卡饭论坛's Archiver



type_tan 发表于 2007-12-18 19:08

如果不考虑被注入系统正常进程,免杀的木马,或者说卡巴的文件扫描和主动防御,强大的达到楼主理想的程度,就像楼主说的: "感染问题,   从不在本人考虑范围之内!"。
那么可以说楼主的包过滤规则,是强悍,因为楼主建立的包规则,无非出于这么一种建立规则的思路:
1、首先阻止一切TCP、UDP的对内、对外连接。
2、允许已知的常见服务的对内、对外连接(例如HTTP访问),并优先于规则1。

这种当然是理论上的强,可是这种设置有意义吗?你在防护和方便之间,又是如何权衡的呢?如果只要安全,你完全可以只打开出站的远程80端口,浏览浏览网页就算了。

举些例子吧:

例子一:
[PacketRule]
Name禁止远程UDP端口
Enable=1
Allow=0
Log=0
Warning=0
Protocol=UDP
Direction=OutboundStream
RemotePort=81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999, 10000-65535
====================================
这是楼主包规则中的一条,处了上述端口,你封了几乎所有出站的UDP端口。按你的规则,我开了emule就下不来东西了。你知道为什么吗? 因为对许多内网用户,用P2P穿越NAT进行互联的原理就是,要通过向对方发送UDP包,告知对方自己的外网IP(即对外的路由器IP地址),对方才能穿越NAT进行连接,你才能从不同的p2p用户哪里下载到东西。而emule各个用户,设置的监听UDP端口,都是个人随机设置的,而你向对方这些端口发送UDP包通知时,就是出站的UDP了,而这些端口恰恰都被楼主的这条规则的阻截了。其他用户也就不知道我这个用户的存在了,无法建立连接,我当然什么就下不到了。

如果不靠单独的程序规则,就需要把这条包规则中封的出站端口都打开,楼主的这条规则完全就废了。

例子二:
[PacketRule]
Name=禁止本地TCP端口
Enable=1
Allow=0
Log=0
Warning=0
Protocol=TCP
Direction=InboundStream
LocalPort=1-10000

=========================
这也是楼主包规则中的一条。这样做,你岂不是就无法成为TCP建立连接时的服务器端了吗?而我们常常还是要listening一个端口,作为服务端的。一个简单的例子,局域网内的文件共享,用的是139端口,我要把文件共享给别人,就需要允许别人向自己机器的139端口的连接请求,即入站的TCP连接。而也被你这条规则阻止了。就又需要修改这条包规则,或者添加单独的程序规则。


还有很多软件,很多应用场景都不符合楼主的包规则,当然都向楼主似的只看看网页,聊聊QQ,这规则是可以。

可能楼主又会说,规则是死的,人是活得,特殊情况特殊处理,你可以增加单独的程序规则吗?可是如果增加了太多的程序规则,哪我就有个很大的疑问了:你的防火墙到底是以包规则为主,还是以程序规则为主了呢?你的这种包规则有了那么多例外,还有意义吗?

By the way:楼主一直强调自己的规则多么完美,如何如何强悍,受攻击的可能性为0。。。
这种强调绝对安全的言论,毫无价值。要知道,永远没有绝对的安全!

23tg33g073 发表于 2007-12-27 20:11

学习了~~~~~~~~~~~`

xqiafl 发表于 2007-12-27 21:28

回复 161楼 type_tan 的帖子

无任何实际意义的讨论! 

本本里的笔记 发表于 2007-12-27 22:01

纯粹学习....

haoaaahaomaa 发表于 2007-12-28 00:07

好不容易才看完,感觉比较迷茫,不过觉得楼主很强,有点舌战群儒的感觉哈
还得看几遍,深入学习,好为我所用,我正好用的za
感谢楼主的辛勤劳动

as23 发表于 2007-12-28 00:16

谢谢了。下了好好学习了。感觉自己没设置好。卡巴还是有些不足。[:11:]

wuzhenxiang1 发表于 2007-12-28 13:51

呵呵[:01:] [:01:] [:01:]

海洋王子 发表于 2007-12-28 21:02

花了2个多小时,仔细看完了楼主的文章和所有的讨论。

花了2个多小时,仔细看完了楼主的文章和所有的讨论。

我用的是kis7.0,然后导入规则,防火墙分别设置:最低、学习、安全、最高模式。结果:最高模式不能上网。而其他模式,正常上网。

淘宝旺旺启动时,弹出规则设置页面,重新登陆显示这是风险软件,我选择拒绝,正常登陆。

其他暂未作测试。

秋山听雨 发表于 2007-12-29 09:45

不错了!!挺好~

海洋王子 发表于 2007-12-29 10:06

刚作的测试,迅雷无法下载。

用迅雷下载软件,无法下载。
出现提示:无法解析。

我是菜鸟,用了楼主的规则,正常上网,迅雷不能下载。请问如何修改规则?

谢谢——

[[i] 本帖最后由 海洋王子 于 2007-12-29 10:28 编辑 [/i]]

dipsey 发表于 2007-12-29 10:33

这只能慢慢来学学了。

szzxl 发表于 2007-12-29 19:58

又学到了很多东西啊[:14:] [:14:]

bubaizhangsheng 发表于 2007-12-29 21:21

终于是看完了,看的我是头昏眼花,但是还是要承认楼住是下了工夫的,研究的态度很值得我学习!
不过有的人,确实是没有完全看完楼住的贴,就出来乱说,比如在80端口的问题!所以还是建议先把楼住的贴仔细的看上几遍在出来说吧!

总之学习了很多!

bubaizhangsheng 发表于 2007-12-29 22:52

说一下,导如了楼住的东西后,迅雷的速度明显下降

whyzhang123 发表于 2007-12-30 10:52

学习了

tlyxjtu 发表于 2007-12-30 11:11

额。。。
不懂。。。
不过还是顶lz一下[:10:]

carrier_c 发表于 2008-1-14 21:05

顶起 ~~~~让大家继续学习~~

xqiafl 发表于 2008-1-15 09:55

回复 174楼 bubaizhangsheng 的帖子

那可能是外网端口被封的原故吧!

外网的端口被封了很多. 所以肯定有点问题, 不过,我以前用的时候,好像没什么查觉.

这个可以通过NETSTAT -ANO 来排除端口的!

jiangker 发表于 2008-1-15 11:22

收下了。慢慢研究。

chrisqiu 发表于 2008-1-15 12:40

这个贴还真长啊,眩晕中。。。

页: 1 2 3 4 5 6 7 8 [9] 10 11 12 13 14 15

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.