BlackICE簡單設置應用圖文教程
更新時間:2007年05月29日 00:00:00 作者:
BlackICE是一個簡單的防火墻軟件,雖然你不可以指望他能抵御DDOS之類的攻擊,不過抵擋一下那些不學無術的家伙還是合格的。重要的是他有Server版,可以成為服務運行。
本來這個軟件設置非常簡單,不過依然有人在問,只好逞一下英雄滿足一下自己的虛榮心了。
安裝BlackICE
這個不需要說什么了吧,請看清楚,在服務器運行的話請使用Server版。

請注意,除非你非常了解并且能很方便的控制機器,這里應該選“AP Off”,這里的大意是是否監(jiān)控可運行程序(包括DLL),如果你在這里選“AP On”?幕?,栽x滄巴瓿珊驜lackICE將會掃描一次你的系統(tǒng),記錄下所有可執(zhí)行文件,如果以后他發(fā)現(xiàn)有新的沒有記錄過的可執(zhí)行文件被運行(被攻擊者上傳木馬),或者這些被記錄的文件被改變(被攻擊者替換文件),他將按照默認設置拒絕運行。一般來說,他第一次運行很可能會拒絕你的遠程管理軟件運行,所以特別建議新手選擇“AP Off”。
在以后的安裝過程里全部是Next。
BlackICE的配置
首先我們進入配置菜單

在Firewall選項選擇攔截所有非信任鏈接(Paranoid)。簡單說就是所有沒有特別設置允許的動作都被拒絕,同時禁止那些NetBIOS等服務器不需要的鏈接?;旧习凑障聢D設置就可以了。

在“Notifications”菜單選擇自動更新通知(Update Notifications),建議設置為一天檢查一次(下圖是3天檢查一次)。

如果BlackICE發(fā)現(xiàn)有新的版本,將會在右上角顯示,看下圖紅圈處,當發(fā)現(xiàn)有新版本的時候建議盡快更新。

最后在“Intrusion Detection”做額外通行設置,個別系統(tǒng)例如DVBBS有時候會觸發(fā)BlackICE誤鳴,錯誤攔截用戶IP,遇到這這種情況的話,請查閱log檔檢查是什么激活攔截并在“Intrusion Detection”允許通行。下圖是DVBBS其中一個會觸發(fā)BlackICE誤鳴的其中一個動作。

BlackICE端口設置
首先當然是進入設置菜單

安全設置的基本道理其實就是只允許被允許特定的動作,其他所有動作拒絕。
以下是針對80端口的示范設置(允許所有ip通過TCP協(xié)議訪問指定端口)。

以下是指定端口只允許指定IP訪問的范例。

如果你需要允許某個IP段可以訪問,你可以在“IP”設置里設置為“1.1.1.1-2.2.2.2”,端口段也一樣。你也可以通過同樣的設置禁止某個IP或者某個IP段禁止訪問你的服務器,只需要在“All Addresse”選擇你要屏蔽的IP,“Type”選擇“IP”,“Mode”選擇“Reject”,“Duration of Rule”選擇你要屏蔽的時間就可以了。
補充常用端口和協(xié)議
HTTP 80 TCP
MSSQL 1433 TCP
MYSQL 3306 TCP
FTP 21 TCP
遠程桌面 3389 TCP
DNS 53 UDP
CS(反恐) 27015 UDP
全文完
Odin
2005.01.10
BlackIce簡單應用(20050723補充)
by:FreeShadow 20050723
F:空間用戶被ban或者web操作被Block
Q:BlackIce有autoblock設置,他在

的“Enable Auto-Blocking”。如果你真的覺得他很討厭的話,你可以考慮把前面的勾去掉,BlackIce將不再主動自動屏蔽,不過一般不建議這樣做。同樣,如果你選擇了打開該選項,那么你就要有心理準備,在你沒有預計的某個時候,你或者你的某個用戶會被某個策略Auto-Block掉。
該autoblock是由blockice安全策略自動引發(fā),當blockice認為某個用戶(ip)的連接(可能是ftp、web例如在asp論壇刪除文章或者任何別的什么動作)屬于有嫌疑的不安全動作并在指定的時間內(nèi)發(fā)生超過blackice的安全閥值,blockice將自動block掉該ip 24小時。所以,如果你沒有辦法預計你的用戶是否有可能會引發(fā)blockice動作的話,建議你提前告訴他“如果連不上服務器,考慮換個公網(wǎng)ip,例如重新?lián)芴枴薄?/FONT>
如果你需要手工解除該autoblock的單個設置的話,可以按照如下操作

選擇“Advanced Firewall Settings”

選擇你需要接觸的屏蔽,點擊“Delete”即可。
在上圖,你可以看到,“Owner”為“auto”的即為blockice自動屏蔽的,“BIgui”的即為在用戶手工設置的。
如果你認為某個安全策略是沒有必要,經(jīng)常誤鳴干擾用戶操作的話,你可以考慮直接關閉該策略。
首先,找到究竟是什么策略引發(fā)屏蔽

選擇攔截的動作,然后點擊“Event Info”,將彈出一個IE窗口,連接是ISS對該攻擊類型的說明

該頁有比較詳細針對該攻擊的說明,建議看清楚是否無害。如果你確認真的要停止該策略,請記下頁面的編號(例如上文的就是217033),然后

相關文章
由于mysql運行權限導致無法找到 Discuz! 論壇數(shù)據(jù)表! 的解決方法
由于mysql運行權限導致無法找到 Discuz! 論壇數(shù)據(jù)表! 的解決方法...2007-11-11