BlackICE 简单应用教程

出处：www.173wb.com 作者：FreeShadow 时间：2005-10-17 18:03:00

BlackICE是一个简单的防火墙软件，虽然你不可以指望他能抵御DDOS之类的攻击，不过抵挡一下那些不学无术的家伙还是合格的。重要的是他有Server版，可以成为服务运行。

本来这个软件设置非常简单，不过依然有人在问，只好逞一下英雄满足一下自己的虚荣心了。

安装BlackICE

这个不需要说什么了吧，请看清楚，在服务器运行的话请使用Server版。

请注意，除非你非常了解并且能很方便的控制机器，这里应该选“AP Off”，这里的大意是是否监控可运行程序(包括DLL)，如果你在这里选“AP On”的话，在安装完成后BlackICE将会扫描一次你的系统，记录下所有可执行文件，如果以后他发现有新的没有记录过的可执行文件被运行(被攻击者上传木马)，或者这些被记录的文件被改变(被攻击者替换文件)，他将按照默认设置拒绝运行。一般来说，他第一次运行很可能会拒绝你的远程管理软件运行，所以特别建议新手选择“AP Off”。

在以后的安装过程里全部是Next。

BlackICE的配置

首先我们进入配置菜单

在Firewall选项选择拦截所有非信任链接(Paranoid)。简单说就是所有没有特别设置允许的动作都被拒绝，同时禁止那些NetBIOS等服务器不需要的链接。基本上按照下图设置就可以了。

在“Notifications”菜单选择自动更新通知(Update Notifications)，建议设置为一天检查一次(下图是3天检查一次)。

如果BlackICE发现有新的版本，将会在右上角显示，看下图红圈处，当发现有新版本的时候建议尽快更新。

最后在“Intrusion Detection”做额外通行设置，个别系统例如DVBBS有时候会触发BlackICE误鸣，错误拦截用户IP，遇到这这种情况的话，请查阅log档检查是什么激活拦截并在“Intrusion Detection”允许通行。下图是DVBBS其中一个会触发BlackICE误鸣的其中一个动作。

BlackICE端口设置

首先当然是进入设置菜单

安全设置的基本道理其实就是只允许被允许特定的动作，其他所有动作拒绝。

以下是针对80端口的示范设置(允许所有ip通过TCP协议访问指定端口)。

以下是指定端口只允许指定IP访问的范例。

如果你需要允许某个IP段可以访问，你可以在“IP”设置里设置为“1.1.1.1-2.2.2.2”，端口段也一样。你也可以通过同样的设置禁止某个IP或者某个IP段禁止访问你的服务器，只需要在“All Addresse”选择你要屏蔽的IP，“Type”选择“IP”，“Mode”选择“Reject”，“Duration of Rule”选择你要屏蔽的时间就可以了。

补充常用端口和协议

HTTP 80 TCP

MSSQL 1433 TCP

MYSQL 3306 TCP

FTP 21 TCP

远程桌面 3389 TCP

DNS 53 UDP

CS(反恐) 27015 UDP

全文完

Odin

2005.01.10

BlackIce简单应用(20050723补充)

by:FreeShadow 20050723

F:空间用户被ban或者web操作被Block

Q:BlackIce有autoblock设置，他在

的“Enable Auto-Blocking”。如果你真的觉得他很讨厌的话，你可以考虑把前面的勾去掉，BlackIce将不再主动自动屏蔽，不过一般不建议这样做。同样，如果你选择了打开该选项，那么你就要有心理准备，在你没有预计的某个时候，你或者你的某个用户会被某个策略Auto-Block掉。

该autoblock是由blockice安全策略自动引发，当blockice认为某个用户(ip)的连接(可能是ftp、web例如在asp论坛删除文章或者任何别的什么动作)属于有嫌疑的不安全动作并在指定的时间内发生超过blackice的安全阀值，blockice将自动block掉该ip 24小时。所以，如果你没有办法预计你的用户是否有可能会引发blockice动作的话，建议你提前告诉他“如果连不上服务器，考虑换个公网ip，例如重新拨号”。

如果你需要手工解除该autoblock的单个设置的话，可以按照如下操作