Outpost防火墙---百炼成钢后的防火墙一
2008-12-18 12:18:32 来源:WEB开发网本项的默认设置对绝大部分用户而言已是足够安全的。然而允许Destination Unreachable数据包流出在某些特定类型的扫描中会暴露你微机的存在(绝大部分已被Outpost拦截),所以对该项的改动可以让你的微机的隐匿性更强。
改动收益:使你的微机逃过某些可以避开Outpost检测的扫描。
付出代价:在某些情况下(如缓慢的DNS回应)Destination Unreachables信息的传送是合法的,此时就会显示为被屏蔽,结果就是可能导致一些网络应用程序的延迟和超时(如P2P软件)。
步骤:
● 取消对“Destination Unreachable ”Out的钩选。
如果你在运行Server程序,那么对Ping和Tracert命令的响应可能就是需要的。一些互联网服务提供商(ISP)可能也会要求你对它们的Ping做出回应以保持在线连接。这些情况下可以参考如下步骤。
改动收益:允许用户检查与Server之间的连接和网络性能,这些可能是某些ISP要求实现的。
付出代价:让你的系统处于被Denial-of-Service(DoS)攻击的危险之中。
步骤:
●钩选“Echo Reply”Out和“Echo Request”In选项以允许对Ping的响应。
●钩选“Destination Unreachable”Out和“Time Exceeded for a Datagram”Out选项以允许对Tracert的响应。
可选步骤:上述做法会使本机对任意地址的Ping和Tracert命令做出响应,还有一个可选的方案是用一个全局规则来实现只允许来自可信任地址的ICMP信息-但是这样会导致其漠视Outpost的ICMP设置而允许所有的ICMP信息流通。然而当特定 地址已知时,这样做也未尝不可。通过如下步骤实现:
●创建一个如下设置的全局规则:
Allow Trusted ICMP:指定的协议IP 类型ICMP,指定的远程主机 <填入受信IP地址>,允许
注意该规则不要定义方向(流入和流出的数据都需要获得权限)。
更多精彩
赞助商链接