快捷導(dǎo)航

BlackICE簡(jiǎn)單設(shè)置應(yīng)用圖文教程

更新時(shí)間：2007年05月29日 00:00:00 作者：

BlackICE是一個(gè)簡(jiǎn)單的防火墻軟件，雖然你不可以指望他能抵御DDOS之類的攻擊，不過(guò)抵擋一下那些不學(xué)無(wú)術(shù)的家伙還是合格的。重要的是他有Server版，可以成為服務(wù)運(yùn)行。

本來(lái)這個(gè)軟件設(shè)置非常簡(jiǎn)單，不過(guò)依然有人在問(wèn)，只好逞一下英雄滿足一下自己的虛榮心了。

安裝BlackICE

這個(gè)不需要說(shuō)什么了吧，請(qǐng)看清楚，在服務(wù)器運(yùn)行的話請(qǐng)使用Server版。

請(qǐng)注意，除非你非常了解并且能很方便的控制機(jī)器，這里應(yīng)該選“AP Off”，這里的大意是是否監(jiān)控可運(yùn)行程序(包括DLL)，如果你在這里選“AP On”?幕?，栽x滄巴瓿珊驜lackICE將會(huì)掃描一次你的系統(tǒng)，記錄下所有可執(zhí)行文件，如果以后他發(fā)現(xiàn)有新的沒(méi)有記錄過(guò)的可執(zhí)行文件被運(yùn)行(被攻擊者上傳木馬)，或者這些被記錄的文件被改變(被攻擊者替換文件)，他將按照默認(rèn)設(shè)置拒絕運(yùn)行。一般來(lái)說(shuō)，他第一次運(yùn)行很可能會(huì)拒絕你的遠(yuǎn)程管理軟件運(yùn)行，所以特別建議新手選擇“AP Off”。

在以后的安裝過(guò)程里全部是Next。

BlackICE的配置

首先我們進(jìn)入配置菜單

在Firewall選項(xiàng)選擇攔截所有非信任鏈接(Paranoid)。簡(jiǎn)單說(shuō)就是所有沒(méi)有特別設(shè)置允許的動(dòng)作都被拒絕，同時(shí)禁止那些NetBIOS等服務(wù)器不需要的鏈接。基本上按照下圖設(shè)置就可以了。

在“Notifications”菜單選擇自動(dòng)更新通知(Update Notifications)，建議設(shè)置為一天檢查一次(下圖是3天檢查一次)。

如果BlackICE發(fā)現(xiàn)有新的版本，將會(huì)在右上角顯示，看下圖紅圈處，當(dāng)發(fā)現(xiàn)有新版本的時(shí)候建議盡快更新。

最后在“Intrusion Detection”做額外通行設(shè)置，個(gè)別系統(tǒng)例如DVBBS有時(shí)候會(huì)觸發(fā)BlackICE誤鳴，錯(cuò)誤攔截用戶IP，遇到這這種情況的話，請(qǐng)查閱log檔檢查是什么激活攔截并在“Intrusion Detection”允許通行。下圖是DVBBS其中一個(gè)會(huì)觸發(fā)BlackICE誤鳴的其中一個(gè)動(dòng)作。

BlackICE端口設(shè)置

首先當(dāng)然是進(jìn)入設(shè)置菜單

安全設(shè)置的基本道理其實(shí)就是只允許被允許特定的動(dòng)作，其他所有動(dòng)作拒絕。

以下是針對(duì)80端口的示范設(shè)置(允許所有ip通過(guò)TCP協(xié)議訪問(wèn)指定端口)。

以下是指定端口只允許指定IP訪問(wèn)的范例。

如果你需要允許某個(gè)IP段可以訪問(wèn)，你可以在“IP”設(shè)置里設(shè)置為“1.1.1.1-2.2.2.2”，端口段也一樣。你也可以通過(guò)同樣的設(shè)置禁止某個(gè)IP或者某個(gè)IP段禁止訪問(wèn)你的服務(wù)器，只需要在“All Addresse”選擇你要屏蔽的IP，“Type”選擇“IP”，“Mode”選擇“Reject”，“Duration of Rule”選擇你要屏蔽的時(shí)間就可以了。

補(bǔ)充常用端口和協(xié)議

HTTP 80 TCP

MSSQL 1433 TCP

MYSQL 3306 TCP

FTP 21 TCP

遠(yuǎn)程桌面 3389 TCP

DNS 53 UDP

CS(反恐) 27015 UDP

全文完

Odin

2005.01.10

BlackIce簡(jiǎn)單應(yīng)用(20050723補(bǔ)充)

by:FreeShadow 20050723

F:空間用戶被ban或者web操作被Block

Q:BlackIce有autoblock設(shè)置，他在

的“Enable Auto-Blocking”。如果你真的覺(jué)得他很討厭的話，你可以考慮把前面的勾去掉，BlackIce將不再主動(dòng)自動(dòng)屏蔽，不過(guò)一般不建議這樣做。同樣，如果你選擇了打開該選項(xiàng)，那么你就要有心理準(zhǔn)備，在你沒(méi)有預(yù)計(jì)的某個(gè)時(shí)候，你或者你的某個(gè)用戶會(huì)被某個(gè)策略Auto-Block掉。

該autoblock是由blockice安全策略自動(dòng)引發(fā)，當(dāng)blockice認(rèn)為某個(gè)用戶(ip)的連接(可能是ftp、web例如在asp論壇刪除文章或者任何別的什么動(dòng)作)屬于有嫌疑的不安全動(dòng)作并在指定的時(shí)間內(nèi)發(fā)生超過(guò)blackice的安全閥值，blockice將自動(dòng)block掉該ip 24小時(shí)。所以，如果你沒(méi)有辦法預(yù)計(jì)你的用戶是否有可能會(huì)引發(fā)blockice動(dòng)作的話，建議你提前告訴他“如果連不上服務(wù)器，考慮換個(gè)公網(wǎng)ip，例如重新?lián)芴?hào)”。

如果你需要手工解除該autoblock的單個(gè)設(shè)置的話，可以按照如下操作