LINKS
 

 

[回首页]首页 本站专题 → 个人安全方程的工具解

附录一:安全利器ConSeal PC FIREWALL中文说明书!

在前面几章涉及的工具中,对初学者最难掌握的莫过于ConSeal PC FIREWALL了,本来打算通过汉化这个软件拿出一份中文说明书。但看来时间不允许我做这个工作了,另一方面,太古板的东西反而没人看,因此我搞了一个FAQ与说明的混血儿。

   一、CPF基本情况:

1、为什么说ConSeal PC FIREWALL(以下简称CPF)是真正意义上的个人防火墙?

答:CPF是以包过滤为基本机制的,他启动后用户的出入包都经过他的过滤,决定是否允许通过,完全符合包过滤防火墙的机制。

2、我到哪里下载CPF

答:CPF原厂地址是,当然在我们主办的应用与安全上也有这个软件。

3、我已经下载安装了CPF,为何不能启动

       答:CPF的安装文件和License是分开的,不装License是无法运行的。

  二、CPF的基本说明

1、如何启动CPF

答:默认CPF将安装在Program Files\Signal9\FIREWALL下,并将快捷方式建立到程序菜单和桌面上。从此就可以启动CPF


1:启动CPF

2CPF最小化。

2、按照默认选项安装了CPF并启动后,他能防御那些攻击?

答:任何一项产品都有有一套安全规则,规则不外乎两种体系,定义之外都是合法的和定义之外都是不合法的,CPF默认选项是遵照定义之外都是不合法的原则,凡不是他初始设为合法应用的都是不允许的,因此,对OOB、对IGMP炸弹,和其他协议级的攻击的,它都能防御。

3、为何我装完CPF后,能用ICQIRC、也能收EMAIL却不能用OICQ了?

很简单,CPF默认只把最常用的几种网络应用是为合法的,这其中不包括OICQ

4、我能允许某个IP访问我的共享目录而其他地址不可以么。

答:当然可以。

5、问题56的问题,应当如何解决,能详细讲解一下CPF的应用么?


答:我们看图三,CPF菜单有如下选项,FILE(用来对规则文件进行操作),RULES(规则的详细编辑设置)Sys.tray(最小化)、Clear(清屏)、HELP帮助。其精髓部分就

图三、CPF启动后状态

是规则编辑定义问题。由于CPF默认安装允许的行为太少对CPF不认识的应用,要定义到Rules中去,以我们要添加OICQ使用为例,我们有两种方式,一种是首先要概括出OICQ的行为特性然后通过rules中的ADD功能加入,那么我们需要是先关闭CPF,看看OICQ的设置,假定我们是163用户,连接到sz.oicq.com,那么先tracert得到服务器的IP,我们知道我们是连接到SERVER8000口,而用NETSTAT -AN查看可以发现本机开放的是40005000口,然后我们把这些手工添加到rules当中。


图四、编辑添加规则第一界面

图四说明:Automatic Rule Learning:自动规则学习。ManualADD为添加、EDIT为编辑、DELETE为删除。下面列表框中为已有规则的属性。

通过此界面后将进入设备选择,一般用户选择下一步继续就可以了,然后是图五界面


图五、选择规则的基本情况

图五说明:serverice:选择服务种类 Protocol选择协议 Direction 选择包进出方向 priority此条规则的优先级、On Match:对此状况处理为许可还是禁止。

此后进入图6界面,将我们刚才分析的参数添入。


图六、选择本地和远程的IP和端口

图六说明:Remote:远方主机 Local本地 AddressIP地址 Mask子网掩码  Ports端口。

此时,选下一步,此规则就被加入规则列表,你的ICQ就可用了。

大家可以看到,这样比较麻烦,事实上,你无须自己去判定协议、地址、端口等等,CPF还有一个重要的界面我们还没有利用过。让我们看图七:


图七:当CPF遇到不了解的网络服务时弹出的请示处理页面

图七说明:上方文字将简单说明连接的基本情况远程地址,端口等等。Allow许可、Block禁止、Allow duing this session此会话中允许、Block duing this session此会话中禁止、Ignore it忽略、No new rules不作为新规则、Show Details:显示详细资料 explain risks评价危险。

图七中我们如果点击Show Details就会出现右方的提示信息,详细说明连接情况。这样要比自己分析应用特性方便很多。我们现在知道如何添加新规则,当然也知道如何编辑原有规则了。假定你想批准地址为aaa.aaa.aaa.aaaa的人访问你的共享目录,你可以新建一条规则,协议为NETBIOSremote为他的IP,本机端口为139就可以了。这样只有他可以访问你的共享目录,而别人不可以。

三、使用技巧

1、我该如何分析CPF的显示的处理记录

如果不太懂网络的一些知识,用CPF可能会困难一些,我们看图八,这是CPF拦截了PING你的包,由于incoming类型为ICMP type=8可以知道是有人PING你,你现在已经知道他的IP了,但他PING你是不通的,因为你并没有回包给他。


图八:CPF截获远程机器PINGsrc是源地址dst是目标地址

图九是CPF阻止了一个用户访问本机的共享目录的抓图,由于端口为139,协议为,可以判定是访问共享目录。你现在已经知道他的IP了,但他去不知为何访问你机器没响应。

 


 


图九:CPF截获远程机器访问共享资源src是源地址dst是目标地址sport是源端口dport是目标端口

2、我用网络蚂蚁下载一个东西,CPF却报告我连接往某一IP。这个IP不是我下载东西的服务器。难道我的蚂蚁被谁绑上木马了?

答:不要太紧张,我估计那是蚂蚁上那个广告条所在的服务器。

3、我的CPF经常出现一些ICMP的信息,但我看目标地址,也不是源地址中都没有我的IP,怎么会事?是不是有人攻击我?

答:可能是网上的广播信息而已。大家一定注意,不要动辄就怀疑,我是不是被黑了?这个包是不是有人攻击我?多学学网络的知识,使用工具才会更得心应手。