近来看到有人在讨论个人防火墙安全,笔者在此尝试简单陈述局域网隐身的问题。

 

对于私人网络用户而言,虽然身在一个内网的网络环境中,他也往往只是需要与互联网进行通信。所以,这样的用户有很好的先决条件,可以实现较强的内网防护,甚至可以达到完全隐身。
首先是拦截本机发出的UDP 广播,一般的操作系统如XP 等,多是137 138 以及1900 端口的通信。

#1 由于用户只考虑与外网通信,他可以在系统服务里停掉 Netbios 服务,或者在防火墙规则中配置拦截本机 137 138 端口发出的广播包。
#2 如果本机需要与内网中少数信任用户文件共享,则需要开启 Netbios 服务,但仍然可以配置拦截 137 138 端口发出的广播包。文件共享以 IP 地址的形式来获取即可。如果对 IP 操作不熟悉,则防火墙拦截 137 138 对外广播的前提下,可授权本机 137 138 到对端 137 138 端口之间的双向通信。
#3 如果是上述 2 的情况,授权了内网少数信任用户,那么安全起见,还是要在防火墙配置中进一步绑定对端主机的 IP Mac ,这样只要信任主机没有问题,则安全是非常稳固的。
#4 至于 1900 端口的 UPnP 协议,如果已经做过手动配置端口映射,可拦截该协议的通信数据。如果对路由设备没有控制权,不能做静态端口映射,而且还需要 UPnP 服务,那么可只授权来自网关的针对 1900 端口的组播连接,以及本机 1900 端口对网关探测的响应。注意:一定要能借助防火墙绑定网关 iP Mac

 

其次,拦截本机IGMP 组播包发出。 在一些系统如 XP 中,默认是会发出这些数据报的,如打印机服务的需要,组播服务的探测等。如果本机没有这些需要,则可完全拦截这些 IGMP 协议的通行。

 

第三,在ICMP 协议处, 防火墙配置只允许本机 ping 出以及 Type 0 的进入,以及允许 Type3 11 的数据进入,保障基本的网络通信。

 

第四,在ARP 协议处 ,既然只需要与网关通信,则拦截所有 arp 协议,在此基础上只授权本机 arp 数据包出站,以及网关的 arp 数据包进入(如果 DNS\DHCP 服务端 IP 不等于网关的话,还需要授权这些主机的 arp 数据包进入),当然,一定是要绑定其 IP Mac 的,拒绝被欺骗。

 

第五, 既然只需要与网关以及 DNS Serv DHCP Serv 的通信,可配置规则拦截内网网段内所有非这些信任 IP 的主机IP 范围的所有协议的数据包进入系统, 彻底杜绝其各种形式的扫描。

 

第六,拦截所有来源IP 为广播、组播等地址的非法数据包进入系统。

 

第七,通过以上几处的防护,相信本机已经非常安全。这样,再在全局防护中增添一些拦截碎片进入,以及有可能的话配置 TCP UDP 状态检测,相信本机已经极其安全,可以完全在网络上隐身了

 

当然,要实现以上所述,就需要一款可精细设置各网络协议规则的防火墙了。这里推荐 Lns ,小巧而强大,截至目前笔者只发现这一款防火墙可以满足以上设置的需求。

 

09.05.12

欢迎指教、指导。
--------
后记:
一个广播域完全隐身其实是不可能的,不过经过上述策略的部署,相信应该能够做到很棒的内网防御。