設置kangle[ ]

Kangle考慮不同用戶的使用習慣，具有不同的設置方式。

先介紹兩種方式。

第一種：通過kangle提供web圖形化管理界面進行設置。

打開瀏覽器,在地址欄里面輸入：

http://kangle服務器的IP地址或者域名:3311/

如果是本機，在地址欄輸入：

http://localhost:3311/

登陸管理后臺進行設置。

注：默認用戶名：admin 初始密碼：kangle

第二種：通過kangle的配置文件進行設置。

• 若安裝kangle時，按kangle默認路徑安裝，三大配置文件放在：C:\Program Files\Bangteng\Kangle\etc 下。
• 若安裝kangle時，更改了安裝路徑，則三大配置文件放在更改路徑的etc目錄下。

訪問控制基本概念說明[ ]

kangle的訪問控制非常強大、靈活，操作起來卻非常簡單。有iptables經(jīng)驗的用戶更不費吹灰之力便可理解，因為kangle的訪問控制非常像iptables。

訪問控制分為請求控制(request access)和回應控制(response access)。請求控制在最前面，用戶發(fā)送請求過來時即進行請求控制?；貞刂瓢l(fā)生在數(shù)據(jù)發(fā)送給用戶之前，即進行回應控制。

每個控制(access)由一張或多張表(table)加一個默認目標組成，其中BEGIN表是系統(tǒng)內(nèi)建表，所有控制從BEGIN開始。每張表(table)由多條規(guī)則鏈(chain)組成，在一張表中控制按順序從上到下對規(guī)則鏈(chain)進行匹配。規(guī)則鏈(chain)由一個目標(action)和任意個匹配模塊(acl)和任意個標記模塊(mark)組成。

kangle如果發(fā)現(xiàn)用戶的請求匹配了一個規(guī)則鏈(chain)中的所有匹配模塊，則進入標記模塊對請求做簡單的處理，之后就按該條規(guī)則鏈指定的目標處理。

• 如果目標是“繼續(xù)(continue)”，則還要進行下一條規(guī)則鏈處理。
• 如果目標是“默認”，則控制按默認目標處理（請求控制默認目標有拒絕和虛擬主機?；貞刂颇J目標有拒絕和接受）。
• 如果目標是“拒絕”，則將對用戶的請求拒絕并發(fā)送錯誤信息給用戶，之后中斷連接。
• 如果目標是“虛擬主機”，則將對用戶請求使用虛擬主機處理。
• 如果目標是“接受”，則將數(shù)據(jù)發(fā)送給用戶。

請求控制和回應控制擁有各自的匹配模塊和標記模塊

設置每IP連數(shù)據(jù)[ ]

在“配置 —> 資源限制” 內(nèi)進行設置，如下圖：

內(nèi)容過濾[ ]

對于互聯(lián)網(wǎng)信息的監(jiān)控過濾不可能用人力去管理、控制，工作量太大，太費時并且不能及時發(fā)現(xiàn)。Kangle內(nèi)容過濾功能實現(xiàn)人性化、自動化的管理。

如何進行過濾內(nèi)容操作，舉例說明（過濾灰鴿子）：

先介紹兩個功能模塊:

• content_length

1. 說明：配置內(nèi)容大小
2. 作用域：回應控制

• content

1. 說明：支持使用正則表達式過濾內(nèi)容
2. 作用域：回應控制

灰鴿子病毒的運行原理簡介:灰鴿子木馬分兩部分：客戶端和服務端。黑客操縱著客戶端，利用客戶端配置生成一個服務端程序。服務端文件的名字默認為G_Server.exe，然后黑客通過各種渠道傳播這個木馬。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你運行；也可以建立一個個人網(wǎng)頁，誘騙你點擊，利用IE漏洞把木馬下載到你的機器上并運行；還可以將文件上傳到某個軟件下載站點，冒充成一個有趣的軟件誘騙用戶下載

由于灰鴿子病毒變種繁多，其文件名也很多變，近來發(fā)現(xiàn)的以(Backdoor.GPigeon.sgr)類型居多，不易對付，在被感染的系統(tǒng)%Windows%目錄下生成三個病毒文件，分別是 G_Server.exe，G_Server.dll，G_Server_Hook.dll。

G_Server.exe運行后將自己拷貝到Windows目錄下，然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端，有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。

同時注意，G_Server.exe這個名稱并不固定，它是可以定制的，比如當定制服務端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務（9X系統(tǒng)寫注冊表啟動項），每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能，與控制端客戶端進行通信；

kangle 的內(nèi)容過濾功能，就是阻止灰鴿子實現(xiàn)后門通信。

具體操作：進入管理后臺回應控制，選擇“ 插入 ”

點擊“ 插入 ”進入，選擇匹配模塊中的“content_length”

選擇標記模塊中的 “content”

出現(xiàn)如下界面：

目標設為：“拒絕”

內(nèi)容大小為：“1--100字節(jié)”

內(nèi)容：

^[^\r\n]{0,}[a-z0-9]{1,}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}[^\r\n]{0,}[\r\n]{0,}$

參考來源[ ]

• http://www.kanglesoft.com/bbs/thread-49-1-1.html
• http://www.kanglesoft.com/bbs/thread-48-1-1.html
• http://www.kanglesoft.com/bbs/thread-47-1-1.html
• http://www.kanglesoft.com/bbs/thread-56-1-1.html