首先和ALEX一样,隐藏模式就已经可以达到这个效果,而且分别封闭UDP 10001-65535端口不知道有什么意义(TCP通信的确到了10000端口就不存在了,但是UDP数据包在10000端口一以下仍然存在)
[b][color=royalblue][quote][b][color=royalblue]首先打开包过滤: 点击: "添加"[/color][/b]
[b][color=royalblue]规则名: 阻止一切攻击![/color][/b]
[b][color=royalblue]钩选 : "本地端口"[/color][/b]
[b][color=royalblue]下面依次为: 阻止, 入站流, TCP, [/color][/b]
[b][color=royalblue]本地端口: 1-10000. [/color][/b]
[b][color=royalblue]依照上面,再重新设置一个UDP规则[/color][/b]
[b][color=royalblue]依次为: 阻止, 入站流, UDP[/color][/b]
[b][color=royalblue]本地端口: 10001-65535.[/color][/b][/quote][/color][/b]
[b][color=#4169e1][/color][/b]
[color=black]且不说这个规则有很多漏洞,从正常的包过滤角度来说,入站流封闭“本地端口”,通信模式就是“远程——》本地”,也就是封闭远程计算机的“本地端口”,而正常上网需要的就是远程服务器的“本地端口”(如TCP 80);那么所谓的通信就是无法达成的(服务器无法反馈数据段)。这就是为什么部分用户会无法上网的原因。[/color]
同时,封闭高端口的UDP没有实际意义。
同时,“高安全模式”的意思就是“非允许的全部阻止”,也就是说哪怕楼主所说的规则不存在,那些所谓“非法”的通信仍然会被阻止。ZA在高安全的情况下那些用户自定义的规则也不会生效,这个可能就是为什么KIS和ZA仍然能够上网的原因了。
应用程序规则优先权 > 包过滤规则(KIS)
[[i] 本帖最后由 Oceanzd 于 2007-11-2 08:06 编辑 [/i]] 学习中[:06:] 学习了,搂主是高人,谢谢 Inbound stream. The rule is applied to network connections opened by a remote computer.
Inbound packet. The rule applies to data packets received by your computer, with the exception of TCP packets.
Inbound and Outbound streams. The rule is applied to inbound and outbound traffic regardless of what computer, yours or a remote computer, initiated the network connection.
Outbound stream. The rule is only applied to network connections opened by your computer.
Outbound packet. The rule applies to data packets transferred from your computer, with the exception of TCP packets.
多看看卡巴说明书
应用程序规则优先权 > 包过滤规则?我测试了下,允许IE类型所有活动(也就是BROWSER),规则包则禁止outbound remote 80,结果无法显示该页-
应该是包过滤规则>应用程序规则优先权
阻止, 入站流(不是Inbound packet), TCP,
本地端口: 1-10000.
按照说明书可以解释为:不允许远程计算机发起连接到本地的1-10000端口,一般用户上网是没有问题的
规则还是有漏洞的,效果理论上也是会有点的
仔细看看KIS应用程序规则里除了用户设定的以外,常见的,kaspersky默认的程序里好像全是outbound,no inbound
封远程端口有没有用,就看RP吧,如果是80你也没察觉,就没了
总体还可以,如果过主动防御,免杀了,可以提升免于被人控制的概率,如果是高安全,提升的会比较少些
一般地高安全模式也就可以了。
[[i] 本帖最后由 kimirai 于 2007-11-4 12:25 编辑 [/i]] 需要向楼主好好学习,不过我用不了,菜鸟一个[:02:] [quote]原帖由 [i]Oceanzd[/i] 于 2007-11-2 07:33 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1991237&ptid=144028][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
看来楼主还没有理解包过滤,建议看一下相关的资料
首先和ALEX一样,隐藏模式就已经可以达到这个效果,而且分别封闭UDP 10001-65535端口不知道有什么意义(TCP通信的确到了10000端口就不存在了,但是UDP数据包在10 ... [/quote]
唉!! 学习就行了,不要再顶了!! 看来,你还没理解! 本地开服务, 是对于出站流, 我本地封了所有端口.是对于入站流. 这本来
就是两把事情! 我建议你用了,再发话!! 通过入站流, 封本地,就是防止, 从外到内这个流向的数据包. 包括拦截正向连接木
马. 远程攻击! 由于, 出站流,是封外网端口. 所以,对于本地开服务,不存在问题!
[b][size=7][color=red]本人最后只说一次! 这个规则,即不会产生对 上网的影响, 也不会影响,某个程序的运行.[/color][/size][/b]
[b][size=5][color=blue] [/color][/size][/b]
[b][size=5][color=blue]如果你没用过这个规则,那么,请你不要随便发表[/color][/size][/b]
[b][size=5][color=blue][/color][/size][/b]
[b][size=5][color=blue]没有根据的评论!! 本来以为, 沉了算了, 结果又顶起来了. 没搞懂规则, 就不要再发表评论了.[/color][/size][/b]
[b][size=5][color=blue][/color][/size][/b]
[b][size=5][color=blue]就当,本人是在放屁. [/color][/size][/b] 我在首页中, 应该也说了, 在第八页也详细解释了. 80端口.是不可能封的. 封了就不能上网.
这个时候, 只能人工判断. 而且,判断也很简单.
如果,你有更好的解决办法. 请发出来!!
如果没的. 那就只能这样了!
有人说, 通过,感染信任程序, 达到控制目的. 这个里面, 就要搞清楚了. 是运行这个信任程序后,木马激活.
还是, 开机,自动调用这个信任程序访问网站. 一般, 如果是病毒,则前者可能性比较大.
如果是木马, 一般, 就算注入或者,其它什么办法, 让某个程序访问网站, 那也是一眼就看的出来的!
因为. 很简单, WINDOWS 默认是不访问网络的. 这时, 不管哪个程序访问网络, 可疑度都很大!
有人说, 中一次木马,跟中10000次木马,一样. 这个规则无意义.
在这里. 本人只能说, 你确定,你懂规则???? 你确定你用过规则.????
[b][size=6][color=red]还有一点: 远程端口用80的木马是很多. 不过, 还是[/color][/size][/b]
[b][size=6][color=red][/color][/size][/b]
[b][size=6][color=red]有很多, 并不是使用80端口.[/color][/size][/b] [size=7][color=blue][/color][/size]
[size=7][color=blue][/color][/size]
[size=7][color=blue][b]如果还有谁还在挑80端口.这个地方,[/b][/color][/size][size=7][color=blue][b]那么,请你拿出更强的规则包出来. 让我分享一下! OK?[/b][/color][/size]
[size=7][color=blue][/color][/size]
[b][size=7][color=red]封外网端口无效???? 对于80无效, 但对于,其它的, [/color][/size][/b]
[b][size=7][color=red][/color][/size][/b]
[b][size=7][color=red][/color][/size][/b]
[b][size=7][color=red]你把鸽子以默认端口, 运行100000000000000000000000000000000000000000000000000000000000000000000000000000000 边. 给我看下. 看能不能上线![/color][/size][/b]
[[i] 本帖最后由 xqiafl 于 2007-11-4 09:32 编辑 [/i]] 好了!!1 要说的, 我都说了!!
不想在废话了!! 觉得好就用, 不好就不用, 很简单!
[quote]应用程序规则优先权 > 包过滤规则(KIS) [/quote]
当, IE 这个程序访问网络时, 如果, 端口与规则冲突.
比如: IE 只能访问80和443这两个. 但,你要看电影, 它服务器端口是777.
这时, 规则包会拦截的. 所以, 不存在什么优先权.
事实上, 这个程序能够访问的, 还是规则包中的所限定的端口.
即使这个程序能上网, 但规则包中, 某个远程端口是被封杀状态.
那么,这个程序也只是会弹出提示. 而不是无视规则包的存在.
除非使用, ALL TCP, ALL UDP . 否则, 规则包, 一直有效!
好了. 这是最好所作的修改!!
PS:[quote] [b][color=red]当你, 还认为, 封端口,没用, 或者, 应该封本地端口. [/color][/b]
[b][color=red][/color][/b]
[b][color=red]那么,我建议你, 去使用ZA 防火墙. 我是看别人使用ZA防火墙的说明.[/color][/b]
[b][color=red][/color][/b]
[b][color=red]而得到的启发!! 或者认为封远程端口无用的. 都可以去用用看![/color][/b]
[b][color=red][/color][/b]
[b][color=red]你只要记住一点: 程序是任意的. 是封不住的. [/color][/b]
[b][color=red][/color][/b]
[b][color=red]而端口呢? 本地一共65535. 远程一共65535. [/color][/b]
[b][color=red][/color][/b]
[b][color=red]看看,我的规则包. 我封了多少?? 再试试. 影不影响,程序的使用. [/color][/b]
[b][color=red][/color][/b]
[b][color=red]显然,[color=navy] 完全不影响!![/color] 之所有[/color][color=navy]会影响上网, 是因为, 你不会用.[/color][/b]
[b][color=red][/color][/b]
[b][color=red]明明没看懂,却[color=navy]装X[/color], 自己手动设置.,其结果就是不能上网!. [/color][/b]
[b][color=red][/color][/b]
[b][color=navy]本人在文章中特别强调了, 数据包的流向的重要性.[/color][/b]
[b][color=navy][/color][/b]
[b][color=red][color=navy]还在第八页,做了详细说明![/color] [/color][/b]
[b][color=red][/color][/b]
[b][color=red]直接导入规则包, 不[/color][/b][b][color=red]会出任何问题.[/color][color=navy] [/color][/b][b][color=red][color=navy]从本质上来讲. 就不会有任何问题!![/color] [/color][/b]
[b][color=red][/color][/b]
[b][color=red]如果, 你认为有任何问题, 是因为. 你没理解这个规则的含义![/color][/b]
[b][color=#ff0000]总之一句话: 出问题就是,你不会用! [/color][/b] [/quote]
[[i] 本帖最后由 xqiafl 于 2007-11-3 23:18 编辑 [/i]] 也许, 你们对于我楼上的回话, 觉得不爽!
不爽,不服. 可以, 直接导入规则包, 做下测试啊!
IE.QQ. IIS. 迅雷. 这些都不会有影响! 本质上: 任何程序都不会有影响!
在以前, 有人回贴,说迅雷之所以能访问,能用,不是我配的规则包问题, 而是,本来
就可以用. 我可以很明确的告诉你, 之所有, 迅雷能用. 是因为, 本人做了[b][color=red]包过滤[/color][/b]了.
所以, 你用我的规则包,才能不受影响. ,你用其它程序, 本地打开,运行,
都没影响, 只是[color=red][b]影响在公网上面[/b][/color]. 我文章中也提到了. 这需要, 根据个人的实际
去设置. 如果,你跟我一样. 只是上上网, 用下迅雷. 那么, 直接导入.
就OK了!! 不懂也不要紧!! 这个规则包,不需要更新!!
如果, 你们真的想[b][color=red]反驳[/color][/b]. , 那么,我建议,你们拿出使用本规则包,
的实例来. 进行[b][color=red]反驳[/color][/b]. 不要空谈. 因为.本人都做过测试!!
虽然,本人用卡巴时间不长. 用卡七开始用. 但,本人从06年开始用ZA防火墙.
卡巴kis 跟ZA 的专家模式,是一模一样的!! 所以,在规则包这上面!!
[size=6][b][color=red] [/color][/b][/size]
[size=6][b][color=red][/color][/b][/size]
[size=6][b][color=red]如果,你拿不出实例,就安静的看着!! [/color][/b][color=red][b]空谈是[/b][/color][/size]
[size=6][color=red][/color][/size]
[size=6][color=red][b]反驳不了我的!![/b][/color] [/size]
[b][size=7][color=red]如果,拿不出, 就闪开!![/color][/size][/b]
[b][size=7][color=red] 本人已无兴趣在说这些废话了。[/color][/size][/b] 如果一个人看不懂, 那是我的问题, 但,我看了下子,基本上没人看懂!
那个在第八页,会写程序的那位兄台。, 看似看懂了,其实也没看懂。
从它那句。 中1次木马跟中100000次木马一样。 就这一句话。
本人可以很明确的说, 它也没看懂!!
[size=4] [/size][b][color=magenta][size=4] 如果,都没看懂。 那就不是你们的问题了。 而是本人的问题。[/size][/color][/b]
[b][color=magenta] [/color][/b]
[b][color=#ff00ff]实在不好意思, 本人发了这么一个,让人看不懂的垃圾贴子。 浪废你们的时间。[/color][/b]
[b][color=#ff00ff][/color][/b]
[b][color=#ff00ff]在下,感到实在不好意思!! [/color][/b]
[[i] 本帖最后由 xqiafl 于 2007-11-3 23:38 编辑 [/i]] [quote]原帖由 [i]kimirai[/i] 于 2007-11-3 18:28 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2000927&ptid=144028][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
Inbound stream. The rule is applied to network connections opened by a remote computer.
Inbound packet. The rule applies to data packets received by your computer, with the exception of TCP packets. ... [/quote]
你是唯一,用事实说话的人, 昨天没看见. 本人要表达的,就是你要说的那个意思!!
问题肯定是有的. 不过, 本人在前面都说过了, 只要配合程序规则包,一般情况下,都不会有问题!
程序里面,只要让IE, 和其它一个应用程序, 比如: QQ等, 访问网络就行了.
这样, 封掉系统程序访问网络,再加上这个规则. 基本上, 可以解决部分: 过主动防卸, 免杀的马.
外网80一封. 那还能上网吗?? 所以, 就这里,要手动判断一下子. .
我看了下子. 昨天,没太注意看你贴子. 你估计是唯一看懂了的人!!
我没看过卡巴说明书. 所以,不知里面讲的是什么!!
反正, 我只知道, 有效果这一结论!!
[[i] 本帖最后由 xqiafl 于 2007-11-4 09:41 编辑 [/i]] [:01:] 楼主真是大牛啊! 学习了 [quote]原帖由 [i]bailey53[/i] 于 2007-11-4 10:16 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2004450&ptid=144028][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
[:01:] [/quote]
请不要纯表情回复,版区的良好交流氛围需要大家共同努力维护,请注意,下不为例~! 本人只知道卡巴KIS , ZA 这两种可以做到. 其它,很多都做不到,本人所说的内容! 楼主的话看的我头晕,估计语文没学好,断句断的乱七八糟的。
就这个规则包来说,我认为是没有必要的,为什么呢,如果用kis的隐身模式加上应用程序端口连接控制,然后将防火墙安全级别调到最高,就可以完美的达到楼主的规则包效果,
在防火墙中包过滤的规则越多,防火墙的工作效率越低。另外kis本来就是一个状态检测的防火墙,所以确实和国内的一些单只能使用包过滤规则的防火墙不一样。 很详细,谢谢楼主提供,学习下,呵呵 讨论得精彩,支持原创,学习中 我花了2个多小时把所有的讨论看完了
评价如下:
1,感谢楼主的分享精神。对卡fans的无私的技术支持,值得大家赞扬。楼主为了大家也花了不少时间,应该得到肯定!
2,论坛的高手很多。对有些人提出的质疑是可以理解的,但我要说的是,有些人没有把楼主的帖完完全全的看明白。楼主在帖里已经很清楚的说明了对某些特殊的端口的处理办法,比如80端口。希望大家在弄清了后再谨慎发言!楼主也并不是认死理,现在如果有人能给个比楼主更好的的规则那才有说服力。
3,网络技术是在不断发展,大家都是摸索中前进。任何的规则都不是万能的,软件防火墙不比硬件防火墙。只要电脑在上网,一切未知的危险时刻都在你身后。楼主发的规则包在某些地方已经很强大了,人无完人,事无完事的道理还要请大家理解。
上面仅代表个人看法而已!
我用的就是楼主的过滤包 我的安全组合是:Kis7+EQ(hips)我相信这套组合对我们这些菜鸟来说 足够了!