8SIGNS FIREWALL

關於8SIGNS FIREWALL的簡介，官方的介紹如下：

Quote:

8Signs Firewall is a software firewall for administrators wanting to protect a Windows Internet server, and power users who want complete information and control over their network security. With these users in mind, the 8Signs Firewall includes features such as:

· Stateful Packet Inspection

· Tarpits

· Port Scan Detection - Server Only

· SYN Flood Detection

· Remote Administration Server Only

· IP Address Ban List

· HTTP Filtering

· MAC Address Filtering

1、 狀態包檢查；

2、 Tarpits;(這個功能非常有用，允許你為黑客設定陷阱，減緩“蠕蟲”病毒的傳播速度和阻止垃圾信息的散發。通過設定Tarpits,你的系統接受外部TCP的連線，但從不回答也從不理睬它的它關閉連線的請求。這樣一直耗著HACKER的資源，困陷其達幾小時到幾天不等。“以其人之道還其人之身”，這是8SIGNS FIREWALL的特色之一)

3、 連線埠掃描偵察（僅伺服器版）；

4、 SYN洪水泛濫偵察；（也就是防止DDoS攻擊）

5、 遠程管理（僅伺服器版）；

6、 IP位址禁止清單；（也即黑名單功能）

7、 HTTP過濾；

8、 基於MAC地址的過濾；

通過與其他包過濾類防火牆（如：LNS等）比較，8SIGNS FIREWALL的優點表現在：

1、 Tarpits;

2、 Port Scan Dtection;

3、 SYN Flood Dtection;

4、 IP Address Ban List;

5、 規則控制靈活、設定簡單，用戶容易上手，並且可以設定每個規則的生效時間段；

6、 支持多網卡；

1、 無應用程式過濾功能；

2、 規則不能同應用程式捆綁結合起來；

3、 狀態包檢測只提供TCP協定的檢測，不提供UDP等別的協定的狀態包檢測功能。

資源占用：8SIGNS FIREWALL記憶體占用一般在6M左右，最高時發現有10M，CPU基本沒有。所以說占用情況還比較理想，特別作為一款伺服器使用的軟牆，完全可以接受。請看我的機子的資源占用情況：

安裝過程就不用說了，我們主要談談它的功能、設定等方面的問題：

主界面如下圖：

左邊為控制視窗區，給你一個快速接入到所有的設定和狀態的區域。右邊的視窗即是顯示詳細信息的區域。

控制視窗區：

Network Adapters:對監測的網卡進行配置和設定規則的地方，可以為不同的網卡建立不同的規則，設定不同的策略。這是我將要詳細說明的地方。

Ban List:被拖入黑名單的IP清單；

Tarpit:即我們所說的陷阱，所有被困住的IP都在這個地方可以看到。

Ports:本機連線埠使用情況，這裡可以詳細看到目前所有程式使用連線埠的情況。

Connections:即本機目前與網路的連線情況；

Log:日誌顯示。

如果你使用了伺服器版本的遠程管理功能，你已連線的任意遠端防火牆系統也在這個控制視窗區出現。這個功能我不打算本次詳談。

依次點擊選單欄的view---settings..會出現如下視窗：

log file區：設定log檔案的存放地址、大小、開始新LOG檔案的時間以及是否給你郵寄LOG檔案；

Startup區：設定8SIGNS FIREWALL是否隨系統啟動；

Shutdown區：當關閉系統時是否需要確認防火牆的關閉；

Administration區：當允許防火牆遠程接入控制時在這裡配置接入密碼和連線埠；（注意，遠程接入控制功能的實現還需要另下載一個軟體）

When Not Running區：當防火牆沒有運行時，是允許所有通信還是阻止所有通信就在這個地方設定。（這個功能也不錯，你就不怕被病毒、木馬意外終止防火牆而偷偷傳送數據出去）

When Running區：防火牆運行時是採用“過濾”功能還是“允許所有適配器的所有通信”或“阻止所有適配器的所有通信”。當然我們選擇“過濾”功能，“允許所有”、“阻止所有”作為應急措施，我們有更方便的捷徑，這個在後面的說明中將會提及。剛上手8SIGNS時對規則制訂不太清楚時，在這裡可以開啟“學習模式”。

8SIGNS 除檢測到系統安裝的所有物理網卡以外，還有個Dial_Up Adapter,凡是使用撥接的用戶，配置規則就要在這個地方設定，而實際的網卡需要設定為“允許所有”；但非撥號用戶，如LAN用戶等配置規則一定要在實際使用的那個物理網卡上配置。

點擊相應適配器，選定Configuration後會在右邊視窗看到如下圖示：

在Controls區：

要想放行本適配器的所有通信就選擇“Allow all traffic on this adapter”,想阻止本適配器的所有通信就選擇“Block all traffic on this adapter”.這兩個選項的功能還是比較實用的。這裡也許有人要說了“這有什麼實用的？其他不提供該功能的包狀態檢測防火牆一樣可以實現這個功能，只要在最上面加一條允許所有通信或阻止所有通信不就成了？”這個想法沒錯，不過沒考慮到占用資源及對網路流量影響的情況。在遇到網路大流量的情況，加一條允許所有通信的規則，這需要防火牆耗費系統資源比對過濾、檢測該規則，會明顯影響網路數據的傳送速度；而8SIGNS的這個選項是直接跳過防火牆的監測，網路直接與系統通信，所以不會對網路速度造成影響。（這是對單個網卡設定的地方，如果要對所有網卡臨時允許或阻止所有通信，只需要在系統狀態欄8SIGNS RIREWALL的標識上點右鍵，選擇“Allow All Traffic”或“Block All Traffic”即可。）

“Filter traffic on this adapter”即是根據本適配器上的規則設定過濾通信。“Use Stateful Inspection”即是使用狀態包檢測功能。狀態包檢測是8SIGNS FIREWALL的安全機制的核心，在非特殊需要的情況下請不要隨意禁止它。禁止了狀態包檢測，8SIGNS的行為就只成了非常簡單的包過濾了，每個包到達後，8SIGNS只簡單地與規則進行比較，按規則設定的行為只做放行或攔截的動作。而啟用狀態包檢測功能後，8SIGNS不但要與規則進行比較，而且還要判斷該連線行為是否合法，如果不合法，就是規則允許也不會放行的。但8SIGNS FIREWALL只支持對TCP協定的狀態包檢測，對其他協定不支持。

Advanced：在這裡設定默認的過濾選項。點擊該按鈕將出現如下界面：

8SIGNS FIREWALL提供了豐富的協定設定，不但有通用的TCP/UDP/ICMP/ARP/RARP外，還提供256種IP協定及上面未提及到的所有其他協定類型。這裡設定當該適配器檢測到一個數據包，不能與已有的所有規則相匹配時，默認情況下是允許呢還是攔截？以及是否要記錄日誌？Block旁邊打上對號就是默認行為為攔截，無對號就是默認放行。“Steteful Inspection”只對TCP協定有效，也就是前面所說的“Use Stateful Inspection”的選項。“Sequence Number Hardening”是另一個特別重要的安全機制，所以非特殊需要一般不要取消，該功能通過改進序號產生的隨機性，幫助保護WINDOWS避免通過最初序號猜測而進行的TCP欺騙連線。“Connection Timeout”非活躍TCP連線逾時600秒（10分鐘）自動下線，當然你也可以設定為別的逾時時間，建議選此。

Configuration圖右邊部分為連線埠開放情況的直觀顯示，通過拉動ZOOM IN/OUT，可以直觀看到0-65535範圍內任意區域的本地、遠端的TCP/UDP連線埠開放情況，紅色表示連線埠關閉，綠色表示連線埠開放。Rule# [Port]內顯示的是該區域中規則設定情況（即第幾條規則，設定的是什麼連線埠），點擊某個規則後可以在左邊的視窗看到該規則的詳細設定。

在主界面控制視窗區點選某個適配器的RULES，我們就可以進行本適配器的規則設定了，具體圖形如下示：

8SIGNS FIREWALL對規則的分類比較詳細，從圖就可以看出。 TCP/UDP/ICMP好理解，不多做說明；ARP地址解析協定，是將IP位址轉換為網卡的物理MAC地址，在區域網路中允許該協定是必須的；RARP是反地址解析協定，剛好與ARP協定相反，是由計算機的物理網卡地址尋找到它的INTERNET IP位址；MAC Address 即Media Access Control address，不說大家也知道—連線網路的設備的物理地址，用一個48-bit的十六進制數表示。

默認情況下，8SIGNS FIREWALL帶有四個標準規則，分別是StandardDialupRules、StandardInternetRules、StandardLANRules、StandardRules，根據自己的使用情況，通過點擊工具列的“Import”按鈕可以導入相應規則，當然也可以用此導入外部規則。然後在此基礎上再建立屬於自己的規則。