防火墙安全规则设置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
防火墙安全规则设置
上传于||暂无简介
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩6页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢网站IIS防火墙规则设置说明
网站IIS防火墙安装后，需要根据网站具体情况，设置拦截规则，才会起到最佳的防护效果。我们先来
看看黑客是如何攻击网站的。
一、黑客入侵网站的主要步骤
1、对网站进行漏洞扫描，比如，SQL注入扫描、文件上传等
2、尝试上传 ASP / PHP / .NET 木马进行提权，建立新的 Windows用户，将新用户加入到
Administrators 组
3、开启“远程桌面”，对服务器进行访问控制
二、基本防护措施
黑客攻击行为
&对网站进行 ASP / PHP 网页漏洞扫描　
&例如，SQL注入点扫描
开启（1）SQL注入拦截
（2）HTTP行为限制，只允许 HEAD / GET / POST 三个
HTTP行为动作
（3）限制URL长度，防止URL溢出攻击
（4）URL过滤拦截，过滤特殊行为的URL
&WEB漏洞上传 ASP / PHP / .EXE 木马程序
开启（1）POST上传木马特征文件拦截，拦截ASP/PHP/.NET/.EXE木马上传
（2）服务器文件监控，发现写入 PHP木马后，立刻对内容扫描并拦截
（3）带点畸形目录文件监控拦截，拦截类似 com7 / lpt9 ...特殊文件
&利用 ASP / PHP / .NET 执行命令和提权
开启（1）IIS应用程序池运行时用户监控，阻止非白名单 SYSTEM权限 IIS池
（2）危险系统组件监控拦截，阻止网页木马访问危险组件
（3）DOS命令和EXE程序监控拦截，阻止网页木马执行命令
&利用 ASP / PHP / .NET 建立畸形目录
（1）带点畸形目录文件监控拦截，拦截类似 com6 / lpt8 ...特殊文件
&利用已上传的ASP/PHP木马建立Windows用户
开启（1）Windows用户名创建拦截功能，阻止黑客创建新用户
（2）Administrators 组用户实时监控拦截，防止提权
&开启远程桌面，登录远程桌面控制服务器
（1）远程桌面登录实时监控拦截，阻止非白名单用户登录远程桌面
&通过远程桌面对服务器进行操作
（1）远程桌面实时屏幕录像功能，对各种操作进行屏幕录像，录像取证
当前版本只支持 Windows 2003 系统
三、其他攻击行为的防护措施
1、拦截通过其他模式上传的 ASP/PHP木马文件
&&& 安装《网站网页木马文件监控助手》
&&& 当网站 wwwroot 目录中有 ASP / PHP /
等文件上传、BBS论坛附件上传、木马文件上传时，会被立刻监控到，同时对此
文件进行过滤扫描，若发现是已知的木马文件，则自动对其进行改名拦截处理。若发现是可疑文件，则写入监控日志文件，供服务器管
理员进行查阅审计。
软件下载和演示请访问
2、拦截对 HTML / ASP / PHP 网页进行批量挂马等
&&& 安装《智创网页文件防篡改助手》软件
&&& 对服务器中指定的 WEB
目录进行修改和写入拦截，给文件目录加上一把保护锁。保护 HTML / ASP / PHP / ASPX
等文件不被写入和修改。
软件下载和演示请访问：
3、拦截上传 PHP木马后进行 UDP发包攻击
安装《智创IIS网站异常流量实时监控助手》（w3wp.exe进程 UDP速度限制）
&&& 对 IIS 的 UDP 进行速度限制，将 w3wp.exe
进程的 UDP 数据包发送速度限制在 8 - 64K 左右。从而避免异常 UDP
流量把整个服务器的带宽占用完。
软件下载和演示请访问
四、高级防护措施
特别说明，防火墙依赖设置的防护规则，规则强度设置的太低，可能没有效果；如果强度设置太高，可能导致正常访问被拦截
。这里的规则需要多次调整优化，使其达到最佳防护效果。
1、安装智创IIS防火墙，下载地址
2、开启网站入侵访问审计监控功能，对 www.网站.com
进行监控，记录所有的POST信息&&& 找到黑客通过什么途径入侵的网站，什么页面有 xxx.asp / xxx.php
页面提交的数据，入侵时黑客向服务器提交了什么数据，向服务器 POST上传了什么 ASP /
PHP 木马等。以便制定拦截规则。　
3、开启（1）SQL注入攻击拦截，防止黑客进行sql注入
（2）“一句话”木马拦截
（3）POST上传木马特征文件拦截
（4）POST行为白名单监控—记录类，记录有
POST行为的网页，以便后面进行拦截未知POST页面
4、对网页上传目录进行限制，例如，部分程序，有
/UploadFile/ 专用目录，如果网页存在漏洞，也可能被上传 asp/php等木马程序
&&& 需要拦截 /UploadFile/ （其他名字，则做相应的修改）目录里的 asp / php / aspx
等文件，可以填写规则*/UploadFile/*.asp*/UploadFile/*.php*/UploadFile/*.aspxwww.网站.com/UploadFile/*.aspx
这样，即使网站存在上传漏洞 xxx.asp 文件被上传到了 /uploadfile/
目录里，也无法运行。　
5、对后台 /admin/ 目录进行登录 IP限制&&& 开启 特殊目录访问IP限制功能，对后台IP进行限制。这样 /admin/ 目录只有指定的IP地址可以访问，非白名单IP一概拦截。　
6、开启 POST行为白名单监控—拦截类模块，对所有未知
POST行为进行拦截&&&
拦截未知 ASP / PHP / .NET 木马程序的原理，&&& 服务器被上传 ASP / PHP / .NET 木马程序后，这类木马程序都会执行 HTTP POST 动作。我们预先把网站正常的POST程序网页建立一个白名单，凡是没有在白名单的ASP/PHP/.NET网页出现的 POST行为一律拦截。这样即使黑客上传了木马，这个木马也无法正常工作。这样可以拦截掉绝大部分网页木马，如各种加密变形的未知网页木马。　
7、开启 Windows用户创建拦截功能，防止黑客创建新用户&&& 黑客上传 ASP / PHP / .NET 木马后，有可能在服务器上创建 Windows 用户和将用户提权到
Administrators 组，进而控制整个服务器。本功能将拦截黑客创建新 Windows
用户，以保证服务器安全。　
8、开启 远程桌面登录实时监控拦截&&&
对远程桌面登录进行实时监控拦截，对于非白名单的IP地址登录，或非白名单的客户端登录一律进行拦截，以保护远程桌面防止被恶意登录。　
远程桌面实时屏幕录像功能，对各种操作进行屏幕录像，录像取证&&& 对黑客在服务器上进行的各种操作进行屏幕录像。　
10、启用“文件防篡改”保护，规则设置演示说明
&&& 对服务器中指定的网站目录进行写入拦截，给文件目录加上一把保护锁。保护
HTML / ASP / PHP / ASPX ...等文件不写入和修改。&&& 例如，服务器以下几个网站存在漏洞，被反复挂马和上传木马，监控目录可以填写
&&& d:\home\网站111\wwwroot&&& d:\home\网站222\wwwroot&&& d:\home\网站333\wwwroot&&&
&&& 这样，我们设置防篡改保护规则后，网站目录
d:\home\网站111\wwwroot 里的 HTML / ASP / PHP / ASPX
... 等文件的任何写入和修改都被禁止 ，这样可以保护网站不被上传和写入 ASP / PHP /
ASPX ... 等网页木马文件， 同时又不会影响 BBS论坛上传 .rar / .zip /
.jpg ...等文件。
五、如果防火墙规则设置上有任何疑问或问题，请联系我们的客服人员，我们将热诚为您服务。
& 智创软件技术支持 QQ:
& 手机QQ扫描二维码，加我为好友查看: 4713|回复: 2
浅谈防火墙规则设置
防火墙规则，一般分为全局规则和应用程序规则两部分。
全局规则，从应用程序的角度而言，是对所有程序都起作用的规则；从协议的角度而言，是针对ARP、ICMP、IGMP、TCP、UDP等协议进行规则设置的地方。
& && &应用程序规则，从应用程序的角度而言，只对所设定的程序起作用；从协议的角度而言，只针对传输层的TCP、UDP协议以及消息控制的ICMP协议进行设置【很多防火墙中，应用程序规则只管TCP与UDP的设置即可，毛豆这里顺带考虑ICMP】。
TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的，所以，当毛豆规则中选用协议为IP时，实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。
& && &全局规则，毛豆有内部集成的处理机制，一般不建议作特别详细和严厉的设置，通常只需选择一个适合自己使用的隐身模式设置一下即可，主要的精力可以放到应用程序规则的制定上，这样可以在保证基本的安全性的前提下获得很好的易用性。
& && &在设置应用程序规则的时候，记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用，不需要对外开放端口来提供服务让别人连接访问我们的电脑，我们是客户端，只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛……
应用程序规则的制定，围绕协议、地址和端口这三个要素进行。
& && &当我们发起对外的连接【外出访问，连出】时，源地址是本机，目标地址是远程计算机【可能是服务器，也可能是个人电脑】。
& && &当我们开放本机端口提供服务【接入访问，连入】时，源地址是远程计算机，目标地址是本机。
如非必要，在做规则时，一般可以不填源地址和目标地址。
【方向出，一般称为出站、出站连接、外出、连出；方向入，一般称为入站、入站连接、连入。名词虽不同，意思都是一样的】
计算机上的端口，理论上有0-65535个，按TCP和UDP协议分，则TCP端口和UDP端口各有65536个。
在这65536个端口中，0-1023的端口是固定端口【又称低端口】，是特定的系统服务占用的，如非必要，绝对不能开放低端口；从1024开始到65535止，是系统分配给应用程序使用的，称为活动端口【又称高端口】。高端口与低端口的名称，源自端口号的大小，是一种俗称。
使用TCP端口进行连接，俗称TCP连接；使用UDP端口进行连接，俗称UDP连接。TCP连接是可靠连接，网络数据传输中使用得比较多。UDP连接虽然是不可靠连接，但是传输速度较快，QQ和P2P软件中会使用它。
【要了解各个端口的作用及对应的服务，可以下个《端口大全》之类的资料进行参考】
【本地高端口（活动端口）的选择，精确一些的话，选常用端口即可。xp的常用端口是，vista的好像是。一般情况下，偷懒的话，直接选满档即可。注意，域名解析的规则，一定要选，因为微软的补丁变来变去的，一会儿是常用端口，下一个补丁来了可能又变成50000以上的大端口】
基本东西了解，程序规则做起来就很简单。
先看系统进程：
外网的话，只须允许svchost即可，其它的可以禁止访问网络。svchost的规则如下：
1、域名解析&&行为允许 协议UDP 方向出&&源端口&&目标端口53
2、DHCP服务&&行为允许 协议UDP 方向出&&源端口68&&目标端口67【有的规则直接写成源端口67-68，目标端口67-68，目的是同时适用于客户端与服务端】
3、时间同步 行为允许 协议UDP 方向出&&源端口123&&目标端口123
4、系统更新 行为允许 协议TCP 方向出&&源端口&&目标端口80和443【不用系统更新的删掉】
5、UPNP 行为允许 协议UDP 方向出&&源地址任意 目标地址239.255.255.250 源端口&&目标端口1900【不用upnp可以不设】
6、扎口袋 行为阻止 协议TCP/UDP 方向出/入&&【从严厉的角度讲，协议应选IP，如果不清楚它是否使用ICMP协议，那就选TCP/UDP即可】
扎口袋的作用，是阻止不必要的弹窗——不在前面规则设定允许之列的一律阻止，不要再来弹窗询问。
如果是内网的话，再加个system的规则即可。只需共享其它计算机文件的，按如下设置：
1、行为允许 协议IP 方向出&&源地址任意 目标地址为 本地网络1#
同时在全局规则中也添加：行为允许 协议IP 方向出&&源地址任意 目标地址为 本地网络1#
如果允许其他计算机共享本机文件，按如下设置：
1、行为允许 协议IP 方向入&&源地址本地网络1# 目标地址任意
同时在全局规则中也添加：行为允许 协议IP 方向入&&源地址本地网络1# 目标地址任意
注意：以上规则如果要细化，请将IP协议改为UDP，添上目标端口为137-138；将IP协议改为TCP，添上目标端口为139
也就是把1、行为允许 协议IP 方向入&&源地址本地网络1# 目标地址任意&&改为
1、行为允许 协议UDP 方向入&&源地址本地网络1# 目标地址任意 来源端口任意 目标端口137-138
2、行为允许 协议UDP 方向入&&源地址本地网络1# 目标地址任意 来源端口任意 目标端口139
【文件共享，一般只需访问UDP137-138端口（获取机器名称），TCP139端口（传文件）即可；对于2000之类的系统，使用445端口来共享文件，那就再加上UDP445与TCP445端口的规则即可，局域网中共享远程打印，也会使用445端口和upnp服务（该服务一般在svchost中设置即可）】
使用VPN的话，再加个lsass的规则即可。全局规则里可能需要设置一下协议支持，具体参看VPN的设置方法。
应用程序规则，可以分一下类：
1、只做客户端。这是最大的一类。无论这种客户端软件使用的TCP协议还是UDP协议，对于它们来说，规则都是出奇的简单——使用本机的活动端口【的高端口】出外连接【方向出】远程计算机【服务端】的服务端口即可。比如我们熟悉的浏览器，以TCP协议的方式连接服务器的80端口【HTTP】，如果需要加密连接【例如网络银行之类的特殊场合】就再加条以TCP协议的方式连接服务器的443端口【HTTPS】，如果要使用代理，那就再加上以TCP协议的方式连接服务器的1080端口、3128端口、8080端口即可。一般应用程序升级，只须HTTP连接即可【以TCP协议的方式连接服务器的80端口】。像联众、中国在线游戏之类的一般性游戏，只须以TCP协议的方式连接远程服务器开放的指定端口，既可登录游戏中心玩游戏。
注意，HTTP服务的端口，标准规定是80端口，但是有些网站却使用其它端口来做HTTP服务【HTTP服务端口是可以设定的】，例如82、83、88、90、、8888等。所以，当浏览器的规则设定HTTP访问只能访问80端口时，遇到这样的网站，就会被防火墙拦截而无法正常访问。解决的办法是：一、这种另类网站很少，无视。二、自控掌握，规则结尾写上一条TCP协议的本机高端口访问远程任意端口时询问的规则。
如果没有在系统服务中禁用DNS Client服务，域名解析是由svchost进程代劳域名解析的；如果禁用了该服务，就得启用应用程序本身的域名解析功能，这就需要在规则中添加上一条允许本机高端口【】出站连接【方向出】远程UDP【UDP协议】53端口的规则。【域名解析的作用，是把域名翻译成IP地址，因为计算机的网络通信只认IP地址，如果没有域名解析功能，当我们输入的时候，浏览器就不知道它要连接的是什么地址，结果就会报错而无法访问。域名解析有TCP和UDP两种方式，一般只用UDP方式，因为UDP速度快，无需像TCP为了建立一个连接须进行三次握手、为了断开一个连接又须发出确认标志，适合DNS服务的快连快断的特点】。
（如果不确定是否需要启用程序的域名解析功能，一般建议在应用程序规则中加上一条域名解析的规则以防万一）
以浏览器规则为例，其规则一般一两条就够了：
①HTTP访问&&行为允许 协议TCP 方向出&&源端口&&目标端口80,443
②域名解析&&行为允许 协议UDP 方向出&&源端口&&目标端口53
③扎口袋 行为阻止 协议TCP/UDP 方向出/入
注意，上面的①②两条规则如果合并为一条规则：允许发起对外的访问 行为允许 协议IP 方向出时，实际上是比较宽松的，它包含的意思是，允许本机0-65535的端口【实际上应是，系统分配给应用程序使用的活动端口号是从1024开始的】以TCP或者UDP的方式访问远程的0-65535端口 ，还允许对外发出任意的ICMP消息【只要是全局规则没有禁止的而程序能发的都会被允许】。如果再加上一条扎口袋的规则，它就成了”只允许外联访问“。
2、既是客户端又是服务端。这类软件也很多，P2P软件【迅雷、电驴、快车、网络电视……】、QQ、大型网游【CIS、魔兽争霸……】。这类软件，客户端规则与上面第一类基本相同外，由于还会开放本机端口【通常是一个TCP端口和一个UDP端口】做服务端，所以还要加上服务端的规则——允许远程计算机的活动端口来连接【方向入】本机的服务端口【如果想精确控制，那么需要明确写上本机开放的是哪个端口号。由于我们不知道P2P软件究竟设置了哪个端口来做服务端口，模糊处理，可以指定范围——本机允许该软件使用高端口范围内的端口来做服务端口，这样做出的P2P软件规则就会具有很大的通用性。倘若采用精确控制的方法来设定P2P软件的规则，如果所有的P2P软件都套用该规则，那么，就得在P2P软件上改设置——所有的P2P软件，不论是迅雷还是BT，都只能使用规则中指定的端口来做服务端口，否则就会被防火墙拦截】。
对于这类软件的规则，以P2P规则为例，不做精确控制的话，五条规则即可：
①外出访问 行为允许 协议TCP/UDP 方向出&&源端口&&目标端口任意
②接入服务 行为允许 协议TCP/UDP 方向入&&源端口&&目标端口
③域名解析
④允许ping出&&行为允许 协议ICMP 方向出&&ICMP细节：ICMP回显请求
⑤扎口袋 行为阻止 协议TCP/UDP 方向出/入
像QQ这种聊天软件来说，直接套用P2P的规则也无不可，如果模糊控制，那就是两条规则：
①外联访问 行为允许 协议IP 方向出&&
②接入服务 行为允许 协议TCP/UDP 方向入&&源端口&&目标端口
如果要细化一点，作些精确控制，那么就是：
1、允许外出的HTTP访问【本机高端口连接远程服务端的TCP80、443、、、12000端口】
2、允许ICQ访问【本机UDP端口连接远程服务端的UDP端口，本机UDP端口连接远程服务端的UDP端口】
3、接入服务 【远程客户端UDP端口连入本机UDP端口】
4、文件传输 TCP方式 （本机高端口外出访问远程服务端的高端口）
5、文件传输 UDP方式 （本机UDP端口访问远程服务端的高端口）
6、扎口袋或者询问
一般来说，能够进行精确控制的，尽量精确控制。究竟是采用精确控制还是模糊控制，除了个人选择之外，一般需要根据防火墙类型来确定。像jetico、LNS之类的防火墙，都是采用精确控制的；像风云、毛豆之类的防火墙，可以采取模糊控制；像PCT之类的大多数防火墙，总的设定初看是模糊控制，而实际使用中是精确控制——当检测到一个应用程序开放某端口时，会弹窗询问，如果用户选择确定，就将允许连入该端口的规则加入白名单。
魔兽争霸等大型网游的规则，与P2P一样，可以单独设置，也可以直接套用P2P规则。
超越以上两类，不知道如何分类才好的，是杀毒软件【这里说的杀毒软件是指具有网络监控和访问服务代理的杀毒软件（比如卡巴、avast、AVG之类），对于绿色杀软和一般的杀马软件只须升级病毒库的对其升级程序给予HTTP连接的规则即可】的规则。对于杀毒软件的规则，建议采用毛豆默认的规则【只一条】：
全权允许【行为允许 协议IP 方向出/入】
如果全局规则打磨规则进行了详细的设置，那么，应用程序规则中允许的端口，全局规则中必须放行，否则就会被全局规则拦截而使程序无法正常访问或是影响连接速度。
注意：在程序规则及数据的过滤上，各种防火墙的控制不一样，有的只须单向过滤即可（如毛豆），有的需要双向控制，请根据所用防火墙的特点灵活掌握。本帖所谈内容主要是针对毛豆来讲。
这不是柯林写的吗？
在cmd区搜搜就有了。
楼主杯具了
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,