Outpost防火墙安全配置4378.docx

《Outpost防火墙安全配置4378.docx》由会员分享，可在线阅读，更多相关《Outpost防火墙安全配置4378.docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Agniitumm Ouutpoost Firrewaall Proo是一个个受到越越来越多多用户喜喜爱和关关注的优优秀防火火墙，占占用资源源相对较较小，设设置灵活活方便，稳稳定强悍悍，可以以算得上上个人防防火墙中中的佼佼佼者了。东东西虽好好，可是是很多人人在使用用中只是是让软件件的默认认设置在在发挥作作用，而而防火墙墙的默认认设定往往往更侧侧重于兼兼容性方方面的考考虑，想想让防火火墙更好好的发挥挥作用，就就需要你你根据自自己的网网络情况况作出调调整和配配置。正正好官方方论坛中中有一篇篇相关文文章，编编译出来来和大家家一起学学习交流流。特此此感谢原原作者和和Outtposst论坛坛。文中中涉及

2、到到的Ouutpoost选选项的中中文名称称出自SSileencee的2.7.4485.5400 1 (4112)版版汉化。导论：本文是为了帮助Outpost防火墙的用户建立一个更安全、对微机的流出数据监控更加严密的网络连接。随着越来越多的软件喜欢在用户不知情的情况下向“老家”传送信息以及花样翻新层出不穷的木马和病毒企图把它们的活动伪装成正常的网络通讯，对网络的流出信 息进行监控和限制逐渐与对流入企图进行限制处在了同等重要的地位。因为本文涉及到了对默认规则的调整，用户最好事先对Outpost防火墙已经有一定熟悉度（按：并且最好对一些基本的网络知识和术语也有所了解）。安全性和方便性永远无法两全，

3、这就需要你根据自己的实际情况做出取舍下文中一些改动可能需要你完成大量的调整工作，也会让你的某些行为（如更换ISP）变得困难的多。某些（尤其是商业企业的）网络环境可能会导致文中某些部分出现问题，请在实施改动前详 细阅读各个项目的优点和缺点如果有疑问可以试着每次只进行一项改动然后进行详尽的测试，分析Outpost的相关日志（尤其是被禁止连接的日志），以便做出进一步的决策。本文中的推荐更多是基于安全性而不是方便性的考虑。最后，请注意本文档并不是出自Agnitum公司，Agnitum公司也不对本文进行技术支持，相关问题和讨论请在Outpost防火墙论坛提出，而不要与Agnitum公司直接联系。Outp

4、ost免费版用户注意：文中涉及的设置没有在免费版中进行测试，某些部分（如关于全局规则设置的D小节）也无法部署（由于免费版中全局规则只能被禁用而无法修改），而某些特性（如组件控制）也是在Outpost Pro v2以后才出现的，然而文中涉及的方法仍然会对此类用户系统安全性的提高起到一定的参考作用。A 局域网设置（位于“选项系统局域网设置设置”）改动收益：通过限制特权用户的连接来提高安全性。付出代价：需要进行更多的设置和维护工作，尤其是对大型局域网来说。本设置指定哪些IP段需要被认定为“可信用户”。从安全性的角度来说，这里列出的IP段越少越好，因为对这些地址流入流出的数据可能会漠视所有应用程序规则

5、和全局规则而得以通行。（请查阅Outpost Rules Processing Order获知详情）对非局域网用户来说，本部分没有考虑的必要。这种情况下可以去掉对“自动检测新的网络设置”的钩选以防止Outpost自动添加默认设置。本部分设置只须处于如下环境的微机加以考虑： 位于局域网（LAN）中，并且带有需要共享的文件或者打印机的微机； 位于局域网中并且需要通过网络应用程序进行连接，但是无法通过应用程序规则设定完成工作的微机； 位于互联网连接共享网关上的微机，其应将每一个共享客户端的IP地址列为可信任地址。请查阅LAN and DNS settings for V2获知详情。上述任一种情况下由

6、Outpost提供的默认网络设置都是过于宽松的，因为它总是假设同一网络中的任何微机都应该被包括在内。步骤： 取消钩选“自动检测新的网络设置”以防止Outpost自动添加新的设置。注意如果日后安装了新的网卡，在此项禁止的情况下新的地址需要手动添加进去。 逐个添加每个PC的地址（所添加项随后会以带网络掩码255.255.255.255的形式出现）。互联网地址绝不应该出现在该位置。 钩选涉及到文件打印机共享的微机后面的“NetBIOS”选项。 钩选涉及到网络应用程序的微机后面的“信任”选项。如果你位于一个大型局域网内，逐个列出每个微机就是不太现实的了，此时一个可用的方案就是用Blockpost插件列

7、出IP段然后屏蔽该IP段中不需要的地址（Blockpost插件允许用户定义任意IP段，这是Outpost现阶段还做不到的）。请注意局域网内的网络活动可能被“入侵检测”插件曲解为攻击行为。如果你遇到此问题（尤其是Windows网络中存在Browse Master和Domain Controller的情况下），请在本文F4部分查找通过插件设置避免问题的详细内容。B ICMP设置（位于“选项系统ICMP设置”）ICMP（Internet Control Message Protocol）是用于传送诊断信息与出错信息的一部分网络端口。详情请查阅RFC 792 - Internet Control Me

8、ssage Protocol。该部分默认设置允许如下活动： 通过Ping命令进行的基本网络连接测试（由Echo Request Out和Echo Reply In实现） 对本机进行的Ping将被拦截以掩藏本机的在线状态。 对探测者显示本机网络地址不可用（由Destination Unreachable In and Out 实现）。 对探测者显示本机地址无法连接（由流入数据超时而引起），该类连接由Tracert命令发起进入类跟踪路由企图将被拦截以掩藏本机在线状态。本项的默认设置对绝大部分用户而言已是足够安全的。然而允许Destination Unreachable数据包流出在某些特定类型的扫描

9、中会暴露你微机的存在（绝大部分已被Outpost拦截），所以对该项的改动可以让你的微机的隐匿性更强。改动收益：使你的微机逃过某些可以避开Outpost检测的扫描。付出代价：在某些情况下（如缓慢的DNS回应）Destination Unreachables信息的传送是合法的，此时就会显示为被屏蔽，结果就是可能导致一些网络应用程序的延迟和超时（如P2P软件）。步骤： 取消对“Destination Unreachable ”Out的钩选。如果你在运行Server程序，那么对Ping和Tracert命令的响应可能就是需要的。一些互联网服务提供商（ISP）可能也会要求你对它们的Ping做出回应以保持在

10、线连接。这些情况下可以参考如下步骤。改动收益：允许用户检查与Server之间的连接和网络性能，这些可能是某些ISP要求实现的。付出代价：让你的系统处于被Denial-of-Service（DoS）攻击的危险之中。步骤：钩选“Echo Reply”Out和“Echo Request”In选项以允许对Ping的响应。钩选“Destination Unreachable”Out和“Time Exceeded for a Datagram”Out选项以允许对Tracert的响应。可选步骤：上述做法会使本机对任意地址的Ping和Tracert命令做出响应，还有一个可选的方案是用一个全局规则来实现只允许来

11、自可信任地址的ICMP信息但是这样会导致其漠视Outpost的ICMP设置而允许所有的ICMP信息流通。然而当特定 地址已知时，这样做也未尝不可。通过如下步骤实现：创建一个如下设置的全局规则：Allow Trusted ICMP：指定的协议IP 类型ICMP，指定的远程主机 ，允许注意该规则不要定义方向（流入和流出的数据都需要获得权限）。C 防火墙墙模式（位位于“选项系统防火墙墙模式”）保持默默认设定定“增强”，不建建议作改改动。DD系统统和应用用程序全全局规则则（位于于“选项系统系统和和应用程程序全局局规则”）D1指定DDNS服服务器地地址DNNS（DDomaain Namme SSystt

12、em）是是通过域域名来确确定IPP地址的的一种方方法（如如 ottupoostffireewalll.ccom的的IP地地址是2216.12.2199.122。详情情请查阅阅RFCC 10034 - DDomaain nammes - cconcceptts aand facciliitiees）。因因为连接接网站时时DNSS信息必必须通过过防火墙墙以实现现IP地地址查询询，一些些木马以以及泄漏漏测试就就试图把把它们的的通讯伪伪装成DDNS请请求。然然而通过过把DNNS通讯讯地址限限定为你你的ISSP所提提供的DDNS服服务器，这这种伪DDNS请请求就可可以被有有效的拦拦截。有有两 种种方法可

13、可以完成成这项任任务：(a). “全局DDNS”设置把你的的ISPP的DNNS服务务器地址址加入到到全局规规则中改改动收益益：通过过少量工工作即可可完成上上述任务务。付出出代价：如果你你通过多多家ISSP上网网，那么么所有的的服务器器地址都都需要被被添加进进去如如果你更更换了IISP或或者ISSP更改改了它们们的服务务器地址址，那么么你就需需要把新新的地址址更新进进规则中中去。如如果你有有程序或或者网络络环境需需要应用用反复式式DNSS查询（WWinddowss环境下下通常使使 用递递归式查查询，反反复式通通常是应应用于DDNS服服务器之之间），那那么配置置这条规规则就可可能会出出现问题题。步

14、骤骤：找到你你的ISSP使用用的DNNS服务务器地址址。最简简单的方方法就是是在命令令行窗口口中使用用“ipcconffig alll”来查询询，Wiindoows 9x/Me/Xp的的用户也也可以在在开始菜菜单的“运行”对话框框中使用用winnipccfg得得到相关关信息。把这些地址作为远程主机地址加入到“Allow DNS Resolving”全局规则中。Windows 2000/XP用户还应该把这些地址加到应用程序规则中services.exe/svchost.exe的相关项目中（详情参见E2部分）。(b). “应用程序DNS”设置移除全局规则，逐个给每个程序添加DNS规则改动收益：如此

15、一来新添加的程序通常需要两项规则（DNS规则和程序自身需要的规则）来减少可疑程序在意外情况下的通行。试图与“老家”通讯的恶意程序现在就面临着寻找必要IP地址的额外手续，这样它们会误认为现在无网络连接从而进入休眠状态直到被侦测到 。只通过DNS端口通讯的这类木马程序现在就必须通过额外规则才可以通行，这也是现在唯一可以屏蔽DNShell以及类似泄漏测试的方法。付出代价：需要完成繁琐的多的工作每一个程序都需要添加一条额外的规则。更换ISP后需要把所有规则更新为新的DNS地址。步骤：在Windows 2000和XP环境下，关掉“DNS客户服务”（通过 开始/控制面板/管理选项/服务）。这会强迫每个程序

16、发出自己的DNS请求，而不是通过services.exe(Win2000)和svchost.exe(WinXP)发出。停用或者删除“系统和应用程序全局规则”中的“Allow DNS Resolving”规则。对每一个程序添加一个新规则，使用下列关键字： DNS Resolution：指定协议UDP，远程端口53，远程主机，允许可以通过设定本规则为预设规则来简化工作。步骤如下：断开网络，退出Outpost，打开preset.lst文件（位于Outpost程序文件夹中）并在文件末尾添加下列规则：; Application DNS ResolutionApplication DNS Resoluti

17、onVisibleState: 1RuleName: Application DNS ResolutionProtocol: UDPRemotePort: 53RemoteHost: 加入你的ISP的DNS服务器地址，如有多个用逗号分隔AllowIt添加该预设规则后，日后碰到添加规则向导提示的时候只要选定该预设规则导入即可（如果你想允许该程序通行的话）。这种情况下，IP地址在“选项/程序”中将以附带(255.255.255.255)子网掩码的形式出现，此即指明了一个条目的IP地址范围，其与单独一个IP地址所起作用相同。注意此时“工具/自动检查升级”选项应该被禁用，因为对preset.lst的改

18、动可能被自动更新的文件覆盖掉（虽然“自动更新”在覆盖文件以前会提示），一个比较好的办法是手动备份该文件，然后再进行更新，更新完毕后如有必要再把备份文件覆盖回去。注意两种DNS设置都需要的规则不管选择上述两种设置中的哪一种，都需要考虑到一种情况DNS查询使用更多的是UDP(User Datagram Protocol)协议而不是TCP(Transport Control Protocol)协议。查询使用到TCP协议的情况很少见而且通常是复杂查询实际使用中通常它们可以被屏蔽，因为该查询会用UDP协议再次发送，因此在全局规则中可以添加一条规则如下：Block DNS(TCP)：协议 TCP，方向 出

19、站，远程端口 53,禁止如果你想允许此类通讯，那么或者是修改规则为“允许”（指全局DNS规则）或者是为每一个程序创建第二条DNS规则用TCP取代UDP（应用程序DNS规则）。报告疑为木马程序伪装的DNS活动任何对已设定DNS服务器以外地址的查询都应该被视为可疑活动而在默认情况下被禁止，此时可以在DOS窗口中用ipconfig /all命令来查询是否ISP的DNS服务器已改变而需要更新DNS规则设置。此时可以通过在全局规则中其它DNS规则下方添加如下规则来解决第二条只有在上述提到的TCP DNS规则设为允许的情况下才需要：Possible Trojan DNS(UDP): 协议 UDP，远程端口

20、 53,禁止 并且报告Possible Trojan DNS(TCP): 协议 TCP，方向 出站，远程端口53,禁止并且报告该规则会禁止任何可疑的DNS尝试并且做出报告。注意该规则不推荐采用应用程序DNS设置的用户使用，因为合法DNS服务器地址需要从规则中排除以防止误报（例如当一个没有设置规则的程序发起请求的时候）指定IP地址范围可以解决该问题，但是Outpo st现有对IP段的处理能力并不是很完善。D2-指定DHCP服务器地址DHCP(Dynamic Host Configuration Protocol)是大多数ISP给登录用户分配临时IP地址使用的一种方法。因为想要与ISP建立连接就必

21、须允许DHCP通讯，这也就成为了木马程序为了在不被探测到的情况下向外发送信息所可能采用的一种手段。除此之外，向特定地址用大量的DHCP信息 进行冲击也成为了Denial of Service(DoS)攻击采用的一种手法。更多关于DHCP信息可参考RFC 2131 - Dynamic Host Configuration Protocol。如果你的系统使用固定IP地址（不管是因为位于内网还是因为使用获得动态地址的路由器）那么此部分设置可以略过。想检查DHCP是否被应用，可以在命令行窗口使用ipconfig /all来查询在窗口底部可以得到相关信息。限制DHCP通讯到某个特定服务器比对DNS做出限

22、制要稍微复杂一些，因为Outpost看起来暂时还不能始终如一的精确分辨出DHCP通讯的方向（部分是由于DHCP协议使用UDP协议，部分是由于它能包括的IP地址的变化），因此本规则推荐对本地和远 程端口而不是对方向进行限制。另外，第一次DHCP请求是对255.255.255.255地址发出的广播形式（该通讯应该送达局域网中所有的主机），因为机器启动时无从得知DHCP服务器的地址，后续的DHCP请求（为了更新IP地址分配）才会被发送到 DHCP服务器。Windows 2000和XP用户可以通过只允许通过全局规则的广播以及对其它请求设定应用程序规则（Windows 2000是services.exe

23、，Windows XP是svchost.exe）来进一步限制DHCP通讯，请参考E2部分获得更详尽的信息。改动收益：防止对DHCP权限的滥用。付出代价：如果使用多家ISP，每一家都需要单独设定其服务器地址。如果更换ISP，相关规则也需要做出更新。某些ISP可能会需要通过多项条目进行设定尤其是在其拥有具有多个连接点的大型网络时。步骤：通过ipconfig /all或者winipcfg查找得到DHCP服务器地址。注意DHCP服务器与DNS服务器地址通常是不同的。Windows 9x/ME用户创建全局规则：Allow DHCP Request: 协议 UDP，远程地址 ，255.255.255.25

24、5,远程端口 67,本地端口 68,允许Windows 2000/XP用户创建全局规则：Allow DHCP Broadcast：协议 UDP，远程地址 255.255.255.255,远程端口 67,本地端口 68,允许因为DHCP服务器地址可能会发生改变，建议在IP地址分配碰到问题时禁止上述规则中对“远程地址”的设定如果一切正常就保留该设定，在重新允许该规则以前验证并且更新（如有必要）DHCP服务器地址。DHCP服务器通常不会作出大范围的网络转移，所以 在其地址中使用通配符（例如192.168.2.*）可以有效减少该类问题的发生。D3-禁止“Allow Loopback”规则默认规则中的“

25、Allow Loopback”全局规则给使用代理服务器的用户（例如AnalogX Proxy，Proxomitron，WebWasher以及某些反垃圾/反病毒软件）带来了一个极大的安全隐患，因为其允许任何未经指明屏蔽的程序使用为代理设置的规则进行互联网通讯，禁止或者删除该全局规则即可消除隐患。改动收益：防止未经授权的程序利用代理服务器规则进行通讯。付出代价：任何使用代理服务器的程序（例如和Proxomitron配合使用的浏览器，等等）都需要设定一条额外的规则（其时弹出的规则向导中的建议配置在绝大多数情况下已经足够应付）。步骤：通过“选项系统系统和应用程序全局规则设置”进入全局规则列表通过去除“

26、Allow Loopback”的钩选来禁止该项规则D4-禁止不必要的全局规则默认设置中的某些全局规则并不是很恰当，可以通过去除对其的钩选来停用。这些规则包括：Allow Inbound Authentication 一个简陋而且不可靠的检查网络连接端的规则，很少被用到。如果需要的时候，停用该规则可能会导致登入Email服务器的延迟。Allow GRE Protocol，Allow PPTP control connection 这些是使用Point-to-Point Tunneling Protocol的Virtual Private Networks(VPNs)需要用到的，如果没有此需求可以

27、停用这些规则。改动收益：防止应用这些端口的信息泄漏。付出代价：禁用“Blocking Inbound Authentication”规则可能会导致收取邮件的延迟（此时可以重新激活该规则，并把邮件服务器添加为远程地址）步骤：通过“选项系统系统和应用程序全局规则设置”进入全局规则列表清除对相应规则的钩选D5屏蔽未使用和未知的协议全局规则可以对互联网协议（IP）以及TCP和UDP协议作出限定，对IP涉及到的一系列协议建议全部加以屏蔽，除了下面所述类型：ICMP(1)此协议通过ICMP相关规则来处理；IGMP(2)多点广播需要用到（如在线视频直播），如果需要应用到该项协议就不要禁用；ESP(50)和A

28、H(51)IPSec需要应用到这些协议，所以VPN（Virtual Private Network）用户不要禁用这些设置。企业用户要谨慎处理这些设置其中一些选项可能是局域网中路由通讯所必需的。可以设定一条全局规则来处理这些未知协议（包括类似IPX或者NetBEUI的协议）建议设定该项规则来进行屏蔽。改动收益：防止未来可能经由这些端口的信息泄漏。付出代价：出于Outpost采用的处理规则的方式，这些改动可能会显著增大相关处理流程的数量，尤其对于使用文件共享程序或者位于比较繁忙局域网中的用户来说。步骤：未使用的协议进入“选项系统系统和应用程序全局规则设置”；点选“添加”创建新的全局规则；设置指定协

29、议为IP，此时其后面所跟的“类型”是“未定义”；点击“未定义”进入IP类型列表窗口；选定你想要屏蔽的类型然后点击OK；设定响应操作为“禁止”，再自己定义恰当的规则名称后点击OK。未知协议进入“选项系统系统和应用程序全局规则设置”；点选“添加”创建新的全局规则；设定协议为“未知”，响应操作为“禁止”，再自己定义恰当的规则名称后点击OKE 应用程程序规则则 （位位于“选项应用程程序”）E1移除位位于“信任的的应用程程序”组中的的项目即即使程序序需要正正常的访访问互联联网，对对其通讯讯不加过过问的一一律放行行也不是是明智的的做法。某某些程序序可能会会要求比比所需更更多的连连接（浪浪费带宽宽），有有的

30、程序序会跟“老家”悄悄联联系泄漏漏你的隐隐私信息息。出于于这种考考虑，应应该把“信任的的应用程程序”组中的的项目移移入“部分允允许的应应用程序序 ”组，并并且设置置如下所所建议的的合适的的规则。E2谨慎设置“部分允许的应用程序”Outpost的自动配置功能将会给每一个探测到要求连接网络的程序配置默认的规则，然而这些默认规则是从易于使用的角度出发的，所以大多情况下可以进一步的完善之。决定什么样的连接需要放行无疑是防火墙配置中最富有挑战性的部分，由于个人的使用环境和偏 好不同而产生很大的差别。下文中会根据颜色的不同来区分推荐配置和参考配置。推荐配置用红色表示建议配置用蓝色表示可选配置用绿色表示如果

31、使用了D1部分提及的“应用程序DNS”设置，那么每个应用程序除采用下面会提到的规则外还需要一条DNS规则，请注意这些应用程序规则的优先级位于全局规则之上，详情请见Outpost Rules Processing Order常见问题贴。在规则中使用域名注意事项：当域名被用作本地或远程地址时，Outpost会立刻查找相应的IP地址（需要DNS连接），如果该域名的IP发生了改变，规则不会被自动更新域名需要重新输入。如果某条使用了域名的应用程序规则或全局规则失效的话请考虑这种可能性。某些域名可能使用了多个IP地址只有在“选项应用程序”中手动建立的规则Outpost才会自动寻找其所有IP地址，通过规则向

32、导建立的规则则不行。因此，通过规则向导建立的规则需要重新在“选项应用程序”中手动输入域名以确保所有IP地址能被找到 。Svchost.exe（Windows XP系统独有）Svchost.exe是一个棘手的程序为了完成一些基本的网络任务它需要进行互联网连接，但是给它完全的权限又会把系统至于RPC（例如Blaster、Welchia/Nachi等蠕虫）泄漏的危险之中。给这个程序创建合适的规则也就变得格外的重要。Allow DNS(UDP)：协议 UDP，远程端口 53，远程地址 ，允许Allow DNS(TCP)：协议TCP，方向 出站，远程端口 53，远程地址 ，允许Possible Troj

33、an DNS(UDP)：协议 UDP，远程端口 53，禁止并且报告Possible Trojan DNS(TCP)：协议 TCP，方向 出站，远程端口 53，禁止并且报告DNS规则 可在D1部分中查看详情，只有在DNS客户端服务没有被禁止的情况下才需要这些规则，因为此时svchost.exe才会进行查找工作；因为此处只需要一条TCP规则，此规则被设定为“允许”；因为某些木马程序试图把它们的活动伪装成DNS查询，推荐把任何试图与DNS服务器以外的地址进行连接的尝试视为可疑Trojan DNS规则将报告类似的连接。如果连接是合法的（如果你的ISP更换了DNS服务器地址这些“允许”规则需要及时进行更

34、新）则对其做出报告很容易导致网络失去连接，此时应该从禁止日志中查明原因。Block Incoming SSDP：协议 UDP，本地端口 1900，禁止Block Outgoing SSDP：协议 UDP，远程端口 1900，禁止这些规则屏蔽了用于在局域网中查找即插即用设备（UPnP）的简单服务搜寻协议（SSDP）。由于即插即用设备会导致许多安全问题的出现，如非必要最好还是将其禁用如果必须使用的话，则把这些规则设为“允许”。如果最后的“Block Other UDP”规则也被采用，即可防止SSDP起作用，所以这些规则是建议配置。Block Incoming UPnP：协议 TCP，方向 入站，本

35、地端口 5000，禁止Block Outgoing UPnP：协议TCP，方向 出站，远程端口 5000，禁止这些规则屏蔽了UPnP数据包如同上面关于SSDP的规则，如果你非常需要UPnP则把规则改为“允许”，可是一定要把UPnP设备的IP地址设为远程地址以缩小其范围。如果最后的“Block Other TCP”的规则被采用，即可防止UPnP起作用，所以这些规则是建议配置。Block RPC（TCP）：协议 TCP，方向 入站，本地端口 135，禁止Block RPC（UDP）：协议 UDP，本地端口 135，禁止这些规则实际上是默认的全局规则中关于屏蔽RPC/DCOM通讯的规则拷贝所以在这里

36、并不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM连接，则把这些规则改为“允许”，不过仅限于信任的远程地址。Allow DHCP Request：协议 UDP，远程地址 ，远程端口 BOOTPS，本地端口 BOOTPC，允许DHCP规则请至D2部分查看详情（如果使用的是固定IP地址则不需应用此规则通常只有在私有局域网内才会如此）。因为svchost.exe会对DHCP查询作出回应所以这条规则是必需的由于应用了最后的“Block Other TCP/UDP”规则，全局DHCP规则此时并不会起作用。Allow Help Web Access：协议TCP，方向 出站，远程端口 80，44

37、3，允许Windows帮助系统可能会通过svchost.exe发起网络连接如果你不想使用帮助系统（或者是不希望微软知道你何时使用的）则可以略过本规则。Allow Time Synchronisation：协议 UDP，远程端口 123，远程地址 ，time.nist.gov，允许用于时间同步只有当你需要用到Windows XP这个特性时才需要创建该规则。Block Other TCP Traffic：协议TCP，方向 出站，禁止Block Other TCP Traffic：协议 TCP，方向 入站，禁止Block Other UDP Traffic：协议 UDP，禁止把这些规则设定在规则列表

38、的最下面它们会阻止未设定规则的服务的规则向导弹出窗口。未来所添加的任何规则都应该置于这些规则之上。商业用户请参考Microsoft KnowledgeBase Article 832017 - Port Requirements for the Microsoft Windows Server System 查找系统服务所需放行的额外端口信息。Services.exe（Windows 2000系统独有）Allow DNS（UDP）：协议UDP，远程端口 53,远程地址 ，允许Allow DNS（TCP）：协议 TCP，方向 出站，远程端口 53, 远程地址 ，允许Possible Trojan

39、 DNS（UDP）：协议 UDP，远程端口 53,禁止 并且报告Possible Trojan DNS（TCP）：协议 TCP，方向 出站，远程端口 53,禁止 并且报告DNS规则请至D1部分查看详情。只有当“DNS客户端服务”没有被停用时才需要上述规则，因为此时services.exe将会接手查找工作；因为这里只需要TCP规则，所以操作设定为“允许”；与svchost规则一样，“Possible Trojan”规则在拦截到连接其它地址的企图时会作出报告。Allow DHCP Request：协议 UDP，远程地址 ，远程端口 BOOTPS，本地端口 BOOTPC，允许DHCP规则请至D2部分

40、查看详情（注意如果使用的是静态IP则不需设置通常只有私有局域网中才会如此）。需要设置的原因同上述svchost.exe。Block Other TCP Traffic：协议 TCP，方向 出站，禁止Block Other TCP Traffic：协议 TCP，方向 入站，禁止Block Other UDP Traffic：协议 UDP，禁止把这些规则列到最下面它们会阻止未设定的程序的规则向导窗口弹出，任何后续添加的规则均需列到这些规则上方。与上面的svchost.exe一样，商业用户请参考Microsoft KnowledgeBase Article 832017 - Port Require

41、ments for the Microsoft Windows Server System 查找系统服务所需放行的额外端口信息。Outpost 升级服务除了DNS规则外，Outpost 2.0不再需要额外的网络连接，Outpost 2.1及后续版本可以从Agnitum下载新闻和插件信息。应用此功能需要作出如下设定：Allow Outpost News and Plugin Info：协议 TCP，方向 出站，远程端口 80，远程地址 Agnitum Update：协议 TCP，方向 出站，远程端口 80，远程地址 explorer，NetscapeMozilla，Opera，等）Outppos

42、tt的自动动配置功功能以及及预设规规则为浏浏览器提提供了比比较宽松松的设置置对于于大多数数用户来来说可以以将其进进一步强强化如下下：Allloww Weeb AAcceess：协议 TCPP，方向向 出站站，远程程端口880,允允许Allloww Seecurre WWeb Acccesss：协议议 TCCP，方方向 出出站，远远程端口口 4443,允允许上述规规则允许许了建立立标准（HHTTPP）和加加密（HHTTPPS）网网络连接接。如果果你使用用了代理理并且想想使所有有信息都都流经代代理，则则可考虑虑将上述述规则设设为“禁止”，注意意此类代代理将需需要单独独为其设设立一条条规则（具具体设

43、定定取决于于代理所所以此处处不再作作详细说说明）。Allow Alternate Web Access：协议 TCP，方向 出站，远程端口 8000,8010,8080,允许某些网站可能会把连接转到其它远程端口（比如8080在URL中以ort-number 的形式出现）建议此规则在网站没有此类连接无法工作时才加入。Allow File Transfers：协议 TCP，方向 出站，远程端口21,允许此规则是为了文件传输而设。与“Web Access”的规则一样，如果你想所有的传输都通过代理进行则将此规则设为“禁止”，文件传输通常还需要建立进一步的连接Outpost会自动放行这类连接（详情可查阅

44、Stateful Inspection FAQ）。如果浏览器还带有email，新闻组，以及即时通信功能，则还应添加下文中给出的相应规则。邮件客户端（Outlook，Eudora，Thunderbird，等）两种协议（相应的也就是两组规则）可以用于取信和发信。如果你应用代理来读取及扫描邮件的防病毒软件的话，那么下面这些规则可能是你需要的在此情形下客户端应该只需要一条规则（Email Antivirus Access：协议 TCP，方向 出站，远程端口 127.0.0.1，允许）来连接防病毒软件。此种情形下想建立一套合理的规则有一种简单方法：让Outpost在“规则向导模式”下运行，使用客户端收发

45、邮件，在弹出对话框中选择“使用预设规则：定制”来为客户端和防毒软件的代理建立规则。这样设定完以后，从“选项应用程序”打开这条规则手动添加 其它邮件服务器名这样可以获得具有多IP地址的服务器的所有地址（规则向导对话框只包括一个IP地址）。Read Email via POP3:协议 TCP，方向 出站，远程端口 110,995,远程地址 ，允许本规则是为了通过被广泛采用的POP3协议读取邮件而设，顾及到了开放型（110端口）和加密型（995端口）连接。邮件服务器的地址可以在客户端的设置里面找到，ISP可能会使用同一台服务器来处理接收和发送请求，也可能会为两种协议分开设立服务器。Read Emai

46、l via IMAP：协议 TCP，方向 出站，远程端口 143,993,远程地址 ，允许此规则是为使用IMAP协议读取邮件而设，可以取代也可以与上面的POP3规则并存。是否使用取决于你的邮件程序的设定，规则顾及了开放型（143端口）和加密型（993端口）连接。Send Email via SMTP：协议 TCP，方向 出站，远程端口25,465,远程地址 ，允许此规则是为通过SMTP协议发送邮件而设，顾及了开放型（25端口）和加密型（465端口）连接。由于许多病毒都是通过邮件传播，垃圾邮件发送者也往往试图通过劫持疏于防范的微机来发送垃圾邮件，所以强烈建议此处只加入你的ISP的SMTP服务器地

47、址。 不管你上面设定的是POP3规则还是IMAP规则这条规则都是必需的。Block Web Links：协议 TCP，方向 出站，远程端口 80,禁止此规则会防止客户端下载HTML格式邮件中包含的任何连接。许多垃圾邮件用这种方法判断是否邮件已经被阅读（从而确定你的邮件地址是否“有效”）。合法的邮件也会受到此规则的影响，但是通常只有图片无法显示，文本（和作为附件的图片）不受影响。如果你需要察看某封邮件中的图片，可在本规则之前加入一条规则允许与其域名的连接。如果你使用浏览器来读取邮件则不要使用本规则，否则正常的网络连接会被屏蔽掉。下载工具（GetRight，NetAnts，GoZilla，Down

48、load Accelerator，等）特别提示：许多下载工具或加速器带有可能会追踪你的使用情况的广告，碰到这种程序，要么换一种不带广告的-如GetRight要么设定一条规则来屏蔽其与自身广告站点的连接并把这条规则置于最前，可以通过Outpost的“网络活动”窗口来查知广告所连接的地址。Allow File Transfer：协议 TCP，方向 出站，远程端口21,允许本规则允许了标准的文件传输。与浏览器规则一样，如果你只想通过代理传输数据可以考虑设定为“禁止”。Allow Web Access：协议 TCP，方向 出站，远程端口 80,允许许多下载是通过HTTP协议进行的。新闻组程序（Forte Agent，Gravity，等）此类程序使用NNTP协议，详情请查阅RFC 997 - Network News Transfer Protocol。Allow