BlackICE簡單設(shè)置應(yīng)用圖文教程
更新時(shí)間:2007年05月29日 00:00:00 作者:
BlackICE是一個(gè)簡單的防火墻軟件,雖然你不可以指望他能抵御DDOS之類的攻擊,不過抵擋一下那些不學(xué)無術(shù)的家伙還是合格的。重要的是他有Server版,可以成為服務(wù)運(yùn)行。
本來這個(gè)軟件設(shè)置非常簡單,不過依然有人在問,只好逞一下英雄滿足一下自己的虛榮心了。
安裝BlackICE
這個(gè)不需要說什么了吧,請(qǐng)看清楚,在服務(wù)器運(yùn)行的話請(qǐng)使用Server版。

請(qǐng)注意,除非你非常了解并且能很方便的控制機(jī)器,這里應(yīng)該選“AP Off”,這里的大意是是否監(jiān)控可運(yùn)行程序(包括DLL),如果你在這里選“AP On”?幕?,栽x滄巴瓿珊驜lackICE將會(huì)掃描一次你的系統(tǒng),記錄下所有可執(zhí)行文件,如果以后他發(fā)現(xiàn)有新的沒有記錄過的可執(zhí)行文件被運(yùn)行(被攻擊者上傳木馬),或者這些被記錄的文件被改變(被攻擊者替換文件),他將按照默認(rèn)設(shè)置拒絕運(yùn)行。一般來說,他第一次運(yùn)行很可能會(huì)拒絕你的遠(yuǎn)程管理軟件運(yùn)行,所以特別建議新手選擇“AP Off”。
在以后的安裝過程里全部是Next。
BlackICE的配置
首先我們進(jìn)入配置菜單

在Firewall選項(xiàng)選擇攔截所有非信任鏈接(Paranoid)。簡單說就是所有沒有特別設(shè)置允許的動(dòng)作都被拒絕,同時(shí)禁止那些NetBIOS等服務(wù)器不需要的鏈接?;旧习凑障聢D設(shè)置就可以了。

在“Notifications”菜單選擇自動(dòng)更新通知(Update Notifications),建議設(shè)置為一天檢查一次(下圖是3天檢查一次)。

如果BlackICE發(fā)現(xiàn)有新的版本,將會(huì)在右上角顯示,看下圖紅圈處,當(dāng)發(fā)現(xiàn)有新版本的時(shí)候建議盡快更新。

最后在“Intrusion Detection”做額外通行設(shè)置,個(gè)別系統(tǒng)例如DVBBS有時(shí)候會(huì)觸發(fā)BlackICE誤鳴,錯(cuò)誤攔截用戶IP,遇到這這種情況的話,請(qǐng)查閱log檔檢查是什么激活攔截并在“Intrusion Detection”允許通行。下圖是DVBBS其中一個(gè)會(huì)觸發(fā)BlackICE誤鳴的其中一個(gè)動(dòng)作。

BlackICE端口設(shè)置
首先當(dāng)然是進(jìn)入設(shè)置菜單

安全設(shè)置的基本道理其實(shí)就是只允許被允許特定的動(dòng)作,其他所有動(dòng)作拒絕。
以下是針對(duì)80端口的示范設(shè)置(允許所有ip通過TCP協(xié)議訪問指定端口)。

以下是指定端口只允許指定IP訪問的范例。

如果你需要允許某個(gè)IP段可以訪問,你可以在“IP”設(shè)置里設(shè)置為“1.1.1.1-2.2.2.2”,端口段也一樣。你也可以通過同樣的設(shè)置禁止某個(gè)IP或者某個(gè)IP段禁止訪問你的服務(wù)器,只需要在“All Addresse”選擇你要屏蔽的IP,“Type”選擇“IP”,“Mode”選擇“Reject”,“Duration of Rule”選擇你要屏蔽的時(shí)間就可以了。
補(bǔ)充常用端口和協(xié)議
HTTP 80 TCP
MSSQL 1433 TCP
MYSQL 3306 TCP
FTP 21 TCP
遠(yuǎn)程桌面 3389 TCP
DNS 53 UDP
CS(反恐) 27015 UDP
全文完
Odin
2005.01.10
BlackIce簡單應(yīng)用(20050723補(bǔ)充)
by:FreeShadow 20050723
F:空間用戶被ban或者web操作被Block
Q:BlackIce有autoblock設(shè)置,他在

的“Enable Auto-Blocking”。如果你真的覺得他很討厭的話,你可以考慮把前面的勾去掉,BlackIce將不再主動(dòng)自動(dòng)屏蔽,不過一般不建議這樣做。同樣,如果你選擇了打開該選項(xiàng),那么你就要有心理準(zhǔn)備,在你沒有預(yù)計(jì)的某個(gè)時(shí)候,你或者你的某個(gè)用戶會(huì)被某個(gè)策略Auto-Block掉。
該autoblock是由blockice安全策略自動(dòng)引發(fā),當(dāng)blockice認(rèn)為某個(gè)用戶(ip)的連接(可能是ftp、web例如在asp論壇刪除文章或者任何別的什么動(dòng)作)屬于有嫌疑的不安全動(dòng)作并在指定的時(shí)間內(nèi)發(fā)生超過blackice的安全閥值,blockice將自動(dòng)block掉該ip 24小時(shí)。所以,如果你沒有辦法預(yù)計(jì)你的用戶是否有可能會(huì)引發(fā)blockice動(dòng)作的話,建議你提前告訴他“如果連不上服務(wù)器,考慮換個(gè)公網(wǎng)ip,例如重新?lián)芴?hào)”。
如果你需要手工解除該autoblock的單個(gè)設(shè)置的話,可以按照如下操作

選擇“Advanced Firewall Settings”

選擇你需要接觸的屏蔽,點(diǎn)擊“Delete”即可。
在上圖,你可以看到,“Owner”為“auto”的即為blockice自動(dòng)屏蔽的,“BIgui”的即為在用戶手工設(shè)置的。
如果你認(rèn)為某個(gè)安全策略是沒有必要,經(jīng)常誤鳴干擾用戶操作的話,你可以考慮直接關(guān)閉該策略。
首先,找到究竟是什么策略引發(fā)屏蔽

選擇攔截的動(dòng)作,然后點(diǎn)擊“Event Info”,將彈出一個(gè)IE窗口,連接是ISS對(duì)該攻擊類型的說明

該頁有比較詳細(xì)針對(duì)該攻擊的說明,建議看清楚是否無害。如果你確認(rèn)真的要停止該策略,請(qǐng)記下頁面的編號(hào)(例如上文的就是217033),然后

相關(guān)文章
由于mysql運(yùn)行權(quán)限導(dǎo)致無法找到 Discuz! 論壇數(shù)據(jù)表! 的解決方法
由于mysql運(yùn)行權(quán)限導(dǎo)致無法找到 Discuz! 論壇數(shù)據(jù)表! 的解決方法...2007-11-11打開擴(kuò)展名為ac.$的AutoCAD的臨時(shí)文件的方法
打開擴(kuò)展名為ac.$的AutoCAD的臨時(shí)文件的方法...2007-07-07局域網(wǎng)遭遇“ARP”病毒的新變種附臨時(shí)解決方法
局域網(wǎng)遭遇“ARP”病毒的新變種附臨時(shí)解決方法...2007-11-11