黑冰防火墙的应用（说明文件）

注意：Black ICE 3.6 cch 之前的所有版本都存在缓冲区溢出漏洞，
      所以请使用 Black ICE的朋友勿必升级到 3.6 cch 以上版本

注意：Black ICE 3.6 cch 之前的所有版本都存在缓冲区溢出漏洞，
      所以请使用 Black ICE的朋友勿必升级到 3.6 cch 以上版本
本版本已经不存在缓冲区溢出漏洞。

　　1.BlackICE Server的安装

　　双击下载后得到的安装文件，会弹出一个对话框，有“AP Off”和“AP On”两个选项。其中“AP”为“应用程序控制”，也就是安装后扫描系统中的所有文件，找出可以访问Internet的程序，并对所有应用程序的运行进行控制，这样可以有效地防止木马程序访问网络。为安全起见，我们选择“AP On”。点击[next]直到安装完成后，BlackICE Server开始扫描系统中的所有程序，这会花上一点时间。扫描完成，任务栏中出现BlackICE的小图标，防火墙开始工作。我点取消了，这个太慢，大家做的时候，不要点取消，让它完成对系统的扫描工作。

　　2.BlackICE Server的设置

　　1． 防护设置

　　右键单击任务栏中的小图标，选择“Edit BlackICE Settings”，打开软件设置窗口。其中各标签项设置如下：

　　FireWall（防火墙）：默认防护级别为“Trusting（信任）”，允许所有入站信息，这当然不符合服务器的安全要求，通常应选择“Nervous（敏感）”级别。如果你已经受到频繁而持续的攻击，则应选择最高防护级别Paranoid（偏激），拦截所有不经请求的入站信息。下面三个选项分别为“Enable Auto-blocking（允许自动拦截）”、“Allow Internet file sharing（允许Internet文件共享）”、“Allow NetBIOS Neighborhood（允许NetBIOS网络邻居）”。

　　Back Trace（追踪）：选择是否跟踪并分析攻击者的网络信息，其中第一项是启用DNS追踪，而第二项是启用NetBIOS节点追踪，建议全部选中。

　　Packet Log（数据包日志）：将所有信息记录在日志中，建议选中，不过要限制日志文件的大小，防止无用信息占用过多资源。

　　Evidence Log（证据日志）：如果你想把入侵跟踪信息存档记录作为证据，记得选择此项。

　　Intrusion Detection（入侵检测）：添加绝对信任的IP地址或服务。如果你的网站对某个IP地址绝对信任，或开放某个绝对安全的服务，都可以在此添加。

　　Communications Control（通讯控制）：当出现一个未经许可的应用程序访问网络时，应该怎么办？安全起见，您可以在此标签下选择“Always block network access for the app”（拦截访问）。

　　Application　Control（应用程序控制）：其中有两项，分别设置当出现一个未经许可或被修改过的程序在服务器上运行时如何处理。因为服务器一般不允许擅自运行软件，所以两项都可以选择“Always terminate the app”（总是终止应用程序），这样可以防止木马或病毒程序破坏服务器系统。

　　Notifications（通告）：可以在此设置出现异常事件时是否进行提示，以及是否进行声音报警。通常应该选中。

　　2． 规则设置
    
右键单击任务栏中的小图标，选择“Advanced firewall setting”，打开防火墙规则设置窗口。此处列出了防火墙允许及禁止使用的端口，我们可以在此打开允许使用的端口。

以开放IIS的Http服务为例：
1.单击[Add]，弹出添加防火墙规则对话框，在“Name”栏中给这条防火墙规则起一个名字，方便以后识别，此处起名为Http；
2.选择“IP”后的“All dress”，允许所有IP地址访问（如果你不想对某一IP开放，可以再单独添加一条规则，对此地址进行拦截）；
3.在“Port”一栏中填入IIS的Web服务默认端口“80”；
“Type”（通信协议类型）选择“TCP”；
“Mode”（规则类别）选择“Accept”（允许）；
“Duration of Rule”（规则有效期）选择“Forever”（永远）；
最后单击[Add]，规则添加完成。

　　如果服务器还提供了其他服务，也可以像上面一样添加相应防火墙规则，打开所使用的端口即可。下面是常用的服务所使用的通信协议类型和默认端口提供如下：

　　DNS：UDP 53

　　FTP：TCP　21

　　POP3：TCP 110

　　SMTP：TCP 25

　　QQ：UDP TCP 4000

　　ICQ：TCP 4000

　　MSN：TCP 6891-6901 UDP 6901

　　最后记住一句名言：最少的服务等于最大的安全。

　　BlackICE Server的使用

　　双击任务栏中的图标打开BlackICE Server的主界面，其中有三个选项卡：

　　Events（事件）：此项中记录着近期防火墙的访问情况及所发生的事件。每个事件按严重程度分为绿、黄、橙、红四级，分别代表着安全、可疑、很可疑和危急。如果你发现记录中出现了多条红色纪录，就要留意查看是否有人在恶意攻击或试图入侵你的服务器了。

　　Ntruders（入侵者）：如果根据“Events”记录，确信某人对服务器图谋不轨，您可以双击事件名称，进入此项。此处记录了攻击者的NetBIOS名、DNS名、目前所使用的IP地址、计算机名甚至网卡MAC地址。你可以在入侵者名单上单击右键，选择“Block intruder”和“Forever”，永久性拦截此入侵者对服务器的访问。

　　His（历史）：此处用记录图的方式直观地表现一段时间内服务器接收数据的情况，可以让您对服务器近期的安全状况了然于胸。

　　现在你已经有了一道铜墙铁壁，虽说不是万无一失，但普通的入侵者再也无法轻易侵入。