【转帖】用table组织和管理Jetico的规则 - 『计算机安全』

scf76

中级会员

UID 860
精华 0
积分 161
帖子 115
威望 161
现金 82 币币
存款 0 币币
阅读权限 4
注册 2006-3-25
状态离线

大中小

发表于 2006-3-25 23:47 资料个人空间短消息加为好友

【转帖】用table组织和管理Jetico的规则

描述：图一，msn的所有规则条
图片：

描述：图二，选择这些条目复制到新Table中
图片：

描述：图三，将host中的特定IP改成any
图片：

描述：图四，编辑结果比对
图片：

描述：图5，最终完成状态，另附QQ规则列表
图片：

我近日收到了论坛的几个短信，是一些会员询问我怎样创建Jetico防火墙的规则，或高效地组织Jetico的规则table。这个我通过帖图举例，希望能够给抛砖引玉，给使用Jetico的会员们一个授之以渔的方法。

首先我先简要阐述一下Jetico网络过滤的机制。
1、Jetico网络过滤的特色之1——细腻而敏锐的监察
Jetico对网络的监察十分灵敏，对恶意代码的察觉也很细腻。因此，你经常会见到Jetico跳出类似某个程序access to network的警报。对于“access to network”这个警报的含义，Jetico是这么解释的。
CODE:
It is a general event occured even before the application actually sends or receives some packets to network. At that time the application just loads Windows modules necessary to access network.
access to network - special event which means general access to networking subsystem preceding to all network communications. While 'access to network' is not enabled for an application, it won't be permitted to execute any network-related function
[Copy to clipboard]

意思是指在这个警报会在某个程序有访问网络的意图但未真正通过网络发送或接收数据的时候弹出，其作用可以提醒你木马通过调用受信的程序来隐藏自己的网络访问。Access to network的优先级是所有网络通信动作中最高的，一旦你拒绝这个要求，那么任何网络访问的动作，比如发送、接收数据，连入连出等都会被拒绝。

2、Jetico网络过滤的特色之2——灵活的容器，Table分组机制
我们可以把Jetico的Tables看成是盛放应用程序网络过滤规则的容器。Jetico通过逐条匹配和在各个Table间的跳转来过滤我们不想要的网络通信。Jetico内置了7个网络过滤规则Tables，分别是
Application Trusted Zone
Application Trusted Zone
Ask User
Web Browser
FTP Client
FTP Server
Mail Client
这7个Tables内置了不同的过滤规则。比如Mail Client只开放远程的pop3 TCP110、smtp TCP25、IMAP TCP 143端口连出。我们可以在Mail Client 这个Table添加995和465端口来打开Mail Client这个过滤Table对Gmail的支持。Jetico的这个分组机制可以使我们通过Tables活地对将应用程序匹配给不同的过滤规则组别。只要在Jetico弹出的网络过滤警报中，通过选择handle as 对话框，将其指派给不同的Tables就可以了。比如，对于Bitcomet，如果你懒得设置，只要把Bitcomet这个程序 handle as Application Trusted Zone，那么Bitcomet的所有网络访问就被Jetico所信任了，所有的网络通信将畅通无阻。对于Foxmail，你可以handle as Mail Client 。以此类推，我们可以通过修改或创建不同的Tables来组织我们的应用程序及其网络过滤规则。

3、如何创建并组织好一个Table
刚在我已经通过简单的Gamil的例子，阐述了通过编辑内置的Table，添加适用的过滤规则来完善这个Table或实现某个功能的方法。现在我们要创建一个全新的Table来更有效的组织我的应用程序过滤规则。
下面我以创建一个用来容纳MSN和QQ的名为“Instant Messenger”Table为例，阐述一下如何新建一个Table。本案例中的环境为Jetico的默认设置，如果你没有把握，可以打开Jetico的Files菜单，选择“Revert to factory settings”来还原Jetico出厂设置。
我们首先在Optimal Protection中Insert一个Table并将其命名为Instant Messenger备用。然后我们打开MSN，在一路跳出的对话框中确认所有的动作。待msn登录完成后，在我们的Ask User表中会出现约23条规则，如图一所示。通过分析、比对和总结我们不难发现msn的过滤规律：
access to network
端口：远程1863，80，443；事件：outbound connection；
另外几个发送和接收数据报的我们暂且略过。
好，掌握了规律，我们就可以创建自己的Table了。我们把如图二所示，红框中的4条规则选中，然后按住鼠标右键复制到刚才我们创建的Instant Messenger这个Table里。接着我们进入Instant Messenger这个Table，并编辑其中host的为any，如图三、图四所示。（因为我们无法一一罗列msn的登录服务器，所以只要msn调用这几个端口我们全