AgnitumOutpostFirewallPro是一個受到越來越多用戶喜愛和關注的優秀防火墻，占用資源相對較小，設置靈活方便，穩定強悍，可以算得上個人防火墻中的佼佼者了。東西雖好，可是很多人在使用中只是讓軟件的默認設置在發揮作用，而防火墻的默認設定往往更側重于兼容性方面的考慮，想讓防火墻更好的發揮作用，就需要你根據自己的網絡情況作出調整和配置。正好官方論壇中有一篇相關文章，編譯出來和大家一起學習交流。特此感謝原作者和Outpost論壇。文中涉及到的Outpost選項的中文名稱出自Silence的2.7.485.5401(412)版漢化。導論：本文是為了幫助Outpost防火墻的用戶建立一個更安全、對微機的流出數據監控更加嚴密的網絡連接。隨著越來越多的軟件喜歡在用戶不知情的情況下向“老家”傳送信息以及花樣翻新層出不窮的木馬和病毒企圖把它們的活動偽裝成正常的網絡通訊，對網絡的流出信息進行監控和限制逐漸與對流入企圖進行限制處在了同等重要的地位。因為本文涉及到了對默認規則的調整，用戶最好事先對Outpost防火墻已經有一定熟悉度（按：并且最好對一些基本的網絡知識和術語也有所了解）。安全性和方便性永遠無法兩全，這就需要你根據自己的實際情況做出取舍－下文中一些改動可能需要你完成大量的調整工作，也會讓你的某些行為（如更換ISP）變得困難的多。某些（尤其是商業／企業的）網絡環境可能會導致文中某些部分出現問題，請在實施改動前詳細閱讀各個項目的優點和缺點－如果有疑問可以試著每次只進行一項改動然后進行詳盡的測試，分析Outpost的相關日志（尤其是被禁止連接的日志），以便做出進一步的決策。本文中的推薦更多是基于安全性而不是方便性的考慮。最后，請注意本文檔并不是出自Agnitum公司，Agnitum公司也不對本文進行技術支持，相關問題和討論請在Outpost防火墻論壇提出，而不要與Agnitum公司直接聯系。Outpost免費版用戶注意：文中涉及的設置沒有在免費版中進行測試，某些部分（如關于全局規則設置的D小節）也無法部署（由于免費版中全局規則只能被禁用而無法修改），而某些特性（如組件控制）也是在OutpostProv2以后才出現的，然而文中涉及的方法仍然會對此類用戶系統安全性的提高起到一定的參考作用。A－局域網設置（位于“選項／系統／局域網設置／設置”）改動收益：通過限制特權用戶的連接來提高安全性。付出代價：需要進行更多的設置和維護工作，尤其是對大型局域網來說。本設置指定哪些IP段需要被認定為“可信用戶”。從安全性的角度來說，這里列出的IP段越少越好，因為對這些地址流入流出的數據可能會漠視所有應用程序規則和全局規則而得以通行。（請查閱OutpostRulesProcessingOrder獲知詳情）對非局域網用戶來說，本部分沒有考慮的必要。這種情況下可以去掉對“自動檢測新的網絡設置”的鉤選以防止Outpost自動添加默認設置。本部分設置只須處于如下環境的微機加以考慮：●位于局域網（LAN）中，并且帶有需要共享的文件或者打印機的微機；●位于局域網中并且需要通過網絡應用程序進行連接，但是無法通過應用程序規則設定完成工作的微機；●位于互聯網連接共享網關上的微機，其應將每一個共享客戶端的IP地址列為可信任地址。請查閱LANandDNSsettingsforV2獲知詳情。上述任一種情況下由Outpost提供的默認網絡設置都是過于寬松的，因為它總是假設同一網絡中的任何微機都應該被包括在內。步驟：●取消鉤選“自動檢測新的網絡設置”以防止Outpost自動添加新的設置。注意如果日后安裝了新的網卡，在此項禁止的情況下新的地址需要手動添加進去。●逐個添加每個PC的地址（所添加項隨后會以帶網絡掩碼55的形式出現）。互聯網地址絕不應該出現在該位置。●鉤選涉及到文件／打印機共享的微機后面的“NetBIOS”選項。●鉤選涉及到網絡應用程序的微機后面的“信任”選項。如果你位于一個大型局域網內，逐個列出每個微機就是不太現實的了，此時一個可用的方案就是用Blockpost插件列出IP段然后屏蔽該IP段中不需要的地址（Blockpost插件允許用戶定義任意IP段，這是Outpost現階段還做不到的）。請注意局域網內的網絡活動可能被“入侵檢測”插件曲解為攻擊行為。如果你遇到此問題（尤其是Windows網絡中存在BrowseMaster和DomainController的情況下），請在本文F4部分查找通過插件設置避免問題的詳細內容。B–ICMP設置（位于“選項／系統／ICMP／設置”）ICMP（InternetControlMessageProtocol）是用于傳送診斷信息與出錯信息的一部分網絡端口。詳情請查閱RFC792-InternetControlMessageProtocol。該部分默認設置允許如下活動：●通過Ping命令進行的基本網絡連接測試（由EchoRequestOut和EchoReplyIn實現）－對本機進行的Ping將被攔截以掩藏本機的在線狀態。●對探測者顯示本機網絡地址不可用（由DestinationUnreachableInandOut實現）。●對探測者顯示本機地址無法連接（由流入數據超時而引起），該類連接由Tracert命令發起－進入類跟蹤路由企圖將被攔截以掩藏本機在線狀態。本項的默認設置對絕大部分用戶而言已是足夠安全的。然而允許DestinationUnreachable數據包流出在某些特定類型的掃描中會暴露你微機的存在（絕大部分已被Outpost攔截），所以對該項的改動可以讓你的微機的隱匿性更強。改動收益：使你的微機逃過某些可以避開Outpost檢測的掃描。付出代價：在某些情況下（如緩慢的DNS回應）DestinationUnreachables信息的傳送是合法的，此時就會顯示為被屏蔽，結果就是可能導致一些網絡應用程序的延遲和超時（如P2P軟件）。步驟：●取消對“DestinationUnreachable”Out的鉤選。如果你在運行Server程序，那么對Ping和Tracert命令的響應可能就是需要的。一些互聯網服務提供商（ISP）可能也會要求你對它們的Ping做出回應以保持在線連接。這些情況下可以參考如下步驟。改動收益：允許用戶檢查與Server之間的連接和網絡性能，這些可能是某些ISP要求實現的。付出代價：讓你的系統處于被Denial-of-Service（DoS）攻擊的危險之中。步驟：●鉤選“EchoReply”Out和“EchoRequest”In選項以允許對Ping的響應。●鉤選“DestinationUnreachable”Out和“TimeExceededforaDatagram”Out選項以允許對Tracert的響應。可選步驟：上述做法會使本機對任意地址的Ping和Tracert命令做出響應，還有一個可選的方案是用一個全局規則來實現只允許來自可信任地址的ICMP信息－但是這樣會導致其漠視Outpost的ICMP設置而允許所有的ICMP信息流通。然而當特定地址已知時，這樣做也未嘗不可。通過如下步驟實現：●創建一個如下設置的全局規則：AllowTrustedICMP：指定的協議IP類型ICMP，指定的遠程主機<填入受信IP地址>，允許注意該規則不要定義方向（流入和流出的數據都需要獲得權限）。C－防火墻模式（位于“選項／系統／防火墻模式”）保持默認設定“增強”，不建議作改動。D－系統和應用程序全局規則（位于“選項／系統／系統和應用程序全局規則”）D1－指定DNS服務器地址DNS（DomainNameSystem）是通過域名來確定IP地址的一種方法（如的IP地址是2。詳情請查閱RFC1034-Domainnames-conceptsandfacilities）。因為連接網站時DNS信息必須通過防火墻以實現IP地址查詢，一些木馬以及泄漏測試就試圖把它們的通訊偽裝成DNS請求。然而通過把DNS通訊地址限定為你的ISP所提供的DNS服務器，這種偽DNS請求就可以被有效的攔截。有兩種方法可以完成這項任務：(a).“全局DNS”設置－把你的ISP的DNS服務器地址加入到全局規則中改動收益：通過少量工作即可完成上述任務。付出代價：如果你通過多家ISP上網，那么所有的服務器地址都需要被添加進去－如果你更換了ISP或者ISP更改了它們的服務器地址，那么你就需要把新的地址更新進規則中去。如果你有程序或者網絡環境需要應用反復式DNS查詢（Windows環境下通常使用遞歸式查詢，反復式通常是應用于DNS服務器之間），那么配置這條規則就可能會出現問題。步驟：●找到你的ISP使用的DNS服務器地址。最簡單的方法就是在命令行窗口中使用“ipconfig–all”來查詢，Windows9x/Me/Xp的用戶也可以在開始菜單的“運行”對話框中使用winipcfg得到相關信息。●把這些地址作為遠程主機地址加入到“AllowDNSResolving”全局規則中。Windows2000/XP用戶還應該把這些地址加到應用程序規則中services.exe/svchost.exe的相關項目中（詳情參見E2部分）。(b).“應用程序DNS”設置－移除全局規則，逐個給每個程序添加DNS規則改動收益：如此一來新添加的程序通常需要兩項規則（DNS規則和程序自身需要的規則）來減少可疑程序在意外情況下的通行。試圖與“老家”通訊的惡意程序現在就面臨著尋找必要IP地址的額外手續，這樣它們會誤認為現在無網絡連接從而進入休眠狀態直到被偵測到。只通過DNS端口通訊的這類木馬程序現在就必須通過額外規則才可以通行，這也是現在唯一可以屏蔽DNShell以及類似泄漏測試的方法。付出代價：需要完成繁瑣的多的工作－每一個程序都需要添加一條額外的規則。更換ISP后需要把所有規則更新為新的DNS地址。步驟：●在Windows2000和XP環境下，關掉“DNS客戶服務”（通過開始/控制面板/管理選項/服務）。這會強迫每個程序發出自己的DNS請求，而不是通過services.exe(Win2000)和svchost.exe(WinXP)發出。●停用或者刪除“系統和應用程序全局規則”中的“AllowDNSResolving”規則。●對每一個程序添加一個新規則，使用下列關鍵字：<軟件名>DNSResolution：指定協議UDP，遠程端口53，遠程主機<你的ISP的DNS服務器地址>，允許可以通過設定本規則為預設規則來簡化工作。步驟如下：斷開網絡，退出Outpost，打開preset.lst文件（位于Outpost程序文件夾中）并在文件末尾添加下列規則：;ApplicationDNSResolution[ApplicationDNSResolution]VisibleState:1RuleName:ApplicationDNSResolutionProtocol:UDPRemotePort:53RemoteHost:加入你的ISP的DNS服務器地址，如有多個用逗號分隔AllowIt添加該預設規則后，日后碰到添加規則向導提示的時候只要選定該預設規則導入即可（如果你想允許該程序通行的話）。這種情況下，IP地址在“選項/程序”中將以附帶(55)子網掩碼的形式出現，此即指明了一個條目的IP地址范圍，其與單獨一個IP地址所起作用相同。注意此時“工具/自動檢查升級”選項應該被禁用，因為對preset.lst的改動可能被自動更新的文件覆蓋掉（雖然“自動更新”在覆蓋文件以前會提示），一個比較好的辦法是手動備份該文件，然后再進行更新，更新完畢后如有必要再把備份文件覆蓋回去。注意－兩種DNS設置都需要的規則不管選擇上述兩種設置中的哪一種，都需要考慮到一種情況－DNS查詢使用更多的是UDP(UserDatagramProtocol)協議而不是TCP(TransportControlProtocol)協議。查詢使用到TCP協議的情況很少見而且通常是復雜查詢－實際使用中通常它們可以被屏蔽，因為該查詢會用UDP協議再次發送，因此在全局規則中可以添加一條規則如下：BlockDNS(TCP)：協議TCP，方向出站，遠程端口53,禁止如果你想允許此類通訊，那么或者是修改規則為“允許”（指全局DNS規則）或者是為每一個程序創建第二條DNS規則用TCP取代UDP（應用程序DNS規則）。報告疑為木馬程序偽裝的DNS活動任何對已設定DNS服務器以外地址的查詢都應該被視為可疑活動而在默認情況下被禁止，此時可以在DOS窗口中用ipconfig/all命令來查詢是否ISP的DNS服務器已改變而需要更新DNS規則設置。此時可以通過在全局規則中其它DNS規則下方添加如下規則來解決－第二條只有在上述提到的TCPDNS規則設為允許的情況下才需要：PossibleTrojanDNS(UDP):協議UDP，遠程端口53,禁止并且報告PossibleTrojanDNS(TCP):協議TCP，方向出站，遠程端口53,禁止并且報告該規則會禁止任何可疑的DNS嘗試并且做出報告。注意該規則不推薦采用應用程序DNS設置的用戶使用，因為合法DNS服務器地址需要從規則中排除以防止誤報（例如當一個沒有設置規則的程序發起請求的時候）－指定IP地址范圍可以解決該問題，但是Outpost現有對IP段的處理能力并不是很完善。D2-指定DHCP服務器地址DHCP(DynamicHostConfigurationProtocol)是大多數ISP給登錄用戶分配臨時IP地址使用的一種方法。因為想要與ISP建立連接就必須允許DHCP通訊，這也就成為了木馬程序為了在不被探測到的情況下向外發送信息所可能采用的一種手段。除此之外，向特定地址用大量的DHCP信息進行沖擊也成為了DenialofService(DoS)攻擊采用的一種手法。更多關于DHCP信息可參考RFC2131-DynamicHostConfigurationProtocol。如果你的系統使用固定IP地址（不管是因為位于內網還是因為使用獲得動態地址的路由器）那么此部分設置可以略過。想檢查DHCP是否被應用，可以在命令行窗口使用ipconfig/all來查詢－在窗口底部可以得到相關信息。限制DHCP通訊到某個特定服務器比對DNS做出限制要稍微復雜一些，因為Outpost看起來暫時還不能始終如一的精確分辨出DHCP通訊的方向（部分是由于DHCP協議使用UDP協議，部分是由于它能包括的IP地址的變化），因此本規則推薦對本地和遠程端口而不是對方向進行限制。另外，第一次DHCP請求是對55地址發出的廣播形式（該通訊應該送達局域網中所有的主機），因為機器啟動時無從得知DHCP服務器的地址，后續的DHCP請求（為了更新IP地址分配）才會被發送到DHCP服務器。Windows2000和XP用戶可以通過只允許通過全局規則的廣播以及對其它請求設定應用程序規則（Windows2000是services.exe，WindowsXP是svchost.exe）來進一步限制DHCP通訊，請參考E2部分獲得更詳盡的信息。改動收益：防止對DHCP權限的濫用。付出代價：如果使用多家ISP，每一家都需要單獨設定其服務器地址。如果更換ISP，相關規則也需要做出更新。某些ISP可能會需要通過多項條目進行設定－尤其是在其擁有具有多個連接點的大型網絡時。步驟：●通過ipconfig/all或者winipcfg查找得到DHCP服務器地址。注意DHCP服務器與DNS服務器地址通常是不同的。●Windows9x/ME用戶創建全局規則：AllowDHCPRequest:協議UDP，遠程地址<你的ISP的DHCP服務器地址>，55,遠程端口67,本地端口68,允許●Windows2000/XP用戶創建全局規則：AllowDHCPBroadcast：協議UDP，遠程地址55,遠程端口67,本地端口68,允許因為DHCP服務器地址可能會發生改變，建議在IP地址分配碰到問題時禁止上述規則中對“遠程地址”的設定－如果一切正常就保留該設定，在重新允許該規則以前驗證并且更新（如有必要）DHCP服務器地址。DHCP服務器通常不會作出大范圍的網絡轉移，所以在其地址中使用通配符（例如192.168.2.*）可以有效減少該類問題的發生。D3-禁止“AllowLoopback”規則默認規則中的“AllowLoopback”全局規則給使用代理服務器的用戶（例如AnalogXProxy，Proxomitron，WebWasher以及某些反垃圾/反病毒軟件）帶來了一個極大的安全隱患，因為其允許任何未經指明屏蔽的程序使用為代理設置的規則進行互聯網通訊，禁止或者刪除該全局規則即可消除隱患。改動收益：防止未經授權的程序利用代理服務器規則進行通訊。付出代價：任何使用代理服務器的程序（例如和Proxomitron配合使用的瀏覽器，等等）都需要設定一條額外的規則（其時彈出的規則向導中的建議配置在絕大多數情況下已經足夠應付）。步驟：●通過“選項／系統／系統和應用程序全局規則／設置”進入全局規則列表●通過去除“AllowLoopback”的鉤選來禁止該項規則D4-禁止不必要的全局規則默認設置中的某些全局規則并不是很恰當，可以通過去除對其的鉤選來停用。這些規則包括：●AllowInboundAuthentication－一個簡陋而且不可靠的檢查網絡連接端的規則，很少被用到。如果需要的時候，停用該規則可能會導致登入Email服務器的延遲。●AllowGREProtocol，AllowPPTPcontrolconnection－這些是使用Point-to-PointTunnelingProtocol的VirtualPrivateNetworks(VPNs)需要用到的，如果沒有此需求可以停用這些規則。改動收益：防止應用這些端口的信息泄漏。付出代價：禁用“BlockingInboundAuthentication”規則可能會導致收取郵件的延遲（此時可以重新激活該規則，并把郵件服務器添加為遠程地址）步驟：●通過“選項／系統／系統和應用程序全局規則／設置”進入全局規則列表●清除對相應規則的鉤選D5－屏蔽未使用和未知的協議全局規則可以對互聯網協議（IP）以及TCP和UDP協議作出限定，對IP涉及到的一系列協議建議全部加以屏蔽，除了下面所述類型：●ICMP(1)－此協議通過ICMP相關規則來處理；●IGMP(2)－多點廣播需要用到（如在線視頻直播），如果需要應用到該項協議就不要禁用；●ESP(50)和AH(51)－IPSec需要應用到這些協議，所以VPN（VirtualPrivateNetwork）用戶不要禁用這些設置。企業用戶要謹慎處理這些設置－其中一些選項可能是局域網中路由通訊所必需的。可以設定一條全局規則來處理這些未知協議（包括類似IPX或者NetBEUI的協議）－建議設定該項規則來進行屏蔽。改動收益：防止未來可能經由這些端口的信息泄漏。付出代價：出于Outpost采用的處理規則的方式，這些改動可能會顯著增大相關處理流程的數量，尤其對于使用文件共享程序或者位于比較繁忙局域網中的用戶來說。步驟：未使用的協議●進入“選項／系統／系統和應用程序全局規則／設置”；●點選“添加”創建新的全局規則；●設置指定協議為IP，此時其后面所跟的“類型”是“未定義”；●點擊“未定義”進入IP類型列表窗口；●選定你想要屏蔽的類型然后點擊OK；●設定響應操作為“禁止”，再自己定義恰當的規則名稱后點擊OK。未知協議●進入“選項／系統／系統和應用程序全局規則／設置”；●點選“添加”創建新的全局規則；●設定協議為“未知”，響應操作為“禁止”，再自己定義恰當的規則名稱后點擊OKE－應用程序規則（位于“選項／應用程序”）E1－移除位于“信任的應用程序”組中的項目即使程序需要正常的訪問互聯網，對其通訊不加過問的一律放行也不是明智的做法。某些程序可能會要求比所需更多的連接（浪費帶寬），有的程序會跟“老家”悄悄聯系泄漏你的隱私信息。出于這種考慮，應該把“信任的應用程序”組中的項目移入“部分允許的應用程序”組，并且設置如下所建議的合適的規則。E2－謹慎設置“部分允許的應用程序”Outpost的自動配置功能將會給每一個探測到要求連接網絡的程序配置默認的規則，然而這些默認規則是從易于使用的角度出發的，所以大多情況下可以進一步的完善之。決定什么樣的連接需要放行無疑是防火墻配置中最富有挑戰性的部分，由于個人的使用環境和偏好不同而產生很大的差別。下文中會根據顏色的不同來區分推薦配置和參考配置。推薦配置用紅色表示建議配置用藍色表示可選配置用綠色表示如果使用了D1部分提及的“應用程序DNS”設置，那么每個應用程序除采用下面會提到的規則外還需要一條DNS規則，請注意這些應用程序規則的優先級位于全局規則之上，詳情請見OutpostRulesProcessingOrder常見問題貼。在規則中使用域名注意事項：當域名被用作本地或遠程地址時，Outpost會立刻查找相應的IP地址（需要DNS連接），如果該域名的IP發生了改變，規則不會被自動更新－域名需要重新輸入。如果某條使用了域名的應用程序規則或全局規則失效的話請考慮這種可能性。某些域名可能使用了多個IP地址－只有在“選項／應用程序”中手動建立的規則Outpost才會自動尋找其所有IP地址，通過規則向導建立的規則則不行。因此，通過規則向導建立的規則需要重新在“選項／應用程序”中手動輸入域名以確保所有IP地址能被找到。Svchost.exe（WindowsXP系統獨有）Svchost.exe是一個棘手的程序－為了完成一些基本的網絡任務它需要進行互聯網連接，但是給它完全的權限又會把系統至于RPC（例如Blaster、Welchia/Nachi等蠕蟲）泄漏的危險之中。給這個程序創建合適的規則也就變得格外的重要。AllowDNS(UDP)：協議UDP，遠程端口53，遠程地址<你的ISP的DNS服務器地址>，允許AllowDNS(TCP)：協議TCP，方向出站，遠程端口53，遠程地址<你的ISP的DNS服務器地址>，允許PossibleTrojanDNS(UDP)：協議UDP，遠程端口53，禁止并且報告PossibleTrojanDNS(TCP)：協議TCP，方向出站，遠程端口53，禁止并且報告●DNS規則－可在D1部分中查看詳情，只有在DNS客戶端服務沒有被禁止的情況下才需要這些規則，因為此時svchost.exe才會進行查找工作；●因為此處只需要一條TCP規則，此規則被設定為“允許”；●因為某些木馬程序試圖把它們的活動偽裝成DNS查詢，推薦把任何試圖與DNS服務器以外的地址進行連接的嘗試視為可疑－TrojanDNS規則將報告類似的連接。如果連接是合法的（如果你的ISP更換了DNS服務器地址這些“允許”規則需要及時進行更新）則對其做出報告很容易導致網絡失去連接，此時應該從禁止日志中查明原因。BlockIncomingSSDP：協議UDP，本地端口1900，禁止BlockOutgoingSSDP：協議UDP，遠程端口1900，禁止●這些規則屏蔽了用于在局域網中查找即插即用設備（UPnP）的簡單服務搜尋協議（SSDP）。由于即插即用設備會導致許多安全問題的出現，如非必要最好還是將其禁用－如果必須使用的話，則把這些規則設為“允許”。如果最后的“BlockOtherUDP”規則也被采用，即可防止SSDP起作用，所以這些規則是建議配置。BlockIncomingUPnP：協議TCP，方向入站，本地端口5000，禁止BlockOutgoingUPnP：協議TCP，方向出站，遠程端口5000，禁止●這些規則屏蔽了UPnP數據包－如同上面關于SSDP的規則，如果你非常需要UPnP則把規則改為“允許”，可是一定要把UPnP設備的IP地址設為遠程地址以縮小其范圍。如果最后的“BlockOtherTCP”的規則被采用，即可防止UPnP起作用，所以這些規則是建議配置。BlockRPC（TCP）：協議TCP，方向入站，本地端口135，禁止BlockRPC（UDP）：協議UDP，本地端口135，禁止●這些規則實際上是默認的全局規則中關于屏蔽RPC/DCOM通訊的規則拷貝－所以在這里并不是必需的但是可以增加一些安全性。如果你需要RPC/DCOM連接，則把這些規則改為“允許”，不過僅限于信任的遠程地址。AllowDHCPRequest：協議UDP，遠程地址<ISP的DHCP服務器地址>，遠程端口BOOTPS，本地端口BOOTPC，允許●DHCP規則－請至D2部分查看詳情（如果使用的是固定IP地址則不需應用此規則－通常只有在私有局域網內才會如此）。因為svchost.exe會對DHCP查詢作出回應所以這條規則是必需的－由于應用了最后的“BlockOtherTCP/UDP”規則，全局DHCP規則此時并不會起作用。AllowHelpWebAccess：協議TCP，方向出站，遠程端口80，443，允許●Windows幫助系統可能會通過svchost.exe發起網絡連接－如果你不想使用幫助系統（或者是不希望微軟知道你何時使用的）則可以略過本規則。AllowTimeSynchronisation：協議UDP，遠程端口123，遠程地址，，允許●用于時間同步－只有當你需要用到WindowsXP這個特性時才需要創建該規則。BlockOtherTCPTraffic：協議TCP，方向出站，禁止BlockOtherTCPTraffic：協議TCP，方向入站，禁止BlockOtherUDPTraffic：協議UDP，禁止●把這些規則設定在規則列表的最下面－它們會阻止未設定規則的服務的規則向導彈出窗口。未來所添加的任何規則都應該置于這些規則之上。商業用戶請參考MicrosoftKnowledgeBaseArticle832017-PortRequirementsfortheMicrosoftWindowsServerSystem查找系統服務所需放行的額外端口信息。Services.exe（Windows2000系統獨有）AllowDNS（UDP）：協議UDP，遠程端口53,遠程地址<你的ISP的DNS服務器地址>，允許AllowDNS（TCP）：協議TCP，方向出站，遠程端口53,遠程地址<你的ISP的DNS服務器地址>，允許PossibleTrojanDNS（UDP）：協議UDP，遠程端口53,禁止并且報告PossibleTrojanDNS（TCP）：協議TCP，方向出站，遠程端口53,禁止并且報告●DNS規則－請至D1部分查看詳情。只有當“DNS客戶端服務”沒有被停用時才需要上述規則，因為此時services.exe將會接手查找工作；●因為這里只需要TCP規則，所以操作設定為“允許”；●與svchost規則一樣，“PossibleTrojan”規則在攔截到連接其它地址的企圖時會作出報告。AllowDHCPRequest：協議UDP，遠程地址<ISP的DHCP服務器地址>，遠程端口BOOTPS，本地端口BOOTPC，允許●DHCP規則－請至D2部分查看詳情（注意如果使用的是靜態IP則不需設置－通常只有私有局域網中才會如此）。需要設置的原因同上述svchost.exe。BlockOtherTCPTraffic：協議TCP，方向出站，禁止BlockOtherTCPTraffic：協議TCP，方向入站，禁止BlockOtherUDPTraffic：協議UDP，禁止●把這些規則列到最下面－它們會阻止未設定的程序的規則向導窗口彈出，任何后續添加的規則均需列到這些規則上方。與上面的svchost.exe一樣，商業用戶請參考MicrosoftKnowledgeBaseArticle832017-PortRequirementsfortheMicrosoftWindowsServerSystem查找系統服務所需放行的額外端口信息。Outpost升級服務除了DNS規則外，Outpost2.0不再需要額外的網絡連接，Outpost2.1及后續版本可以從Agnitum下載新聞和插件信息。應用此功能需要作出如下設定：AllowOutpostNewsandPluginInfo：協議TCP，方向出站，遠程端口80，遠程地址/，允許還可以使用一條類似的規則用于程序的升級：AllowAgnitumUpdate：協議TCP，方向出站，遠程端口80，遠程地址/，允許網絡瀏覽器（Internetexplorer，Netscape／Mozilla，Opera，等）Outpost的自動配置功能以及預設規則為瀏覽器提供了比較寬松的設置－對于大多數用戶來說可以將其進一步強化如下：AllowWebAccess：協議TCP，方向出站，遠程端口80,允許AllowSecureWebAccess：協議TCP，方向出站，遠程端口443,允許●上述規則允許了建立標準（HTTP）和加密（HTTPS）網絡連接。如果你使用了代理并且想使所有信息都流經代理，則可考慮將上述規則設為“禁止”，注意此類代理將需要單獨為其設立一條規則（具體設定取決于代理所以此處不再作詳細說明）。AllowAlternateWebAccess：協議TCP，方向出站，遠程端口8000,8010,8080,允許●某些網站可能會把連接轉到其它遠程端口（比如8080－在URL中以ort-number的形式出現）－建議此規則在網站沒有此類連接無法工作時才加入。AllowFileTransfers：協議TCP，方向出站，遠程端口21,允許●此規則是為了文件傳輸而設。與“WebAccess”的規則一樣，如果你想所有的傳輸都通過代理進行則將此規則設為“禁止”，文件傳輸通常還需要建立進一步的連接－Outpost會自動放行這類連接（詳情可查閱StatefulInspectionFAQ）。如果瀏覽器還帶有email，新聞組，以及即時通信功能，則還應添加下文中給出的相應規則。郵件客戶端（Outlook，Eudora，Thunderbird，等）兩種協議（相應的也就是兩組規則）可以用于取信和發信。如果你應用代理來讀取及掃描郵件的防病毒軟件的話，那么下面這些規則可能是你需要的－在此情形下客戶端應該只需要一條規則（EmailAntivirusAccess：協議TCP，方向出站，遠程端口，允許）來連接防病毒軟件。此種情形下想建立一套合理的規則有一種簡單方法：讓Outpost在“規則向導模式”下運行，使用客戶端收發郵件，在彈出對話框中選擇“使用預設規則：定制”來為客戶端和防毒軟件的代理建立規則。這樣設定完以后，從“選項／應用程序”打開這條規則手動添加其它郵件服務器名－這樣可以獲得具有多IP地址的服務器的所有地址（規則向導對話框只包括一個IP地址）。ReadEmailviaPOP3:協議TCP，方向出站，遠程端口110,995,遠程地址<你的POP3服務器地址>，允許●本規則是為了通過被廣泛采用的POP3協議讀取郵件而設，顧及到了開放型（110端口）和加密型（995端口）連接。郵件服務器的地址可以在客戶端的設置里面找到，ISP可能會使用同一臺服務器來處理接收和發送請求，也可能會為兩種協議分開設立服務器。ReadEmailviaIMAP：協議TCP，方向出站，遠程端口143,993,遠程地址<你的IMAP服務器地址>，允許●此規則是為使用IMAP協議讀取郵件而設，可以取代也可以與上面的POP3規則并存。是否使用取決于你的郵件程序的設定，規則顧及了開放型（143端口）和加密型（993端口）連接。SendEmailviaSMTP：協議TCP，方向出站，遠程端口25,465,遠程地址<你的SMTP服務器地址>，允許●此規則是為通過SMTP協議發送郵件而設，顧及了開放型（25端口）和加密型（465端口）連接。由于許多病毒都是通過郵件傳播，垃圾郵件發送者也往往試圖通過劫持疏于防范的微機來發送垃圾郵件，所以強烈建議此處只加入你的ISP的SMTP服務器地址。不管你上面設定的是POP3規則還是IMAP規則這條規則都是必需的。BlockWebLinks：協議TCP，方向出站，遠程端口80,禁止●此規則會防止客戶端下載HTML格式郵件中包含的任何連接。許多垃圾郵件用這種方法判斷是否郵件已經被閱讀（從而確定你的郵件地址是否“有效”）。合法的郵件也會受到此規則的影響，但是通常只有圖片無法顯示，文本（和作為附件的圖片）不受影響。●如果你需要察看某封郵件中的圖片，可在本規則之前加入一條規則允許與其域名的連接。●如果你使用瀏覽器來讀取郵件則不要使用本規則，否則正常的網絡連接會被屏蔽掉。下載工具（GetRight，NetAnts，GoZilla，DownloadAccelerator，等）特別提示：許多下載工具或加速器帶有可能會追蹤你的使用情況的廣告，碰到這種程序，要么換一種不帶廣告的-如GetRight－要么設定一條規則來屏蔽其與自身／廣告站點的連接并把這條規則置于最前，可以通過Outpost的“網絡活動”窗口來查知廣告所連接的地址。AllowFileTransfer：協議TCP，方向出站，遠程端口21,允許●本規則允許了標準的文件傳輸。與瀏覽器規則一樣，如果你只想通過代理傳輸數據可以考慮設定為“禁止”。AllowWebAccess：協議TCP，方向出站，遠程端口80,允許●許多下載是通過HTTP協議進行的。新聞組程序（ForteAgent，Gravity，等）此類程序使用NNTP協議，詳情請查閱RFC997-NetworkNewsTransferProtocol。AllowUsenetAccess：協議TCP，方向出站，遠程端口119,允許●正常的新聞組連接所必需。協議TCP，方向出站，遠程端口563，允許●加密型新聞組連接必需。因特網中繼聊天系統（mIRC，ViRC，等）因特網中繼聊天系統可以用于在線交談以及通過DCC（DirectClient-to-Client）協議交流文件，詳情請查閱RFC1459-InternetRelayChatProtocol。特別提示：對于通過IRC接收到的文件要格外小心，因為惡意用戶可以很容易的利用其散布病毒或者木馬，如有興趣可參閱IRCSecurity這篇文章。如果你經常需要發送或接收文件，可以考慮安裝專用反木馬軟件（如TDS-3或TrojanHunter）與防病毒軟件配合使用，及時掃描流進流出系統的文件。AllowIRCChat：協議TCP，方向出站，遠程端口6667,允許●在線聊天必需AllowIRCIdent：協議TCP，方向入站，本地端口113,允許●本規則是連接某些使用Ident/Auth協議的服務器必需的，用于驗證你的連接－視情況添加。ReceiveFileswithIRCDCC：協議TCP，方向出站，遠程端口1024-65535,允許SendFileswithIRCDCC：協議TCP，方向入站，本地端口1024-65535,允許●如果你配置了這些DCC規則，建議你平時關閉，需要時再啟用。當你想發送或接收文件時，啟用相應的規則，傳送一旦完成即可關閉之。●使用DCC，接收者必須初始化連接－因此為了發送文件，你的系統必須接收一個請求，如果你在使用NAT路由器，則需對其作出調整使此類請求得以通行，請查閱路由器的文檔獲知詳情。●因為DCC是隨機選擇端口（某些客戶端使用的端口范圍會小一些），所以這個范圍不可能設的很小。換個思路，可以試著找出對方的IP地址（可以通過IRC中查得或查閱Outpost的日志中失敗的連接企圖）并作為遠程地址加入到規則中。●DCC傳輸是在你和另一方的系統之間建立起的連接，IRC服務器被跳過了－因此Outpost的StatefulPacketInspection選項無法起作用。E3－組件控制建議本項設置為MAXIMUM－會導致時常出現彈出窗口。如果覺得彈出窗口過于頻繁，可以從Outpost文件夾中刪除modules.ini和modules.0文件以強制Outpost重新掃描組件。設置改為NORMAL可以減少彈出的次數，但是會導致某些泄漏測試的失敗。F－Outpost模式設定（位于“選項／模式”）只有“規則向導模式”和“禁止大部分通訊模式”應該酌情選用。大多數情況下，應該選用“規則向導模式”因為其會對任何未經設定的通訊作出提示，可以立刻設定新的相應規則。不過如果已經進行了完善的設置工作并且確定近期不會再作出變更，可以選用“禁止大部分通訊模式”，當進行在線安全檢測時為了防止頻繁彈出提示窗口也可選用此模式。G－Outpost插件設置（位于“選項／插件”）G1-活動內容過濾推薦把其中的所有選項設為“禁止”，只允許特定的網站通行，除非你采用了別的軟件來把關。其中的例外情況就是Referers（連接某些網站時會出現“hard-to-track”問題）以及，對Outpost2.1來說，動畫GIF圖片（從安全性角度來說并不重要）。照此設置即可防止惡意網站隨意修改瀏覽器的設置（如修改主頁或者添加書簽）或者是在用戶不知情的情況下安裝不必要（甚至是有害）的軟件。此類手段通常被黃色或者賭博或者破解站點采