ZoneAlarm Pro设置指南

    最近校园ARP病毒泛滥，除了及时找到毒机予以处理外，做好自我保护十分重要。ZoneAlarm是少数几款可以有效防御ARP攻击的防火墙产品之一，下面对它的设置和使用做点简单说明。

    初次听说ZoneAlarm还是在3年前，那一个同喜欢玩软件的朋友推荐给我的。当时介绍给我的时候讲了两个特点，一是小巧，二是自定义功能强大。然后自己也试用了一下，这两个特点显露无疑。对我来说，安全性最为重要，其次才是资源占用。我不在乎设置有多么繁琐，只要能给我完整的自定义功能，如何控制由我自己来设置。那么ZoneAlarm基本做到了这些。和其他我用过的十几款防火墙产品相比，ZoneAlarm的自定义功能可以说是最自由化之一的了。下面进入正题，以当前的版本7系列来做说明。

安装:
    和其他软件一样，看得懂的部分改一改，看不懂的部分按照推荐，一路next，结束。

License:
    自己解决吧。

设置说明：
    首次使用会自动扫描网络状态，然后会提示将其加入Internet Zone还是Trusted Zone。对局域网用户，考虑到要使用文件和打印机共享功能，扫描出的网段根据子网掩码可以是A,B,C段，建议添加到Trusted Zone。当然也可以根据自己的需要进行。Internet Zone和Trusted Zone的主要区别在于，后者允许使用windows文件共享，并且给予较低的安全级别，而前者不允许使用文件共享，且默认所处的网络为不可信任网络，但对于用户给予权限的应用程序，仍然可以完全正常地使用网络。因此后者一般用于你所在的子网，而将其他列为前者管理的范畴。

    打开ZoneAlarm后，主面板分三部分，左侧是分类，右侧是类内详细设置，顶端是全局控制。

    顶端的Dashboard，如果按下STOP按钮，那么所有的网络活动都会停止。如果按下Internet Lock，则除去在应用程序控制中给予passlock权限的程序外，其余程序的网络活动全部停止。

    Overview子类：
       都看得懂吧，没有特别需要说明的部分。

    Firewall子类：
        这个是主要部分。
 Main中，建议将Internet Zone Security设置为High，Trusted Zone Security设置为Medium。Advanced中是一些安全选项，建议勾选下面的选项：
 Automatically check the gateway
 Enable ARP protection
 Filter IP over 1394 traffic
 Lock hosts file
 Disable Windows Firewall
 Ask which Zone to place new networks in upon detection
 在Internet Zone和Trusted Zone的自定义设置中，建议勾选：
 Block incoming NetBIOS，Block incoming Ping，Block incoming IGMP。
 如果自己开设有服务，那么在Internet Zone和Trusted Zone中，Allow outgoing TCP/UDP ports中，添加对应的端口。如FTP Server端口，Remote Desktop端口，http proxy端口等。

 Main的Zones标签下，是区域分类设置，可以将你信任或者不信任的区域添加到这里。
 Main的Expert标签是高级设置，如果你要开始一些网络服务那么这里是需要设置的。建议添加一个Gateway，IP和MAC是你所在的子网的网关，可以确保网关的正确性。另外自己架设的服务的端口和进出控制也可以在这里添加，如端口、允许访问的IP等。

    Program Control子类：
        主要是控制应用程序的行为。
 Main中，Program Control建议选择Medium，这样应用程序的任何行为都需要由你决定；SmartDefence Advisor建议选择Manual；Automatic Lock建议选择off，如果选择了on，则需要配合对不同应用程序的权限设置，来达到无活动定时锁定和屏幕保护后锁定的目的。Advanced中提供了添加应用程序的默认规则，建议全部选择为Always ask for permission。其他设置可以根据自己需要进行。
 Program Control如果进行自定义设置，选中了其中提供的若干选项后，则应用程序对动态链接库的调用以及相互调用、HOOK都会受到控制。如果你使用的AntiVirus已经提供了该功能，那么可以关闭这些选项。OSFirewall中提供的选项可以根据自己的需要进行。
 Program中，主要是对各个应用程序进行设置。一般一个程序第一次运行，ZoneAlarm都会询问使用者进行何操作，根据自己的情况进行设置。每个程序的情况都会在这里进行记录，可以根据具体情况进行调整信任级别、是否提供Server服务、能否发送mail、是否使用passlock管理等。如果在SmartAdvisor提示后设置错误了，可以在这里进行修改。同时也可以自己手动添加应用程序规则。每个应用程序的选项中，也有Expert设置，用于定义各种进出行为。

    Anti-spyware，e-mail protection， privacy， identity protection: 根据自己情况，很多anti-virus也提供这些功能，保留一个即可。
   
    Anti-virus monitoring：装了Zone alarm Anti-virus才有效。

    Alerts&logs：一些日志和提示。

使用：
    基本上所有应用程序只在第一次使用时需要选择执行方式，今后都不需要进行设置了。如果需要修改或者添加，那么在Program Control中进行即可。对于需要开始服务的，那么需要在Firewall和Program Control中进行相应设置并打开相应端口。如果发现某个应用程序无法访问网络，而在关闭了ZoneAlarm后可以访问，那么需要在Program Control中检查该程序是否被block，以及在Firewall中检查是否该程序所使用的端口或需要访问的目的地址被block。如果发现无法使用文件共享功能，LAN Game无法找到主机，网上邻居不可见等情况，那么需要调整Firewall的安全级别，或者关闭zone中某些被block的选项。右击ZoneAlarm的系统托盘可以见到一个Game Mode模式，这是ZoneAlarm和Outpost所特有的功能，对全屏执行游戏或者观看电影时，使用Game Mode可以使得这期间所有访问都默认为允许，因而不会出现在全屏时跳回桌面决定ZoneAlarm如何操作的情况发生。

资源占用：
    比起自己当年用ZoneAlarm 4的时候，现在的7系列占用资源变化不大，20M-30M内存。启动速度稍有减缓但不至于很严重。对于提高安全性来说，资源牺牲是必然的代价，不过这种代价仍处于可承受的范围之内。

补充：
    关于ARP攻击，多说两句。
    首先是检测。任何一种ARP防御和检测工具，都不会比基于驱动的抓包程序更为有效准确地确定ARP攻击的源头和情况。也不能看到某机器做了ARP请求就简单地判断为ARP欺骗/攻击。
    其次是防御。绑定IP和MAC已经不能有效防止ARP攻击行为，因此需要一款好的防火墙产品来处理这样一个问题，将非网关的IP/MAC对应过滤掉。如果在底层有一个这样的数据包过滤的系统程序，不接受指定IP和MAC的ARP请求，问题就可以得到解决。我尝试自己伪造ARP数据包以较大的流量模拟毒机进行ARP攻击，ZoneAlarm能很好地阻止这样的ARP请求，保证受攻击的机器仍能不受影响。
    最后是杀毒。ARP本身不是病毒，现在往往作为病毒的一种攻击手段影响染毒机器和其他机器正常运行，因此要定期更新病毒库，做好自我保护。中毒的网段应该尽快获取抓包样本进行分析，找到毒源并予以清除。

Colin Xu@RYGH BBS
2007.12.16
转载请注明出处