http://29220113.qzone.qq.com Sun, 29 Nov 2009 08:50:07 GMT Qzone zh-cn Copyright (C), 2005-2008, Tencent Tech. Co., Ltd. Wed, 04 Jul 2007 18:26:58 GMT http://29220113.qzone.qq.com/blog/0

　　一、BlackICE Server


　　功能简介

　　BlackICE Server集成有非常强大的检测和分析引擎，可以识别黑客常用的入侵技巧，提供全面的网络检测以及系统防护功能。它能即时监测网络端口和协议，拦截所有可疑的网络入侵，还可以查明那些试图入侵者的详细信息并记录下来。该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少，同时简单易用，非常适合应用于学校服务器安全防护。


　　二、BlackICE Server的安装


　　BlackICE Server是一款共享软件，可在其官方主页http://www.iss.net。

　　双击下载后得到的安装文件，会弹出一个对话框，有“AP Off”和“AP On”两个选项。其中“AP”为“应用程序控制”，也就是安装后扫描系统中的所有文件，找出可以访问Internet的程序，并对所有应用程序的运行进行控制，这样可以有效地防止木马程序访问网络。为安全起见，我们选择“AP On”。点击[next]直到安装完成后，BlackICE Server开始扫描系统中的所有程序，这会花上一点时间。扫描完成，任务栏中出现BlackICE的小图标，防火墙开始工作。


　　三、BlackICE Server的设置


　　任何一款防火墙，要想达到最好的防护效果，都需要对其进行合理的设置，BlackICE Server也不例外。

　　1． 防护设置

　　右键单击任务栏中的小图标，选择“Edit BlackICE Settings”，打开软件设置窗口（图1）。其中各标签项设置如下：

　　FireWall（防火墙）：默认防护级别为“Trusting（信任）”，允许所有入站信息，这当然不符合服务器的安全要求，通常应选择“Nervous（敏感）”级别。如果你的网站已经受到频繁而持续的攻击，则应选择最高防护级别Paranoid（偏激），拦截所有不经请求的入站信息。下面三个选项分别为“Enable Auto-blocking（允许自动拦截）”、“Allow Internet file sharing（允许Internet文件共享）”、“Allow NetBIOS Neighborhood（允许NetBIOS网络邻居）”。第一项从安全出发必须选择，其余两项您可以根据实际情况来决定是否允许。

　　Back Trace（追踪）：选择是否跟踪并分析攻击者的网络信息，其中第一项是启用DNS追踪，而第二项是启用NetBIOS节点追踪，建议全部选中。

　　Packet Log（数据包日志）：将所有信息记录在日志中，建议选中，不过要限制日志文件的大小，防止无用信息占用过多资源。

　　Evidence Log（证据日志）：如果你想把入侵跟踪信息存档记录作为证据，记得选择此项。

　　Intrusion Detection（入侵检测）：添加绝对信任的IP地址或服务。如果你的网站对某个IP地址绝对信任，或开放某个绝对安全的服务，都可以在此添加。

　　Communications Control（通讯控制）：当出现一个未经许可的应用程序访问网络时，应该怎么办？安全起见，您可以在此标签下选择“Always block network access for the app”（拦截访问）。

　　Application　Control（应用程序控制）：其中有两项，分别设置当出现一个未经许可或被修改过的程序在服务器上运行时如何处理。因为服务器一般不允许擅自运行软件，所以两项都可以选择“Always terminate the app”（总是终止应用程序），这样可以防止木马或病毒程序破坏服务器系统。

　　Notifications（通告）：可以在此设置出现异常事件时是否进行提示，以及是否进行声音报警。通常应该选中。

　　2． 规则设置

　　经过上面的设置，您的服务器现在应该足够安全了，但同时您会发现服务器的很多服务功能也被防火墙挡住了，比如IIS网站服务、FTP服务、电子邮件服务等都无法访问。同时，局域网中通过这个服务器共享上网的工作站也无法正常访问网络了，这是因为BlackICE Server已经关闭了所有未经许可的端口。所以此时你应当根据需要对防火墙进行规则设置。

　　右键单击任务栏中的小图标，选择“Advanced firewall setting”，打开防火墙规则设置窗口。此处列出了防火墙允许及禁止使用的端口，我们可以在此打开允许使用的端口。以开放IIS的Http服务为例：单击[Add]，弹出添加防火墙规则对话框（图2），在“Name”栏中给这条防火墙规则起一个名字，方便以后识别，此处起名为Http；选择“IP”后的“All dress”，允许所有IP地址访问（如果你不想对某一IP开放，可以再单独添加一条规则，对此地址进行拦截）；在“Port”一栏中填入IIS的Web服务默认端口“80”；“Type”（通信协议类型）选择“TCP”；“Mode”（规则类别）选择“Accept”（允许）；“Duration of Rule”（规则有效期）选择“Forever”（永远）；最后单击[Add]，规则添加完成。这时，局域网内用户就可以对内部Web站点和Internet进行访问了。

　　如果服务器还提供了其他服务，也可以像上面一样添加相应防火墙规则，打开所使用的端口即可。下面笔者将一些常用的服务所使用的通信协议类型和默认端口提供如下：

　　DNS：UDP 53

　　FTP：TCP　21

　　POP3：TCP 110

　　SMTP：TCP 25

　　QQ：UDP TCP 4000

　　ICQ：TCP 4000

　　MSN：TCP 6891-6901 UDP 6901

　　大家可能已经发现，利用BlackICE Server还可以对学生的上网行为进行管理，比如在完成教学任务之前可以关闭80端口禁止学生浏览网页、关闭4000端口禁止学生登录QQ等。这里还要提醒大家：对服务器来说，端口开放得越多，受到攻击的可能性就越大。记住这样一句名言：最少的服务等于最大的安全。


　　四、BlackICE Server的使用


　　双击任务栏中的图标打开BlackICE Server的主界面（图3），其中有三个选项卡：

　　Events（事件）：此项中记录着近期防火墙的访问情况及所发生的事件。每个事件按严重程度分为绿、黄、橙、红四级，分别代表着安全、可疑、很可疑和危急。如果你发现记录中出现了多条红色纪录，就要留意查看是否有人在恶意攻击或试图入侵你的服务器了。

　　Ntruders（入侵者）：如果根据“Events”记录，确信某人对服务器图谋不轨，您可以双击事件名称，进入此项（图4）。此处记录了攻击者的NetBIOS名、DNS名、目前所使用的IP地址、计算机名甚至网卡MAC地址。你可以在入侵者名单上单击右键，选择“Block intruter”和“Forever”，永久性拦截此入侵者对服务器的访问。

　　His（历史）：此处用记录图的方式直观地表现一段时间内服务器接收数据的情况，可以让您对服务器近期的安全状况了然于胸。 ]]> http://29220113.qzone.qq.com/blog/0#comment 576 Wed, 04 Jul 2007 18:26:58 GMT http://29220113.qzone.qq.com/blog/0