BlackICE簡單設(shè)置應(yīng)用圖文教程

更新時(shí)間：2007年05月29日 00:00:00 作者：

BlackICE是一個(gè)簡單的防火墻軟件，雖然你不可以指望他能抵御DDOS之類的攻擊，不過抵擋一下那些不學(xué)無術(shù)的家伙還是合格的。重要的是他有Server版，可以成為服務(wù)運(yùn)行。

本來這個(gè)軟件設(shè)置非常簡單，不過依然有人在問，只好逞一下英雄滿足一下自己的虛榮心了。

安裝BlackICE

這個(gè)不需要說什么了吧，請(qǐng)看清楚，在服務(wù)器運(yùn)行的話請(qǐng)使用Server版。

請(qǐng)注意，除非你非常了解并且能很方便的控制機(jī)器，這里應(yīng)該選“AP Off”，這里的大意是是否監(jiān)控可運(yùn)行程序(包括DLL)，如果你在這里選“AP On”?幕?，栽x滄巴瓿珊驜lackICE將會(huì)掃描一次你的系統(tǒng)，記錄下所有可執(zhí)行文件，如果以后他發(fā)現(xiàn)有新的沒有記錄過的可執(zhí)行文件被運(yùn)行(被攻擊者上傳木馬)，或者這些被記錄的文件被改變(被攻擊者替換文件)，他將按照默認(rèn)設(shè)置拒絕運(yùn)行。一般來說，他第一次運(yùn)行很可能會(huì)拒絕你的遠(yuǎn)程管理軟件運(yùn)行，所以特別建議新手選擇“AP Off”。

在以后的安裝過程里全部是Next。

BlackICE的配置

首先我們進(jìn)入配置菜單

在Firewall選項(xiàng)選擇攔截所有非信任鏈接(Paranoid)。簡單說就是所有沒有特別設(shè)置允許的動(dòng)作都被拒絕，同時(shí)禁止那些NetBIOS等服務(wù)器不需要的鏈接?；旧习凑障聢D設(shè)置就可以了。

在“Notifications”菜單選擇自動(dòng)更新通知(Update Notifications)，建議設(shè)置為一天檢查一次(下圖是3天檢查一次)。

如果BlackICE發(fā)現(xiàn)有新的版本，將會(huì)在右上角顯示，看下圖紅圈處，當(dāng)發(fā)現(xiàn)有新版本的時(shí)候建議盡快更新。

最后在“Intrusion Detection”做額外通行設(shè)置，個(gè)別系統(tǒng)例如DVBBS有時(shí)候會(huì)觸發(fā)BlackICE誤鳴，錯(cuò)誤攔截用戶IP，遇到這這種情況的話，請(qǐng)查閱log檔檢查是什么激活攔截并在“Intrusion Detection”允許通行。下圖是DVBBS其中一個(gè)會(huì)觸發(fā)BlackICE誤鳴的其中一個(gè)動(dòng)作。

BlackICE端口設(shè)置

首先當(dāng)然是進(jìn)入設(shè)置菜單

安全設(shè)置的基本道理其實(shí)就是只允許被允許特定的動(dòng)作，其他所有動(dòng)作拒絕。

以下是針對(duì)80端口的示范設(shè)置(允許所有ip通過TCP協(xié)議訪問指定端口)。

以下是指定端口只允許指定IP訪問的范例。

如果你需要允許某個(gè)IP段可以訪問，你可以在“IP”設(shè)置里設(shè)置為“1.1.1.1-2.2.2.2”，端口段也一樣。你也可以通過同樣的設(shè)置禁止某個(gè)IP或者某個(gè)IP段禁止訪問你的服務(wù)器，只需要在“All Addresse”選擇你要屏蔽的IP，“Type”選擇“IP”，“Mode”選擇“Reject”，“Duration of Rule”選擇你要屏蔽的時(shí)間就可以了。

補(bǔ)充常用端口和協(xié)議

HTTP 80 TCP

MSSQL 1433 TCP

MYSQL 3306 TCP

FTP 21 TCP

遠(yuǎn)程桌面 3389 TCP

DNS 53 UDP

CS(反恐) 27015 UDP

全文完

Odin

2005.01.10

BlackIce簡單應(yīng)用(20050723補(bǔ)充)

by:FreeShadow 20050723

F:空間用戶被ban或者web操作被Block

Q:BlackIce有autoblock設(shè)置，他在

的“Enable Auto-Blocking”。如果你真的覺得他很討厭的話，你可以考慮把前面的勾去掉，BlackIce將不再主動(dòng)自動(dòng)屏蔽，不過一般不建議這樣做。同樣，如果你選擇了打開該選項(xiàng)，那么你就要有心理準(zhǔn)備，在你沒有預(yù)計(jì)的某個(gè)時(shí)候，你或者你的某個(gè)用戶會(huì)被某個(gè)策略Auto-Block掉。

該autoblock是由blockice安全策略自動(dòng)引發(fā)，當(dāng)blockice認(rèn)為某個(gè)用戶(ip)的連接(可能是ftp、web例如在asp論壇刪除文章或者任何別的什么動(dòng)作)屬于有嫌疑的不安全動(dòng)作并在指定的時(shí)間內(nèi)發(fā)生超過blackice的安全閥值，blockice將自動(dòng)block掉該ip 24小時(shí)。所以，如果你沒有辦法預(yù)計(jì)你的用戶是否有可能會(huì)引發(fā)blockice動(dòng)作的話，建議你提前告訴他“如果連不上服務(wù)器，考慮換個(gè)公網(wǎng)ip，例如重新?lián)芴?hào)”。

如果你需要手工解除該autoblock的單個(gè)設(shè)置的話，可以按照如下操作