红伞S版防火墙设置教程

於陵闲云

作者：FirewallPilgrim

一，前言：目前为止似乎还没有关于伞墙比较全面系统的设置教程，对于只想用S版的用户来说的确有些可惜。本人接触它有一段时间了，最近才花心思去研究它，发现伞墙并不是大部分人想的那样差。有些方面伞墙主要是为了用户的方便，简化了设置过程，所以看起来比较“傻瓜”。其实它在易用性和安全性结合得相当好，设计者的确是花了不少心思的。这篇教程是基本上涵盖了伞墙的所有方面，应该算比较全面了，后面附有我这几天玩伞墙的一点设置心得。但由于时间和水平的限制，没有深入地去研究，教程的编写也不过三五天的时间，肯定会有疏漏和错误。恳请各位高手纠正、补充！

二， 托盘选项
右击桌面右下脚托盘图标，在“Firewall”有以下三个选项：




Firewall enable（打开防火墙）：打勾表示当前防火墙正在工作，没打勾表示没在工作。用户可以根据需要在这里切换。
Block All Traffic（阻止所有流量）：选中表示所有的进出数据都将被拦截。（前提是必须选中firewall enable）
Game mode enable（打开游戏模式）：选中时，所有已设规则仍然有效。但是当有新的程序需要联网时，防火墙会自动允许，不会提示用户。目的是使用户在玩游戏时不被打扰。但这个模式会给木马等恶意程序以可趁之机，建议不要轻易使用。




1，安全级别说明：
“高”：计算机在网络中隐身；外来的主动连接将被阻止；防止洪水攻击和黑客的端口扫描。
“中”：可疑的TCP、UDP数据包将被丢弃；防止洪水攻击和黑客的端口扫描。
“低” 洪水攻击和黑客的端口扫描将被检测到（注意，不是防止）。（另外，所有进出计算机的数据都被放行。）
2，双击“网络活动查看区”的某个程序，可以看到：


四，日志界面：


双击某一条日志：

於陵闲云

七，        应用程序规则：
应用程序规则控制着每个联网程序的网络动，与网络规则一样重要。
1，主界面：




如果要得到更详细的设置，请在“popup settings”中点击“define one action for each(为程序的每类每络活动分别设定动作，原来是“define one action for all”——为程序的全部网络活动一次性设定动作)：


为了提高安全性，请打开这个功能。下面为一些常用的联网程序简单地谈一下设置方法：
“代码录入”是一个类似HIPS的功能，对HIPS没什么研究，所以下面不作涉及，只谈防火墙功能。装有专业HIPS软件的朋友这里可以全选“允许”，全部交给专业HIPS来控制。
杀软：可以全部允许。
网页浏览器：只允许TCP连接，其它都可以禁止
QQ：全部允许。
P2P类软件（迅雷、BT、Emule等）：全部允许。
Globarlink（联众游戏）：只允许TCP连接。
PPLive：全部允许。
Svchost：除了listen，其它都允许。
Explorer: 除了TCP connection，其它都可禁止。
Userinit: 除了TCP connection，其它都可禁止。
Winlogon: 除了TCP connection，其它都可禁止。

2，新增应用程序规则：


这张表列出了你正在使用的所有软件。单击想要设置的程序，按下添加就可以了。如果你想要的程序不在这个列表中，请按“浏览”自己搜索。

八，        系统设置（Settings）


Automatic rule timeout（规则自动过期）：这项功能是针对预设网络规则中的“Port scan”规则来说的。当伞墙检测到某个IP正在对本机进行端口扫描时，它会自动生成一个规则来禁止这个IP。如果选”block forever”，那么这条规则将永远被保留，也就是永远禁止那个IP。如果选Remove rule after xx seconds，那么这个规则到时候会自动被移除，这个IP将被恢复。想安全一点的话，就选block。
Windows Host file is not locked/locked（系统主机文件锁定）：这个功能是对主机文件（一个文本文件，内含T C P / I P主机名与它的I P地址的信息）进行写保护。防止病毒和恶软的修改，防止本机在病毒的控制下访问一些非法的网站。建议lock。
Automatic allow applications created by known vendors(自动允许受信任公司出品的软件联网）：红伞已把以下公司列入信任名单：Microsoft，Mozilla，Opera，Yahoo，Google，Hewlett Packard，Sun，Skype，Adobe，Lexmark，Creative Labs，ATI，nVidia。想安全一点的话就不要选，不信任何程序。因为即使是信任的软件，万一被木马控制，也会危害到安全的。

九，Popup settings（对话框设置）


Inspect process launch stack：检测一个程序通过子进程访问网络。建议勾选。但装了专业HIPS软件的用户不要勾。
Allow multiple popups per process：按照帮助文件的说法，选中这个后，软件试图建立每一个网络连接都会弹出对话框。反之，只对第一个网络连接进行提示，后面的全部按用户为第一个连接所设定的处理。但我试验了一下，似乎选不选没有什么分别。
Remember action for this application:这是针对下图打圈部分的设置：

  

Show details：这是针对上图打框的部分的设置。
这块内容不太重要，所以不详细讲了。

十， 对话框解释


附录一：伞墙网络规则设置经验：
1， 网络规则设置的总指导原则：
曾在国外防火墙论坛上看到一位高手对此所作的精辟论断：“Allow what you really need, and block anything else——允许你真正需要的，阻止其它一切。”这就是防火墙规则制作的总原则（适用于一切防火墙）。因为用这个思路做出来的规则是最安全的。
2，制作规则的原理：像一般防火墙一样，伞墙的规则也是从上到下来对数据包进行匹配的。这一点一定要记住！
按第1点所说的原则，在规则最后添加一条“阻止一切的规则”是必须的（参照伞墙high level预设规则中icoming rules的最后一条）。然后在这一条规则的上方编写一系列的允许规则。但这并不是说一套规则只有最后一条是阻止规则，其它的都是允许规则。大多数情况下还是阻止与允许规则交替编写的。出现在最后一条上方的阻止规则可分成两类：
第1类是单纯是为了生成日志，以方便查找攻击源。如我不想让别人来ping我，这种情况并不需要编写拦截ping的规则，因为只要上面没有允许接收ping的规则，最后一条就会把它拦截的。但是如果我想知道谁在ping，就可以制作这样一条规则：“拦截type=8,code=0的ICMP数据包进入本机，并记入日志”。这样我们到日志查看关于这条规则的记录，看一下源地址就知道是谁在ping我了。
第2类是必须制作的，关系到安全与否的规则。例如有一条规则开放了本机1024-5000端口同外界进行通讯。但在这个范围内的1900和3389是高危端口，要制作一条规则把它们关闭了，并放在原来那条规则的上方。这样从 1900或3389进入的数据首先会被拦下，确保了下面那条规则的安全。
2， 具体操作：
伞墙的默认规则，严格来说，即使是最高级别也并不安全，主要是因为把本地的所有端口向所有网络地址开放。而且每个人的网络状况不一样，最好是用自己设置的规则。
自己制作规则时，建议在high level的默认规则下进行修改。因为这里面有些规则和思路是很不错的。
1） 先来讲讲默认的全局规则：
ICMP protocol（ICMP协议规则）、TCP port scan（防止TCP端口扫描）、UDP port scan（防止UDP端口扫描）这三条建议不要改动，以免破坏防火墙的隐身性能。如ICMP规则已经设置得很好了，出站只允许了ping请求，入站只允许了ping应答、目标不可达和超时，已经很安全，且能适应大多数用户的需要。
2） 然后incoming规则中的“Do not discard ICMP based on IP address”也必须保留，因为全局中的ICMP规则中只有阻止，没有允许，如果这条允许规则没了，所有的ICMP都将被最后一条“Deny all IP packets”拦截。
3） 最好在outgoing规则的最后一条也写一条Deny all IP packets，所有未经允许的数据包都不能发出。另外，最后拦截规则建议不要记入日志，除非规则还在调试阶段。因为有大量数据被这条规则拦下来。如果记入日志会占用很多的CPU。
4） 有一点要注意：伞墙的规则是双向的，也就是说如果你在出站规则中写了一条TCP本地1024-5000→远程1024-65535，那么在入站规则中必须写一条对等的规则：TCP本地1024-5000←远程1024-65535。
5） TCP规则中有一个特别重要的地方请注意：apply for all packets 、apply for packets of existing connections、Apply for connection initiation and existing connection packets理论上来说是有区别的。比如，伞墙的“高安全”级别能使计算机隐身，它的原理就在于预设的TCP规则（只允许packets of existing connections）只允许已建立的连接的数据入站，即对任何主动连接都不响应。而“中安全”级别用的是Apply for connection initiation and existing connection packets，即允许建立新的连接，这样它就不提供隐身功能了。至于Apply for connection initiation and existing connection packets与all packets的区别目前还不太清楚，测试了一下也没有多大的分别，官方也没有说明和答复。
我们虽不太清楚详细的区别，但有些技巧还是可以和大家分享的：
上面已说过，防火墙规则编写原则是“严格禁止，谨慎开放”。凡是阻止规则，TCP的可选apply for all packets，UDP的可选all ports。
而允许规则，TCP的入站可选apply for packets of existing connections（应用程序的监听端口一定要另外编写允许规则，选Apply for connection initiation and existing connection packets，放在上述规则的上方。或直接在全局规则中设置。否则别人无法主动连接到本机。）出站可选Apply for connection initiation and existing connection packets；UDP的出入站都可选opened ports（同样监听端口规则要选all ports）。
由于水平有限，只能谈这么多。这里推荐本论坛菜悠悠版主的一篇文章，对防火墙设置问题谈得很详细，相信会给大家带来很大的帮助

附录二：个人对伞墙的评价：
伞墙主要的优点：
1， 提供了计算机隐身模式，使黑客不能发现你的存在，但你却可以正常地进行网络活动。
2， 防止端口扫描。黑客想要入侵一台电脑就往往先要找出端口的漏洞，常用的手法是进行端口扫描。伞墙在这方面作了很好的防护，一旦发现可疑情况，马上封住攻击者的IP。
3， 可以拦截来自外界的主动连接，任何连接都必须是你主动要求同别人建立的。这又给黑客的主动攻击带来相当大的困难。
4， 防止ICMP洪水攻击和碎片攻击。在ICMP protocol规则中，通过设定每两个ICMP入站的时间间隔来防止洪水攻击。这个对服务器尤其有用。还可以拒绝ICMP碎片，来防止碎片攻击。
5， 支持TCP的SPI（全状态数据包检测）。
伞墙主要的缺点：
1． 伞墙的应用程序有些粗糙，不能为每个程序制定端口规则和IP规则。这也是几乎所有杀软套装的防火墙的共同缺点。但红伞强大的防毒能力可以弥补它的不足，木马还没来得及联网就被干掉了。如果在网络规则方面限制一下本地端口的开放，屏蔽一些高危端口和高危IP地址，就更安全了。
2． 不支持IP以外的协议。不过个人用户所用的协议绝大多数都属于IP协议，所以普通用户绝对够了。但遗憾的是不支持ARP协议，所以伞墙无法防ARP欺骗。处于内网的用户建议另配一个专业的ARP防火墙。

从以上可以看出，红伞的强项还是在防外。虽然相对于顶级防火墙如LNS、Jetico、8sign等还是显得单薄，但比起大多数国产墙还是比较强大的。对于一般用户，只要懂得怎么使用，再稍作设置，没有什么不放心的。
伞墙防内的效果可能不是很好，因为在Matousec反泄露测式中成绩比较差。用户可以配一个专业HIPS软件，如EQ。EQ+红伞的杀毒能力+伞墙的应用程序过滤，应该能在这个测中得到相当高的分数了。（完）

sjsj861023

可爱的红伞的墙墙.... 好长...慢慢学习...

magicyujun

这个还是要支持的

biglixiang0927

受益匪浅，感谢楼主

lcm520

红伞的墙 效果怎么样? 比KIS或者ESS的效果如何? 用过的朋友给点建议啊[:26:] [:26:]

fengliuyedao

红伞的墙其实还算不错地！

ziboliuxiao

收藏了先

zzl699

感谢楼主,学习了

llzy3575

似曾相识http://bbs.kafan.cn/viewthread.php?tid=395172