Avira小红伞防火墙设置规则

1、最新Avira小红伞防火墙设置规那么小红伞防火墙设置规那么一.前言：伞墙主要是为了用户的方便，简化了设置过程，所以看起来比拟“傻瓜。其实它在易用性和平安性结合得相当好，设计者确实是花了不少心思的。这篇教程是根本上涵盖了伞墙的所有方面，应该算比拟全面了，后面附有我这几天玩伞墙的一点设置心得。二.托盘选项右击桌面右下脚托盘图标，在“Firewall有以下三个选项：图11.Firewall enable翻开防火墙：打勾表示当前防火墙正在工作，没打勾表示没在工作。用户可以根据需要在这里切换。2.Block All Traffic阻止所有流量：选中表示所有的进出数据都将被拦截。前提是必须选中firewa

2、ll enable3.Game mode enable翻开游戏模式：选中时，所有已设规那么仍然有效。但是当有新的程序需要联网时，防火墙会自动允许，不会提示用户。目的是使用户在玩游戏时不被打搅。但这个模式会给木马等恶意程序以可趁之机，建议不要轻易使用。三.伞墙主界面1.平安级别说明：“高：计算机在网络中隐身；外来的主动连接将被阻止；防止洪水攻击和黑客的端口扫描。“中：可疑的TCP、UDP数据包将被丢弃；防止洪水攻击和黑客的端口扫描。“低洪水攻击和黑客的端口扫描将被检测到注意，不是防止。另外，所有进出计算机的数据都被放行。图22双击“网络活动查看区的某个程序，可以看到：图3四.日志界面：图4双击某

3、一条日志：图5五.伞墙设置界面：来到configuration(设置)，我们可以看到，与防火墙相关的有四个设置模块：图6六.适配器规那么设置伞墙最难的地方，也是它精华所在：伞墙支持为每个网卡分别制定规那么，方便了通过多种方式上网的用户：图7伞墙的网络规那么分为三类：全局规那么：没有出入站之分，且优先级比拟高的规那么。入站规那么：检测进入本机的数据包的规那么。出站规那么：检测从本机发出的数据包的规那么。PS：rule up上移、rule down下移，用于上下移动选中的规那么。图81.全局规那么的制作：图9单击“Add rule增加规那么。伞墙提供了许多规那么的设置模板。其中打红圈的就是全局规那

4、么的模板。我们只要在模板中稍作修改就可以生成自己的规那么。注意：新增的规那么默认都放在某一类规那么的最下方。利用“rule up/down把规那么移到适合的位置。1Allow peer to peer network (允许P2P 软件监听端口，如BT、电驴等)：图102Allow VMWARE connection (允许虚拟机连接网络)虚拟机连网需要此规那么。此模板不需要设置，图略3Block IP (禁止IP):此模板可用于禁止本机与某一远程计算机的通讯。图114Block Subnet (禁止子网或某范围的IP地址)图12用掩码可以表示一个范围的IP地址。如上图IP=224.0.0.0

5、，掩码=240.0.0就表示224.0.0.0到239.255.255.255。Allow IP允许IP与Allow subnet允许子网或某范围的IP地址原理同以上两条，略。5Allow web sever (允许在本机开启web网站效劳)这是指定某一端口作为WEB效劳器端口。这是为效劳器设计的功能，普通用户用不到。6Allow VPN connection允许VPN网络连接图137Allow Remote Desktop connection 允许远程桌面连接图143389是远程桌面的效劳端口，一般不用改了。8Allow VNC connection允许VNC网络连接VNC好似是用于远程控

6、制计算机的软件。没用过，不是很清楚。9Allow File and Printer Sharing 允许文件与打印机共享在局网内需要相互共享资源的需要开启。这条规那么也不用自己设置，原理应该是开放本机的137-139端口。2.出入站规那么的制作以下打红方格的就是出入站规那么的模板：图151IPIP地址规那么以outgoing rules出站规那么为例：图16注意：在出入站规那么中没有禁止/允许单个IP地址的规那么模板。所以，如果要禁止单个IP，请在address后面填入这个IP，然后在mask(掩码)后面填入255.255.255.255。如果保持默认的.0，就表示一个IP段了。2ICMPIC

7、MP协议规那么：图17高级功能是对数据包的内容进行过滤，这也是伞墙的一大亮点。这对于过滤含有恶意代码的数据包如病毒木马等，很有帮助。这里的“数据包内容是指数据包的实际内容，也就是说它的偏移量应该从有效负载payload的第0字节算起。而不是从IP、TCP包头算起。单击empty可以载入包含这些字节的文件关于是什么文件，官方只答复说是一个二进制的特殊文件。所以目前还不清楚此项功能的用法。希望知情者补充！注意：这里的ICMP规那么要和“全局规那么中预设的“ICMP protocol一起用后面会讲到。3UDP UDP协议规那么：图18这里，端口填写支持单个端口，也支持一段端口如1024-5000，还

8、支持多个不连续的端口如53,80,1024-5000,6666，相互之前通过半角逗号“,隔开。注意：如果你想填全部端口，请填入0-65535，不要保持默认的none无效，不代表任何端口。4TCPTCP协议规那么图19单击all packets可以切换到“新建立和已建立的TCP连接数据包、“已建立的TCP连接数据包。具体差异和用法下面会说到。5IP protocol (IP协议规那么)图20点击0-HOPOPT-Ipv6 HOP-by-HOP Option，会出来一个表，这里有许多种IP协议：图21这里的大多数协议一般用户都不会用到，常用的可能只有Type2, IGMP。怎样设定网络规那么请看“

9、附录一七应用程序规那么：应用程序规那么控制着每个联网程序的网络动，与网络规那么一样重要。1主界面：图22如果要得到更详细的设置，请在“popup settings中点击“define one action for each(为程序的每类每络活动分别设定动作，原来是“define one action for all为程序的全部网络活动一次性设定动作)：图23为了提高平安性，请翻开这个功能。下面为一些常用的联网程序简单地谈一下设置方法：“代码录入是一个类似HIPS的功能，对HIPS没什么研究，所以下面不作涉及，只谈防火墙功能。装有专业HIPS软件的朋友这里可以全选“允许，全部交给专业HIPS来控

10、制。杀软：可以全部允许。网页浏览器：只允许TCP连接，其它都可以禁止QQ：全部允许。P2P类软件迅雷、BT、Emule等：全部允许。Globarlink联众游戏：只允许TCP连接。PPLive：全部允许。Svchost：除了listen，其它都允许。Explorer: 除了TCP connection，其它都可禁止。Userinit: 除了TCP connection，其它都可禁止。Winlogon: 除了TCP connection，其它都可禁止。2新增应用程序规那么：图24这张表列出了你正在使用的所有软件。单击想要设置的程序，按下添加就可以了。如果你想要的程序不在这个列表中，请按“浏览自己

11、搜索。八.系统设置Settings图25Automatic rule timeout规那么自动过期：这项功能是针对预设网络规那么中的“Port scan规那么来说的。当伞墙检测到某个IP正在对本机进行端口扫描时，它会自动生成一个规那么来禁止这个IP。如果选block forever，那么这条规那么将永远被保存，也就是永远禁止那个IP。如果选Remove rule after xx seconds，那么这个规那么到时候会自动被移除，这个IP将被恢复。想平安一点的话，就选block。Windows Host file is not locked/locked系统主机文件锁定：这个功能是对主机文件一

12、个文本文件，内含T C P / I P主机名与它的I P地址的信息进行写保护。防止病毒和恶软的修改，防止本机在病毒的控制下访问一些非法的网站。建议lock。Automatic allow applications created by known vendors(自动允许受信任公司出品的软件联网：红伞已把以下公司列入信任名单：Microsoft，Mozilla，Opera，Yahoo，Google，Hewlett Packard，Sun，Skype，Adobe，Lexmark，Creative Labs，ATI，nVidia。想平安一点的话就不要选，不信任何程序。因为即使是信任的软件，万一被木

13、马控制，也会危害到平安的。九Popup settings对话框设置图26Inspect process launch stack：检测一个程序通过子进程访问网络。建议勾选。但装了专业HIPS软件的用户不要勾。Allow multiple popups per process：按照帮助文件的说法，选中这个后，软件试图建立每一个网络连接都会弹出对话框。反之，只对第一个网络连接进行提示，后面的全部按用户为第一个连接所设定的处理。但我试验了一下，似乎选不选没有什么分别。Remember action for this application:这是针对下列图打圈局部的设置：图27Show details

14、：这是针对上图打框的局部的设置。这块内容不太重要，所以不详细讲了。十.对话框解释图28附录一：伞墙网络规那么设置经验：1网络规那么设置的总指导原那么：曾在国外防火墙论坛上看到一位高手对此所作的精辟论断：“Allow what you really need, and block anything else允许你真正需要的，阻止其它一切。这就是防火墙规那么制作的总原那么适用于一切防火墙。因为用这个思路做出来的规那么是最平安的。2制作规那么的原理：像一般防火墙一样，伞墙的规那么也是从上到下来对数据包进行匹配的。这一点一定要记住！按第1点所说的原那么，在规那么最后添加一条“阻止一切的规那么是必须的参

15、照伞墙high level预设规那么中icoming rules的最后一条。然后在这一条规那么的上方编写一系列的允许规那么。但这并不是说一套规那么只有最后一条是阻止规那么，其它的都是允许规那么。大多数情况下还是阻止与允许规那么交替编写的。出现在最后一条上方的阻止规那么可分成两类：第1类是单纯是为了生成日志，以方便查找攻击源。如我不想让别人来ping我，这种情况并不需要编写拦截ping的规那么，因为只要上面没有允许接收ping的规那么，最后一条就会把它拦截的。但是如果我想知道谁在ping，就可以制作这样一条规那么：“拦截type=8,code=0的ICMP数据包进入本机，并记入日志。这样我们到日

16、志查看关于这条规那么的记录，看一下源地址就知道是谁在ping我了。第2类是必须制作的，关系到平安与否的规那么。例如有一条规那么开放了本机1024-5000端口同外界进行通讯。但在这个范围内的1900和3389是高危端口，要制作一条规那么把它们关闭了，并放在原来那条规那么的上方。这样从 1900或3389进入的数据首先会被拦下，确保了下面那条规那么的平安。3具体操作：伞墙的默认规那么，严格来说，即使是最高级别也并不平安，主要是因为把本地的所有端口向所有网络地址开放。而且每个人的网络状况不一样，最好是用自己设置的规那么。自己制作规那么时，建议在high level的默认规那么下进行修改。因为这里面

17、有些规那么和思路是很不错的。1先来讲讲默认的全局规那么：ICMP protocolICMP协议规那么、TCP port scan防止TCP端口扫描、UDP port scan防止UDP端口扫描这三条建议不要改动，以免破坏防火墙的隐身性能。如ICMP规那么已经设置得很好了，出站只允许了ping请求，入站只允许了ping应答、目标不可达和超时，已经很平安，且能适应大多数用户的需要。2然后incoming规那么中的“Do not discard ICMP based on IP address也必须保存，因为全局中的ICMP规那么中只有阻止，没有允许，如果这条允许规那么没了，所有的ICMP都将被最后

18、一条“Deny all IP packets拦截。3最好在outgoing规那么的最后一条也写一条Deny all IP packets，所有未经允许的数据包都不能发出。另外，最后拦截规那么建议不要记入日志，除非规那么还在调试阶段。因为有大量数据被这条规那么拦下来。如果记入日志会占用很多的CPU。4有一点要注意：伞墙的规那么是双向的，也就是说如果你在出站规那么中写了一条TCP本地1024-5000远程1024-65535，那么在入站规那么中必须写一条对等的规那么：TCP本地1024-5000远程1024-65535。5TCP规那么中有一个特别重要的地方请注意：apply for all pac

19、kets 、apply for packets of existing connections、Apply for connection initiation and existing connection packets理论上来说是有区别的。比方，伞墙的“高平安级别能使计算机隐身，它的原理就在于预设的TCP规那么只允许packets of existing connections只允许已建立的连接的数据入站，即对任何主动连接都不响应。而“中平安级别用的是Apply for connection initiation and existing connection packets，即允许建立新

20、的连接，这样它就不提供隐身功能了。至于Apply for connection initiation and existing connection packets与all packets的区别目前还不太清楚，测试了一下也没有多大的分别，官方也没有说明和答复。我们虽不太清楚详细的区别，但有些技巧还是可以和大家分享的：上面已说过，防火墙规那么编写原那么是“严格禁止，谨慎开放。但凡阻止规那么，TCP的可选apply for all packets，UDP的可选all ports。而允许规那么，TCP的入站可选apply for packets of existing connections应用程序

21、的监听端口一定要另外编写允许规那么，选Apply for connection initiation and existing connection packets，放在上述规那么的上方。或直接在全局规那么中设置。否那么别人无法主动连接到本机。出站可选Apply for connection initiation and existing connection packets；UDP的出入站都可选opened ports同样监听端口规那么要选all ports。由于水平有限，只能谈这么多。这里推荐本论坛菜悠悠版主的一篇文章，对防火墙设置问题谈得很详细，相信会给大家带来很大的帮助：附录二：个人对伞墙的评价：伞墙主要的优点：1提供了计算机隐身模式，使黑客