Online Armor Personal Firewall（OA2）的设置教程之二

[b]转自：http://bbs.hypost.cn/read.php?tid-168014-keyword-.html

作者：jzhhh

Online Armor Personal Firewall（OA2）的设置教程之一 ：
/article/7194899.html[/b]

高级应用：

现在要正式讲解2个重头戏：程序控制和防火墙模块

程序控制：

=823) window.open('http://61.185.81.124/attachment/11_40156_d8e4072b9838178.png');" src="http://61.185.81.124/attachment/11_40156_d8e4072b9838178.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

在程序控制里面是不可以自定义添加规则的，只能执行相应的程序，然后OA2会自己创建规则。

=823) window.open('http://61.185.81.124/attachment/11_40156_a35ce19f65aaae1.png');" src="http://61.185.81.124/attachment/11_40156_a35ce19f65aaae1.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

在执行拥有微软签名或者在OA2白名单里面的程序被执行时，OA2自动允许此程序并制定规则。如notepad，OA2就会自动创建规则。

=823) window.open('http://61.185.81.124/attachment/11_40156_353863a73ab10d4.png');" src="http://61.185.81.124/attachment/11_40156_353863a73ab10d4.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

但是在执行未知程序（如上面的金山词霸主程序）的时候，OA2便会进行提示并且给出很详细的指示。不过需要注意的是“记住我的设置”（Remember my desicion）是默认选上的，在只想让程序执行一次的时候需要取消这个勾。

=823) window.open('http://61.185.81.124/attachment/11_40156_fe6b80afe6caeee.png');" src="http://61.185.81.124/attachment/11_40156_fe6b80afe6caeee.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

在每个永久程序规则里面都有“高级规则选项”，这时我们便可以发现HIPS（AD）的影子了。
其中包括程序执行权限：“启动程序”，“设置全局钩子”，“访问物理内存”，“远程代码控制”（OpenThread API），“远程数据修改”（WriteProcessMemory API），“挂起进程\线程”（SuspendProcess API）和“关闭系统”（NtShutdownSystem API）。
保护程序：“如果程序被终止则重启”，“保护程序不被终止”，“保护程序不被挂起”，“保护程序不被代码控制”和“保护程序不被数据修改”。

我们可以发现，基本的代码注入都被防御了，AD的功能相对来说还是挺不错的。

=823) window.open('http://61.185.81.124/attachment/11_40156_f32e0e8f3a5b6e4.png');" src="http://61.185.81.124/attachment/11_40156_f32e0e8f3a5b6e4.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

这是我为金山词霸主程序制定的规则。

防火墙模块：

=823) window.open('http://61.185.81.124/attachment/11_40156_4f8915004529392.png');" src="http://61.185.81.124/attachment/11_40156_4f8915004529392.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

我们可以为每个程序或者全局制定规则，而且OA2自带的程序规则学习模式也非常不错，适合新手使用。
用户可以自定义规则。

=823) window.open('http://61.185.81.124/attachment/11_40156_4d0ecee5efff8c3.png');" src="http://61.185.81.124/attachment/11_40156_4d0ecee5efff8c3.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

按下“Add”，便可以直接的制定规则了。可以选择协议（只有TCP，UDP和TCP/UDP），方向和日志记录方式，下面可以选择“全部程序”或者选择的程序，并且可以制定多个端口和0端口。不过一个规则只能使用一个协议。

=823) window.open('http://61.185.81.124/attachment/11_40156_165a92be8bc0a8f.png');" src="http://61.185.81.124/attachment/11_40156_165a92be8bc0a8f.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

这里可以制定相应允许访问的IP地址或者国家；左边填写IP，右边填写国家。不过建议使用全局配置（一般用户不需要此功能）。

=823) window.open('http://61.185.81.124/attachment/11_40156_73cb9ef99d4277d.png');" src="http://61.185.81.124/attachment/11_40156_73cb9ef99d4277d.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

这是我添加的全局规则：允许TCP端口80和8000出网。

=823) window.open('http://61.185.81.124/attachment/11_40156_9ae8ba92248fb4b.png');" src="http://61.185.81.124/attachment/11_40156_9ae8ba92248fb4b.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

这里是“限制位置”的全局规则设定，不过建议不设置。：）

=823) window.open('http://61.185.81.124/attachment/11_40156_65cdbbcf618015c.png');" src="http://61.185.81.124/attachment/11_40156_65cdbbcf618015c.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

这个Blacklists貌似是封禁的违例网站，规则需要OA2执行制定或者从官方下载规则，用户无法自定义规则。

=823) window.open('http://61.185.81.124/attachment/11_40156_c4c1e9c456fa68d.png');" src="http://61.185.81.124/attachment/11_40156_c4c1e9c456fa68d.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

这里是ICMP的基本规则设置，普通用户默认规则即可。

=823) window.open('http://61.185.81.124/attachment/11_40156_114017092818007.png');" src="http://61.185.81.124/attachment/11_40156_114017092818007.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

这里就是高级规则了，其中禁止了大量的一般用户不需要并且具有潜在威胁的端口，用户也可以自定义规则。

=823) window.open('http://61.185.81.124/attachment/11_40156_d3adcc170d9701c.png');" src="http://61.185.81.124/attachment/11_40156_d3adcc170d9701c.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

有些人就问了，为什么一个防火墙连连接查看都没有？（不过ZA就没有:) ）在防火墙图标单击右键，选择Firewall Status（防火墙状态）就可以看见网络连接的概况了。里面包括了程序的连接，PID，下载上传量等，不过没有正在活动的连接，所以下面的表格没有进程存在。

=823) window.open('http://61.185.81.124/attachment/11_40156_d4dfe737a81f9d4.png');" src="http://61.185.81.124/attachment/11_40156_d4dfe737a81f9d4.png" onload="if(this.width>'823')this.width='823';if(this.height>'564')this.height='564';" border=0>

右键单击某个连接的进程，还可以终止此进程或者到达此程序的防火墙规则那里。