eScan BlogeScan Blog    eScan WebsiteeScan Website    eScan ForumeScan Forum    eScan FeedseScan Feeds     
    
Languages:     

From eScan Wiki

Jump to: navigation, search

防火牆


Contents

描述

防火牆是電腦裡監測網路資料的上傳和下載,並且在網路內建立一道牆,防禦電腦不被的攻擊。

防火牆 廣義的定義是設計阻擋沒有驗證通過的存取,或沒有驗證過的網路連接。 防火牆在網路內建立一道牆,由預設的定義規則或使用者自訂規則,控制網路上的溝通。

使用者可以設定規則,控制網路上的活動如何存取他的系統資料。規則可以使用內建規則或自訂規則,選擇要允許或拒絕的上傳或下載流量。防火牆會依規則檢查和分析網路封包 ( 封包是經過分割的資料 ) 和過濾。 假如規則中,允許通過的資料,則防火強會讓資料通過,否則將拒絕資料通行。

在軟體內放置某些假設性的預定規則,可以被使用者選擇,並將合適的規則增加到防火牆內 。使用者可以自己定義「規則」;假如使用者覺得不需要某項規則 ,也可以將其移除。

易受攻擊的電腦 - 當使用者的電腦在網路上傳輸資料時,如果沒有任何防火牆的保護,很容易受到駭客的攻擊。

- 當使用者登入聊天軟體時,事實上,也連接到IRC,並且加入對方的IRC者 ( IRC是網路中繼的伺服器的縮寫,是聊天軟體的伺服器 ) 。
- 當使用者從自己的電腦,執行 Telnet連接到網路上的伺服器,並且執行程式 者。
- 當使用者使用檔案傳送協定 ( FTP = File Transfer Protocol ) ,並從FTP伺服器傳送或接收檔案,或有透過網路的HTTP及SMTP交換資料,或用WWW瀏覽器來瀏覽網頁。
-當使用者使用網路的基本輸入 / 輸出 ( NetBIOS = Network Basic Input/Output System ) 協定,連接到區域網路上的設備時,區域網路同時也連接到網路上。
- 當使用者使用虛擬私人網路 (VPN = Virtual Private Networks ) 網路時, 是將個人的私人網路透過VPN連線到大、中型公司的內部網路內。
- 當使用者瀏覽網頁時。
- 當使用者傳送或接收 e-mail時。


在防護視窗的狀態

這個 綠色 顏色打勾(√) 標示防火牆啟動中並且已經執行。

這個 紅色 顏色打叉(X)標示防火牆停用中並且已經停止。


設定選項

狀態:
  • 防火牆狀態 – 顯示防火牆是啟動或是停用。
  • 啟動 – 顯示防火牆現在的執行狀態。
按鈕
允許全部 – 點選這裡,會停用eScan 防火牆的功能;換言之,允許所有網路上的資料自由進出,防火牆將不做任何監視或過濾的動作。
依設定過濾 – 點選這裡,會啟動防火牆為依設定過濾 ( 有限的過濾 ) ,這會監視所有在防火牆內,定義允許或封鎖的規則,來管理網路資料的下載。
詢問式過濾 -點選這裡,會啟動防火牆為詢問式過濾,這會監視所有在防火牆內,定義允許或封鎖的規則,並詢問是否上傳或下載資料。
封鎖全部 – 點選這裡,會讓eScan的防火牆封鎖網路上所有資料的進出。
設定 – 點選這裡,可進入定義防火牆規則的細部設定。
A . 區域規則 - 這裡可以定義網路上的IP位址或主機名稱,允許或封鎖存取本機電腦上的資料。
防火牆設定 ( 區域規則 )
1. 新增主機名稱 - 點選這裡,可在區域規則內新增 「主機名稱」。先點選「新增主機名稱」,在「主機名稱」內輸入主機名稱,「區域」內可以選擇「信任的」或是「封鎖的」規則,並且可以在「名稱」內輸入容易辨識的名字。
2. 新增IP - 點選這裡,可以新增某個IP的規則。 當點選這個選項時,可以在「IP位址」內輸入一組IP,選擇是要「信任的」或是「封鎖的」,並且可以在「名稱」內輸入容易辨識的名字。
3. 新增IP範圍 - 點選這裡,可以新增某一區段IP的規則。 當點選這個選項時,可以在「IP範圍」內,輸入一組起始IP及結束IP,選擇是要「信任的」或是「封鎖的」IP範圍,並且可以在「名稱」內輸入容易辨識的名字。
4. 修改 - 在某一規則上點選「修改」,可以修改此規則 。
5. 移除 - 在某一規則上點選「移除」,可以刪除此規則 。
B. 專家規則 – 這是防火牆規則更細部的設定。eScan稱為「專家規則」。細部可以做的設定有:
  • 來源電腦的 IP 位址或主機名稱。
  • 來源電腦的埠號。
  • 目的電腦的 IP 位址或主機名稱。
  • 目的電腦的埠號。
按鈕 ( 進入專家規則 )
新增 - 點選「新增」會跳出一個視窗,可以開始新增一個新的專家規則。
i. 一般 - 這是關於專家規則的一般設定。
  • 規則名稱 - 可以在此輸入容易辨識的規則名稱。
  • 規則動作 - 可以選擇「允許封包」或是「拒絕封包」,
  • 通訊協定 - 選擇網路的通訊協定 (例如:TCP, UDP,ARP …等等 )套用到此規則上。
  • 套用規則到介面 ( 卡 ) - 下拉式選單可讓使用者設定將此規則套用到那一個網路介面( 卡 )上。
ii. 來源 - 在這個選項裡,可以指定或是選擇來源IP位址或是來源連接埠。
  • 來源IP位址 -
我的電腦 - 將規則套用到某個使用者電腦所發送的網路資料,並過資料。
主機名稱 - 這會套用規則到指定的主機名稱所發送的網路資料。
單一 IP 位址 - 這會套用規則到指定的單一IP位址所發送的網路資料。
整個 IP 範圍 - 點選這個選項讓使用者填入一組IP範圍,並且規則套用到此範圍內。
任何 IP位址 - 這會允許電腦接收網路上任何IP位址所發送的網路資料。
  • 來源連接埠 -
任何 ( 連接埠 ) - 允許從網路電腦的任一個連接埠所發送的網路資料。
單一連接埠 - 規則套用到單一指定的連接埠送出的網路資料。
連接埠範圍 - 規則套用到一組連接埠範圍內所送出的網路資料 。使用者可以指定連接埠範圍 ( 開始到結束的連接埠 )。
連接埠清單 - 按下「新增」,然後輸入一個服務名稱或通訊埠號碼,就可以過濾此一清單內,所有送出的網路資料。
注意: 「來源IP位址」和「來源連接埠」需要混合搭配設定。
iii. 目的 - 在這個選項裡將,可以指定或是選擇目的IP位址,或是目的連接埠。
  • 目的IP位址 -
我的電腦 - 規則套用到過濾網路上的資料進入本機使用者的電腦。
主機名稱 - 這會將規則套用到指定的主機名,所有進入主機名稱,予以過濾。
單一 IP 位址 - 規則套用到指定的單一IP,單一IP所有進來的網路資料,予以過濾。
整個 IP 範圍 - 點選這個選項讓使用者填入一組IP範圍,並將規則套用到此範圍內,凡事從這個IP範圍進來的網路資料,予以過濾。
任何 IP位址 - 允許本機電腦接收網路上任何IP位址所送入的網路資料。
  • 目的連接埠 -
任何 ( 連接埠 ) - 允許從電腦接收任一個連接埠所送來的網路資料。
單一連接埠 - 規則套用到從單一指定的連接埠進入的網路資料。
連接埠範圍 - 將規則套用到一組連接埠範圍內所進入的網路資料。使用者可以設定連接埠範圍 ( 可設定:從開始到結束的連接埠 )。
連接埠清單 - 使用者可以按下「新增」,輸入一個服務名稱或通訊埠號碼,就可以過濾此一清單內,所有下載的網路資料。
注意: 「目的IP位址」和「目的連接埠」需要混合搭配設定。
iv. 進階 - 這個選項是「專家規則」的進階設定。
  • 啟用進階 ICMP 處理程序 - 請先在「一般」的選項,在「通訊協定」選擇ICMP後,再點選「進階」,就可以啟動「啟用進階 ICMP 處理程序」。
  • 此封包必須「來自 / 傳送到」信任的MAC位址 - 點選這裡,可以過濾傳送或接收信任的 MAC 位址所發送的封包。
  • 當此規則套用時記錄資訊 - 點選此項啟用「當此規則套用時記錄資訊」 。
修改 - 在專家規則的某一個規則上點選「修改」,可以修改或改變此項規則 。
移除 - 在專家規則的某一規則上點選「移除」,可以刪除此規則 。
載入預設規則 - 這個選項,會重新載入或設定所有eScan所定義的專家規則,並且清除使用者自行定義的規則。
向上及向下的箭頭 - 向上及向下的箭頭,可以把規則向上移動或向下移動,規則較上方的會先套用。
在任一個專家規則上點選右鍵
啟用規則 / 停用規則 - 這個選項可以啟用或停用規則。當規則被啟用時,就會顯示停用規則的選項;當規則被停用時,就會顯示啟用規則的選項。
C.應用程式則 - 這裡可以新增或移除程式或應用軟體,然後設定程式或應用軟體,是否允許或拒絕存取網路資料或網路服務,例如IE瀏覽器。
按鈕 ( 應用程式規則 )
1. 新增 - 按下「新增」按鈕可以新增一個應用程式,然後瀏覽電腦的應用程式來新增程式;例如可以點選 IE瀏覽器來允許執行應用程式或拒絕執行應用程式。
2. 移除 - 在某一規則點選「移除」應用程式,可以刪除此項規則 。
3. 載入預設規則 - 這個選項將會重新載入或設定所有eScan所定義的應用程式規則,清除使用者自行定義的規則。
使用者可以點選已設定好的應用程式規則右鍵,然後編輯或改變應用程式的設定。
在任一個規則上點選右鍵的其他選項
詢問 - 當選擇「詢問」時 ,eScan防火牆會詢問此應用程式是否要執行或拒絕執行。( 詢問規則顏色為 - 灰色 )。
允許 - 當選擇「允許」時 ,eScan防火牆會允許此應用程式執行。 (允許執行規則顏色為 - 綠色 )。
拒絕 - 當選擇「拒絕」時 ,eScan防火牆會拒絕此應用程式執行。 (拒絕執行規則顏色為 - 紅色 )。
程序屬性 - 點選這裡可以開啟一個視窗,內容詳載程序的版權、版本、路徑及詳細資訊。
程序詳細資訊 - 點選這裡將可連到 eScan 網頁,並且說明此程序的詳細資訊。
D. 木馬規則 – 這個規則是基於微界科技所定義的資料庫及過往病毒在網路上的活動規則。這個設定就有如專家規則裡的設定。
注意: 「木馬規則」此功能只在eScan 的 10.0.968.374 版本存在,在以後的版本將被移除。
E. 信任的 MAC 位址 - 在這裡可以加入信任的電腦MAC 位址。MAC位址(Media Access Control address)是網路上網卡的唯一且獨一無二的辨識編碼。被信任的MAC位址所列的清單,將會在專家規則裡被檢視。如果要信任某個MAC位址的封包允許存取資料的話,可以信任電腦的MAC address新增進來。( 點選「專家規則」,然後在某一規則點選右鍵兩下,進入此規則的「進階」選項,最底部的「此封包必須「來自 / 傳送到」信任的MAC地址」需勾選 ) 。
按鈕 ( 信任的MAC 位址 )
1. 新增 - 點選「新增」按鈕,會跳出一個新增 MAC address 的視窗;輸入一組 MAC address到「新增MAC位址」的視窗內,例如: 00-13-8F-27-00-47,並且輸入一個容易辨識的名稱。
2. 編輯 – 點選「編輯」的按鈕,可以編輯已經定義過的 MAC 位址 。
3. 移除 -點選「移除」的按鈕上,可以移除已經定義過的 MAC位址。
4. 清除全部 -點選「清除全部」的按鈕,可以清除全部的MAC 位址 。
F. 本地IP 清單 - 顯示本地IP的清單。內建常用的私人IP網段 ( 192.169.X.X 及 172.X.X.X ),使用者可以再自行加入自己內部網段的清單。
按鈕 (本地IP清單 )
1. 新增 - 點選「新增」增加本地IP位址清單。
2. 移除 - 點選「移除」移除本地IP位址清單。
3. 清除全部 - 點選「清除全部」清除全部本地 IP位址清單。
4. 預設清單 - 點選「預設清單」載入預設本地IP位址清單。


其他按鈕或選項
清除警報快取 - 點選這裡,清除所有在防火牆快取內的資料。
顯示應用程式警報 - 如果勾選此項目時,當「應用程式規則」的任何應用程式遭到封鎖, eScan防火牆會顯示警報的訊息。


報告

統計
  • 已允許連入流量 - 顯示「已允許連入流量」的數量。
  • 已允許連出流量 - 顯示「已允許連出流量」的數量。
  • 已封鎖連入流量 - 顯示「已封鎖連入流量」的數量。
  • 已封鎖連出流量 - 顯示「已封鎖連出流量」的數量。
a. 檢視目前網路活動 - 點選此項目,會開啟「ViewTCP應用程式」;此程式會顯示電腦內的網路程序,還有網路程序的通訊協定、本地及遠端位址及目前狀態…等等的網路活動資訊。
b. 檢視摘要報告 - 點選這裡,可以選擇建立一份詳細報告或是摘要報告。

詳細報告是防火牆蒐集所有詳細資訊,例如本機網路的TCP / UDP流量、應用程式、專家規則、區域規則、木馬規則、IP、日期...等等的資訊,並且可以依月份帶出資訊。

摘要報告是簡單報告網路活動,並且有圖表顯示。

c. 檢視報告 - 點選這裡,可以以檢視網路流量的進出、封鎖或允許…等等報告。


防火牆規則的實施

任何網路上的封包傳送及接收, eScan 防火牆會第一時間檢查是否符合網路規則:

1^st^ - 木馬規則
注意: 「木馬規則」此功能只在eScan 的 10.0.968.374 版本存在,在以後的版本將被移除。
2^nd^ - 區域規則
3^rd^ -專家規則
4^th^ - 應用程式規則


名詞解釋

主要特色索引


eScan Copyright © 2015 MicroWorld Technologies Inc.- AntiVirus & Content Security.       Send your feedback to solutions@escanav.com eScan Wiki

    Privacy policy  About eScan Wiki  Disclaimers   This page has been accessed 10,631 times.