近来看到有人在讨论个人防火墙安全,笔者在此尝试简单陈述局域网隐身的问题。
 
对于私人网络用户而言,虽然身在一个内网的网络环境中,他也往往只是需要与互联网进行通信。所以,这样的用户有很好的先决条件,可以实现较强的内网防护,甚至可以达到完全隐身。
首先是拦截本机发出的UDP广播,一般的操作系统如XP等,多是137138以及1900端口的通信。
#1 由于用户只考虑与外网通信,他可以在系统服务里停掉Netbios服务,或者在防火墙规则中配置拦截本机137138端口发出的广播包。
#2 如果本机需要与内网中少数信任用户文件共享,则需要开启Netbios服务,但仍然可以配置拦截137138端口发出的广播包。文件共享以IP地址的形式来获取即可。如果对IP操作不熟悉,则防火墙拦截137138对外广播的前提下,可授权本机137138到对端137138端口之间的双向通信。
#3 如果是上述2的情况,授权了内网少数信任用户,那么安全起见,还是要在防火墙配置中进一步绑定对端主机的IPMac,这样只要信任主机没有问题,则安全是非常稳固的。
#4 至于1900端口的UPnP协议,如果已经做过手动配置端口映射,可拦截该协议的通信数据。如果对路由设备没有控制权,不能做静态端口映射,而且还需要UPnP服务,那么可只授权来自网关的针对1900端口的组播连接,以及本机1900端口对网关探测的响应。注意:一定要能借助防火墙绑定网关iPMac
 
其次,拦截本机IGMP组播包发出。在一些系统如XP中,默认是会发出这些数据报的,如打印机服务的需要,组播服务的探测等。如果本机没有这些需要,则可完全拦截这些IGMP协议的通行。
 
第三,在ICMP协议处,防火墙配置只允许本机ping出以及Type 0的进入,以及允许Type311的数据进入,保障基本的网络通信。
 
第四,在ARP协议处,既然只需要与网关通信,则拦截所有arp协议,在此基础上只授权本机arp数据包出站,以及网关的arp数据包进入(如果DNS\DHCP服务端IP不等于网关的话,还需要授权这些主机的arp数据包进入),当然,一定是要绑定其IPMac的,拒绝被欺骗。
 
第五,既然只需要与网关以及DNS ServDHCP Serv的通信,可配置规则拦截内网网段内所有非这些信任IP的主机IP范围的所有协议的数据包进入系统,彻底杜绝其各种形式的扫描。
 
第六,拦截所有来源IP为广播、组播等地址的非法数据包进入系统。
 
第七,通过以上几处的防护,相信本机已经非常安全。这样,再在全局防护中增添一些拦截碎片进入,以及有可能的话配置TCPUDP状态检测,相信本机已经极其安全,可以完全在网络上隐身了
 
当然,要实现以上所述,就需要一款可精细设置各网络协议规则的防火墙了。这里推荐Lns,小巧而强大,截至目前笔者只发现这一款防火墙可以满足以上设置的需求。
 
09.05.12

欢迎指教、指导。
--------
后记:
一个广播域完全隐身其实是不可能的,不过经过上述策略的部署,相信应该能够做到很棒的内网防御。