。同樣，如果你選擇了打開該選項，那么你就要有心理準備，在你沒有預計的某個時候，你或者你的某個用戶會被某個策略Auto-Block掉。

該autoblock是由blockice安全策略自動引發(fā)，當blockice認為某個用戶(ip)的連接(可能是ftp、web例如在asp論壇刪除文章或者任何別的什么動作)屬于有嫌疑的不安全動作并在指定的時間內(nèi)發(fā)生超過blackice的安全閥值，blockice將自動block掉該ip 24小時。所以，如果你沒有辦法預計你的用戶是否有可能會引發(fā)blockice動作的話，建議你提前告訴他“如果連不上服務器，考慮換個公網(wǎng)ip，例如重新?lián)芴枴薄?/FONT>

如果你需要手工解除該autoblock的單個設置的話，可以按照如下操作