jetico试用及设置心得
作者:GGYY 来源: 发布:lyd 时间:2008-7-21 21:52:34 点击:53次
以前被jetico弄得抓狂过一次,一天之内因为规则问题反复装了上次,还是没能解决联网和跳窗问题。所以转为使用lns,对于lns我还是比较满意的,有国外牛人做的V8规则,直接导入加点自己定义的应用程序规则就可以使用,而且可以在设定里面设成关掉防火墙后互联网防护和应用程序防护继续生效,从而可以释放进程占用的系统资源。但是lns也有确定,一是对用户的要求太高,现在加了raw规则和 规则以后基本已经不再属于正常人可以立刻接受的防火墙;其次是对特点程序开放的端口其实是全局生效的,放大了联网威胁。经过了过半年对lns的使用,自问对防火墙以及端口设置也算有点小新的,所以就可是在虚拟机上寻找替换的防火墙了,候选对象有两个:comodo和jetico。comodo当然是很好的防火墙,在hips的设置上也是非常人性化,网络规则编写非常傻瓜,但是因为自己已经有两个hips了,所以V3仅仅是为了看看效果而已;jetico以前曾经心有余悸,这次经过几天看介绍和教程,又在虚拟机上摸索了两天,终于狠下心来在实机卸下look'n'stop 装上jetico,一天设置下来,那个兴奋啊,其实也不是很难。尤其让我欣喜的是,jetico的规则编写非常具有层次性和条理性,逐渐深入的监控方式是我从其他防火墙身上看不到的。现在大概就介绍一下自己这些日子在使用这个墙的具体心得,也让那些想用好墙又犹豫不断的会员心里有底吧。
首先是安装过程,没什么好说的,自己去别的地方看。就是傻瓜的一路next,在信任的网络区域处,局域网用户可以根据自己的网络环境增加ip段,如我就增加了192.168.1.1-192.168.255.255;127.0.0.1
现在进入最主要的配置界面,是上面标签栏的最后一个标签。在配置默认有三种策略:allow all;block all;optimal protection。如图,在自己所想要应用的策略上右键选择设为默认就可以让此条策略生效
策略名可以自己右键修改,对于刚开始接触的用户,我建议可以在optimal protection的策略名称上右键单击克隆策略,然后再在克隆出来的新策略基础上进行修改,这样即便修改过程中出现规则问题不能联网也可以迅速通过改变默认策略还原到初始状态。当然你也可以选择
导出的方式保存原始的optimal protection策略。
allow all和block all很直观,允许或禁止所有程序活动。无需解释
optimal protection或者其他自定义策略都包括network、application、默认组规则(可选择安装)、攻击行为检测以及测序签名校验 几部分组成。其作用主要是:
network:设置全局防御规则如:扩展协议、关闭端口、arp规则、IP规则等,也可以在这设置网站黑名单。
application:应用程序联网控制,对应用程序的直接联网、间接联网以及联网进程的具体细节权限进行限制。即防护墙最主要的ND部分
默认组规则\预置规则:可以在安装时选择是否安装的一个标准化组建,对常用的程序的ND权限进行了设置,用户可以直接在application规则中引用这些预置组。主要是用于简化application的设置,另外你也可以通过阅读这些预置规则学习jetico的规则编写特点。预置的规则包:DNS client、ftp sever、news reader、ICQ、IRC、DC(direct connect)P2P client、network timeprotocol client、mail client、web browser、windows media player、bittorrent P2P client 、slype。
现在进入最重要的部分介绍——规则编写
在介绍前,首先要说明jetico的规则生效机制。对于一个你要进行启动的程序,从全局规则来看,jetico的流程是:
a、检验签名
b、攻击行为检测
c、network全局规则
d、application中网络直接访问权限
e、application中网络间接访问权限
f、application中细节权限控制
如下面流程图
在network部分,因为我自己没有学过网络协议,所以直接导入使用卡饭ALEXBLAIR的扩展设置,反正可以轻松通过pcflank。呵呵,有兴趣的自己去下来试试。要创建etwork规则建议使用引用table的方法,直接在network中右键创建网络标签即可。
应用程序联网控制中,您可以对一个具体进程的直接网络访问进行最简单的限制:允许直接访问or not。建议在这个table下新建两个table:禁止直接访问网络和允许直接访问网络,再在里面分别把对应的程序分别填入其中。方法是在application中右键创建应用进程标签。如图
在系统中,有一些程序自己本身不直接连接到网络上,但是会通过诸如或者其他方法间接地通过直接联网的程序进入网络。间接联网也是常见的病毒对外传送信息的手段,所以在application中网络间接访问权限中必须对这些间接联网行为进行管理。为了方便设置,同样是利用了设置下级table并引用的方法,在这里我按照自己的习惯把程序分为:禁止简介访问、信任的进程、系统进程、micosoft office四组。分别设置间接访问权限。
禁止间接访问:最简单了,不多说,自己看图
信任的进程:也简单,全部允许
系统进程或者其他进程:同志们,最麻烦的部分来了。在这个table中,我们必须对一些不熟悉的程序的间接联网行为进行管理,有些人说用了jetico以后经常莫名其妙地不能上网,就是这里没有处理好。对于一些怕麻烦的人来说,也可能直接就设为全局允许,但是这无疑大大地降低了jetico的防御能力。所以,对于有志于研究这个墙的朋友来说,这是非常值得重视的一部分。在jetico中,application中程序的间接访问行为以及后面的攻击行为检测其实就是相当于HIPS的AD部分,相信熟悉HIPS的 朋友对这一部分会很有感觉。呵呵
jetico一共对间接访问行为有六种定义,分别是:dll注入、创建远程线程、写入内存、进程间调用、父级进程链和发送信息。如图:
对一些系统进程而言,你必须允许特定的间接访问类型,否则是不能上网的,按照我的测试结果:explorer、csrss、winlogon、userinit、sndvol32和smss都必须
允许某种类型的间接联网,否则掉线是肯定的。间接访问的设置如下:
顺便更正一个概念,在lns或者其他防火墙中,我们都已经习惯了所谓间接访问就是一个不能联网的程序A利用注入等方式通过联网程序B访问网络。所以出于最高安全保障考虑,我们也许会在jetico中理所当然地把自己认为不可能会联网的程序禁止间接访问网络。但是这样确实绝对的错误,因为jetico的间接访问本身并不代表程序自己会有进入网络的需要,实际上,也许间接访问也是程序正常工作的一种合理行为,例如我们在foxmail中点击其中的doc附件调出word也是一种间接访问,即ole\com方式,而如果我们认为foxmail只可能直接访问网络了而禁止它间接访问网络,则foxmail就不能正常工作了。
按照官方论坛的解释,间接访问只是程序存在着通过各种方式可能连接到互联网的行为,而不代表这种行为一定发生。或者换个说法,即程序可以不通过自身直接联网的方式进入网络的可用手段,而这些手段也许是程序间正常交流所必须的。以下引用百度原文““间接访问网络”也意味着一些程序可能尝试着迫使另外一个程序通过网络发送数据。如果程序X通过以上方式联系程序 Y,并通过Y直接或者间接的联网, 则将产生一个“间接网络访问。
如下的链环产生了:
间接访问->...->间接访问->联入网络
请注意,如果任何一个单独方向上的访问被拒绝,则整个链环将被阻断。
所以这里必须小心,否则、、、、
在所有间接权限table设定好以后,在上级table中直接引用即可
接下来就是大家都熟悉的ND部分,针对特定程序进行协议、端口、IP的设置。用过墙的人都知道怎么做,同样可以引用预置的规则组简化规则,也可以像之前一样建立和引用下级table。
接下来要谈到的是很多人都不愿意使用的jetico的hips功能,准确来说是ad功能,jetico提供了为每个程序的若干种攻击行为进行限制的工具,如图:
具体包括写入到引用进程内存、创建远程线程、创建隐藏窗口、安装全局钩子、修改子进程、直接内存访问、危险紧急的注册表修改、发送信息给其他应用进程、控制进程、控制系统服务。为了方便归类,同样建议对各种程序按照安全级别以及运行特征进行分类,然后在table中引用下级table,以下是我对一些最普通的软件的操作规则归到一类进行的设置:
在大table中引用子级table
另外,jetico的所有部分都可以利用弹出窗口自定义规则,以下是攻击提示窗口,在其中可以选择允许该行为、阻止行为、使用模板以及自定义。
最后是程序签名,jetico是使用哈希值进行检验识别的,对于与内存值不符的程序会进行默认处理(允许、阻止、询问)
同样的分类table
在签名检验规则中,应用进程是必须填写的,而时间和效验值是可选的。如果事件不填,则默认对一切进程行为进行效验;如果效验值不填,则对该进程不进行效验。
可以设置全局的签名规则
最后,在点击策略名称会在右侧显示策略模式,其中可以对各个模块进行个别设置(by pass是不使用该部分功能相当于通过,学习模式是对新进程及进程行为询问并建立新规则、停止学习是按照既有规则执行,对于例外全部否定)
在结尾,说一下为什么很多人会觉得jetico是一款难用的墙。其实因为他们没有按照正确的设定思路去建立规则。jetico的规则一个特点就是自上而下,逐层细化的。有些人在直接网络访问、间接访问以及细节规则中都设定了端口、协议和ip,而且各部分规则重叠矛盾,出了问题也不好排查。另外jetico的签名检验和hips对新手也是一个挑战,需要仔细耐心地进行调整。其中的依据就是日志
另外,要学会利用组进行管理,jetico为我们提供了对ip和程序进行管理的功能
再结合前面的次级table引用,可以极大地提高使用效率。
对于爱美人事,jetico的流量图也是挺耐看的
对于已经做好的规则,可以通过导出功能把整个策略或者其中的任何部分到处为xml文件;当然你也可以导入人家的整个或者部分策略。所以在规则共享上自由度很大
还有大家关心的资源占用,如图
开机后一共两进程jpf.exe是gui,占用较多资源,规则成熟以后可以通过单击托盘图标选择退出
最后提醒一下:
1、所有的规则都可以在前面的空格选择是否应用
2、退出gui以后,策略中所有设置为询问的规则都会自动拒绝,并且不再出现任何跳窗。如果除了问题可以重新打开gui查看日志进行排除
3、每条规则中对应可以选择一个或者多个应用进程,并支持使用通配符以及引用程序组
4、感觉jetico的hips定义与一般的手工hips有点出入,对于任何提示运行的进程,都会有控制系统服务(service.exe)、控制进程(explorer.exe)以及全局钩子(hook)这三个行为。即便你非常熟悉hips的操作也不要随便选择禁止,尤其是有控制系统服务(service.exe)、控制进程(explorer.exe)基本上是必须的,如果禁止了基本你pc上的任何程序(包括系统必须)都不可能正常运作。我就试过因为禁止读入内存导致kmplayer不能播放光盘的图像。
首先是安装过程,没什么好说的,自己去别的地方看。就是傻瓜的一路next,在信任的网络区域处,局域网用户可以根据自己的网络环境增加ip段,如我就增加了192.168.1.1-192.168.255.255;127.0.0.1
现在进入最主要的配置界面,是上面标签栏的最后一个标签。在配置默认有三种策略:allow all;block all;optimal protection。如图,在自己所想要应用的策略上右键选择设为默认就可以让此条策略生效
策略名可以自己右键修改,对于刚开始接触的用户,我建议可以在optimal protection的策略名称上右键单击克隆策略,然后再在克隆出来的新策略基础上进行修改,这样即便修改过程中出现规则问题不能联网也可以迅速通过改变默认策略还原到初始状态。当然你也可以选择
导出的方式保存原始的optimal protection策略。
allow all和block all很直观,允许或禁止所有程序活动。无需解释
optimal protection或者其他自定义策略都包括network、application、默认组规则(可选择安装)、攻击行为检测以及测序签名校验 几部分组成。其作用主要是:
network:设置全局防御规则如:扩展协议、关闭端口、arp规则、IP规则等,也可以在这设置网站黑名单。
application:应用程序联网控制,对应用程序的直接联网、间接联网以及联网进程的具体细节权限进行限制。即防护墙最主要的ND部分
默认组规则\预置规则:可以在安装时选择是否安装的一个标准化组建,对常用的程序的ND权限进行了设置,用户可以直接在application规则中引用这些预置组。主要是用于简化application的设置,另外你也可以通过阅读这些预置规则学习jetico的规则编写特点。预置的规则包:DNS client、ftp sever、news reader、ICQ、IRC、DC(direct connect)P2P client、network timeprotocol client、mail client、web browser、windows media player、bittorrent P2P client 、slype。
现在进入最重要的部分介绍——规则编写
在介绍前,首先要说明jetico的规则生效机制。对于一个你要进行启动的程序,从全局规则来看,jetico的流程是:
a、检验签名
b、攻击行为检测
c、network全局规则
d、application中网络直接访问权限
e、application中网络间接访问权限
f、application中细节权限控制
如下面流程图
在network部分,因为我自己没有学过网络协议,所以直接导入使用卡饭ALEXBLAIR的扩展设置,反正可以轻松通过pcflank。呵呵,有兴趣的自己去下来试试。要创建etwork规则建议使用引用table的方法,直接在network中右键创建网络标签即可。
应用程序联网控制中,您可以对一个具体进程的直接网络访问进行最简单的限制:允许直接访问or not。建议在这个table下新建两个table:禁止直接访问网络和允许直接访问网络,再在里面分别把对应的程序分别填入其中。方法是在application中右键创建应用进程标签。如图
在系统中,有一些程序自己本身不直接连接到网络上,但是会通过诸如或者其他方法间接地通过直接联网的程序进入网络。间接联网也是常见的病毒对外传送信息的手段,所以在application中网络间接访问权限中必须对这些间接联网行为进行管理。为了方便设置,同样是利用了设置下级table并引用的方法,在这里我按照自己的习惯把程序分为:禁止简介访问、信任的进程、系统进程、micosoft office四组。分别设置间接访问权限。
禁止间接访问:最简单了,不多说,自己看图
信任的进程:也简单,全部允许
系统进程或者其他进程:同志们,最麻烦的部分来了。在这个table中,我们必须对一些不熟悉的程序的间接联网行为进行管理,有些人说用了jetico以后经常莫名其妙地不能上网,就是这里没有处理好。对于一些怕麻烦的人来说,也可能直接就设为全局允许,但是这无疑大大地降低了jetico的防御能力。所以,对于有志于研究这个墙的朋友来说,这是非常值得重视的一部分。在jetico中,application中程序的间接访问行为以及后面的攻击行为检测其实就是相当于HIPS的AD部分,相信熟悉HIPS的 朋友对这一部分会很有感觉。呵呵
jetico一共对间接访问行为有六种定义,分别是:dll注入、创建远程线程、写入内存、进程间调用、父级进程链和发送信息。如图:
对一些系统进程而言,你必须允许特定的间接访问类型,否则是不能上网的,按照我的测试结果:explorer、csrss、winlogon、userinit、sndvol32和smss都必须
允许某种类型的间接联网,否则掉线是肯定的。间接访问的设置如下:
顺便更正一个概念,在lns或者其他防火墙中,我们都已经习惯了所谓间接访问就是一个不能联网的程序A利用注入等方式通过联网程序B访问网络。所以出于最高安全保障考虑,我们也许会在jetico中理所当然地把自己认为不可能会联网的程序禁止间接访问网络。但是这样确实绝对的错误,因为jetico的间接访问本身并不代表程序自己会有进入网络的需要,实际上,也许间接访问也是程序正常工作的一种合理行为,例如我们在foxmail中点击其中的doc附件调出word也是一种间接访问,即ole\com方式,而如果我们认为foxmail只可能直接访问网络了而禁止它间接访问网络,则foxmail就不能正常工作了。
按照官方论坛的解释,间接访问只是程序存在着通过各种方式可能连接到互联网的行为,而不代表这种行为一定发生。或者换个说法,即程序可以不通过自身直接联网的方式进入网络的可用手段,而这些手段也许是程序间正常交流所必须的。以下引用百度原文““间接访问网络”也意味着一些程序可能尝试着迫使另外一个程序通过网络发送数据。如果程序X通过以上方式联系程序 Y,并通过Y直接或者间接的联网, 则将产生一个“间接网络访问。
如下的链环产生了:
间接访问->...->间接访问->联入网络
请注意,如果任何一个单独方向上的访问被拒绝,则整个链环将被阻断。
所以这里必须小心,否则、、、、
在所有间接权限table设定好以后,在上级table中直接引用即可
接下来就是大家都熟悉的ND部分,针对特定程序进行协议、端口、IP的设置。用过墙的人都知道怎么做,同样可以引用预置的规则组简化规则,也可以像之前一样建立和引用下级table。
接下来要谈到的是很多人都不愿意使用的jetico的hips功能,准确来说是ad功能,jetico提供了为每个程序的若干种攻击行为进行限制的工具,如图:
具体包括写入到引用进程内存、创建远程线程、创建隐藏窗口、安装全局钩子、修改子进程、直接内存访问、危险紧急的注册表修改、发送信息给其他应用进程、控制进程、控制系统服务。为了方便归类,同样建议对各种程序按照安全级别以及运行特征进行分类,然后在table中引用下级table,以下是我对一些最普通的软件的操作规则归到一类进行的设置:
在大table中引用子级table
另外,jetico的所有部分都可以利用弹出窗口自定义规则,以下是攻击提示窗口,在其中可以选择允许该行为、阻止行为、使用模板以及自定义。
最后是程序签名,jetico是使用哈希值进行检验识别的,对于与内存值不符的程序会进行默认处理(允许、阻止、询问)
同样的分类table
在签名检验规则中,应用进程是必须填写的,而时间和效验值是可选的。如果事件不填,则默认对一切进程行为进行效验;如果效验值不填,则对该进程不进行效验。
可以设置全局的签名规则
最后,在点击策略名称会在右侧显示策略模式,其中可以对各个模块进行个别设置(by pass是不使用该部分功能相当于通过,学习模式是对新进程及进程行为询问并建立新规则、停止学习是按照既有规则执行,对于例外全部否定)
在结尾,说一下为什么很多人会觉得jetico是一款难用的墙。其实因为他们没有按照正确的设定思路去建立规则。jetico的规则一个特点就是自上而下,逐层细化的。有些人在直接网络访问、间接访问以及细节规则中都设定了端口、协议和ip,而且各部分规则重叠矛盾,出了问题也不好排查。另外jetico的签名检验和hips对新手也是一个挑战,需要仔细耐心地进行调整。其中的依据就是日志
另外,要学会利用组进行管理,jetico为我们提供了对ip和程序进行管理的功能
再结合前面的次级table引用,可以极大地提高使用效率。
对于爱美人事,jetico的流量图也是挺耐看的
对于已经做好的规则,可以通过导出功能把整个策略或者其中的任何部分到处为xml文件;当然你也可以导入人家的整个或者部分策略。所以在规则共享上自由度很大
还有大家关心的资源占用,如图
开机后一共两进程jpf.exe是gui,占用较多资源,规则成熟以后可以通过单击托盘图标选择退出
最后提醒一下:
1、所有的规则都可以在前面的空格选择是否应用
2、退出gui以后,策略中所有设置为询问的规则都会自动拒绝,并且不再出现任何跳窗。如果除了问题可以重新打开gui查看日志进行排除
3、每条规则中对应可以选择一个或者多个应用进程,并支持使用通配符以及引用程序组
4、感觉jetico的hips定义与一般的手工hips有点出入,对于任何提示运行的进程,都会有控制系统服务(service.exe)、控制进程(explorer.exe)以及全局钩子(hook)这三个行为。即便你非常熟悉hips的操作也不要随便选择禁止,尤其是有控制系统服务(service.exe)、控制进程(explorer.exe)基本上是必须的,如果禁止了基本你pc上的任何程序(包括系统必须)都不可能正常运作。我就试过因为禁止读入内存导致kmplayer不能播放光盘的图像。
