~~鱼跃~~

I Want to fly!

导航

BlackICE简单应用

Posted on 2007-01-25 02:42  flyfish  阅读(408)  评论(0编辑  收藏  举报
BlackICE是一个简单的防火墙软件,虽然你不可以指望他能抵御DDOS之类的攻击,不过抵挡一下那些不学无术的家伙还是合格的。重要的是他有Server版,可以成为服务运行。
本来这个软件设置非常简单,不过依然有人在问,只好逞一下英雄满足一下自己的虚荣心了。
安装BlackICE
这个不需要说什么了吧,请看清楚,在服务器运行的话请使用Server版。
请注意,除非你非常了解并且能很方便的控制机器,这里应该选“AP Off”,这里的大意是是否监控可运行程序(包括DLL),如果你在这里选“AP On”的话,在安装完成后BlackICE将会扫描一次你的系统,记录下所有可执行文件,如果以后他发现有新的没有记录过的可执行文件被运行(被攻击者上传木马),或者这些被记录的文件被改变(被攻击者替换文件),他将按照默认设置拒绝运行。一般来说,他第一次运行很可能会拒绝你的远程管理软件运行,所以特别建议新手选择“AP Off”。
在以后的安装过程里全部是Next。
BlackICE的配置
首先我们进入配置菜单
在Firewall选项选择拦截所有非信任链接(Paranoid)。简单说就是所有没有特别设置允许的动作都被拒绝,同时禁止那些NetBIOS等服务器不需要的链接。基本上按照下图设置就可以了。
在“Notifications”菜单选择自动更新通知(Update Notifications),建议设置为一天检查一次(下图是3天检查一次)。
如果BlackICE发现有新的版本,将会在右上角显示,看下图红圈处,当发现有新版本的时候建议尽快更新。
最后在“Intrusion Detection”做额外通行设置,个别系统例如DVBBS有时候会触发BlackICE误鸣,错误拦截用户IP,遇到这这种情况的话,请查阅log档检查是什么激活拦截并在“Intrusion Detection”允许通行。下图是DVBBS其中一个会触发BlackICE误鸣的其中一个动作。
BlackICE端口设置
首先当然是进入设置菜单
安全设置的基本道理其实就是只允许被允许特定的动作,其他所有动作拒绝。
以下是针对80端口的示范设置(允许所有ip通过TCP协议访问指定端口)。
以下是指定端口只允许指定IP访问的范例。
如果你需要允许某个IP段可以访问,你可以在“IP”设置里设置为“1.1.1.1-2.2.2.2”,端口段也一样。你也可以通过同样的设置禁止某个IP或者某个IP段禁止访问你的服务器,只需要在“All Addresse”选择你要屏蔽的IP,“Type”选择“IP”,“Mode”选择“Reject”,“Duration of Rule”选择你要屏蔽的时间就可以了。
补充常用端口和协议
HTTP 80 TCP
MSSQL 1433 TCP
MYSQL 3306 TCP
FTP 21 TCP
远程桌面 3389 TCP
DNS 53 UDP
CS(反恐) 27015 UDP
 
全文完
Odin
2005.01.10
BlackIce简单应用(20050723补充)
by:FreeShadow 20050723
F:空间用户被ban或者web操作被Block
Q:BlackIce有autoblock设置,他在

的“Enable Auto-Blocking”。如果你真的觉得他很讨厌的话,你可以考虑把前面的勾去掉,BlackIce将不再主动自动屏蔽,不过一般不建议这样做。同样,如果你选择了打开该选项,那么你就要有心理准备,在你没有预计的某个时候,你或者你的某个用户会被某个策略Auto-Block掉。
该autoblock是由blockice安全策略自动引发,当blockice认为某个用户(ip)的连接(可能是ftp、web例如在asp论坛删除文章或者任何别的什么动作)属于有嫌疑的不安全动作并在指定的时间内发生超过blackice的安全阀值,blockice将自动block掉该ip 24小时。所以,如果你没有办法预计你的用户是否有可能会引发blockice动作的话,建议你提前告诉他“如果连不上服务器,考虑换个公网ip,例如重新拨号”。
如果你需要手工解除该autoblock的单个设置的话,可以按照如下操作
选择“Advanced Firewall Settings”
选择你需要接触的屏蔽,点击“Delete”即可。
在上图,你可以看到,“Owner”为“auto”的即为blockice自动屏蔽的,“BIgui”的即为在用户手工设置的。
 
如果你认为某个安全策略是没有必要,经常误鸣干扰用户操作的话,你可以考虑直接关闭该策略。
首先,找到究竟是什么策略引发屏蔽
选择拦截的动作,然后点击“Event Info”,将弹出一个IE窗口,连接是ISS对该攻击类型的说明
该页有比较详细针对该攻击的说明,建议看清楚是否无害。如果你确认真的要停止该策略,请记下页面的编号(例如上文的就是217033),然后