卡巴防火墙包过滤设置详解与最强模式!(最新补充)
[b][color=red]防火墙想要设置的最强模式,[/color][/b]本人首发于卡饭. 转载时: 请注明作者本人我: 啊神!
[b][color=red]防火墙的精华, 就在本人写的这篇贴子中了![/color][/b]
[b][color=blue]第一: 要搞清楚什么是出站,什么入站, 什么情况是出站,什么情况是入站!
第二: 对于黑客工具的了解,
第三:对于黑客习惯的了解!
以上三点,即可把防火墙设置成最强模式.[/color][/b]
第一什么出站???
[quote][b][color=red]就本人理解. 出站就是: PC机某一程序 主动 连接 互联网. 注: 是主动! [/color][/b]
[b][color=red]
这就是出站了!
[/color][/b][/quote]
入站???
[quote] [color=red]本人理解: 入站就是: 互联网上的用户主动连接你的电脑. 向你发送数据!
最具体表现在: 网络攻击! 远程控制木马中的,(正向连接)
这些,都属于入站![/color] [/quote]
对于黑客工具的了解!
[quote] [b][color=blue]比方说: 鸽子,;这一远程控件软件. 它默认是开8000端口. 这个端口,是开在哪??[/color][/b]
[b][color=blue]开在客户端. 而不是服务端. 所以, 如果,你把本地8000端口封了,是无意义的![/color][/b] [/quote]
黑客习惯?
[quote] [b][color=royalblue]还是说鸽子. 虽然说鸽子的默认端口是8000. 但它支持改端口的.[/color][/b]
[b][color=royalblue]因为,黑客为了更好的隐蔽性, 所以,通常会改端口. 到底会改哪些端口?[/color][/b]
[b][color=royalblue]这就要了解他们的习惯了! 比如: 现在改的最多的就是: 8080, 88, 3128,8088, 800. 等等. [/color][/b]
[b][color=royalblue]那么, 知道,黑客,会利用这些端口. 那么,我们就把这些端口封了就行了[/color][/b]. [/quote]
怎么封????? 看下面!
了解了基础知识, 就好设置防火墙了. 举个例子!
[quote] 假设, 我的电脑中了鸽子, 那么, 它就会调用IE [color=red][b]主动[/b][/color] 访问互联网.上的客户端.
来达到, 远程控件的目的.
现在来假设一个环境! 比如: 鸽子已过卡巴主动和防火墙. 现在已经被别人控制了.
由于木马免杀,还没查出来, 只是感觉有问题. 打开任务管理器,或者其它工具.
查看进程. 发现了一个IE 或者其它可疑进程.在访问网络.
但,此时, 本人,并未访问互联网. 通过这个情况就可判断 系统有问题.
再使用netstat -ano 查看访问网络的进程 开的哪个端口. [color=red][b]注: 这里的端口是指外网端口.[/b][/color]
[b][color=#ff0000][/color][/b]
比如: 看着一个IE 开着8080. 那怎么设置呢? [/quote]
设置防火墙其实很简单!
[quote] [color=royalblue][b]打开防火墙, 包过滤规则. [/b]
[b]点"添加" 规则名: 随便![/b]
[b]钩选 "远程端口"[/b]
[b]在下面: [/b]
[b]远程端口中,. 输入端口: 8080.[/b]
[b]阻止, 出站. TCP 协议! [/b]
[/color][b][color=deepskyblue][color=royalblue]这里,为什么只封端口.不封IP. .因为,没必要了. 端口,一封杀. 不管哪个IP都一样! [/color]
[/color][/b][/quote]
以上设置, 虽然有点效果,但显然太被动了. 要主动点的设置. 如何设!
就是说, 不管,黑客你开什么端口. 即使你开了2007 这种端口.也在我[color=red]封杀[/color]范围之内.
包过滤要想设置的好, 一定要分别对[color=red][b]入站[/b][/color]和[color=red][b]出站[/b][/color], 做出设置!
[b][color=royalblue]入站规则包设置如下:[/color][/b]
防火墙提示有人攻击? 或者一搞就会别人攻击. 内网用户不必担心, 这里主要是外网用户!
[b][color=royalblue][quote]首先把黑客攻击的泡沫提示关了. [/color][/b]
[b][color=royalblue]首先打开包过滤: 点击: "添加"[/color][/b]
[b][color=royalblue]规则名: 阻止一切攻击![/color][/b]
[b][color=royalblue]钩选 : "本地端口"[/color][/b]
[b][color=royalblue]下面依次为: 阻止, 入站流, TCP, [/color][/b]
[b][color=royalblue]本地端口: 1-10000. [/color][/b]
[b][color=royalblue]依照上面,再重新设置一个UDP规则[/color][/b]
[b][color=royalblue]依次为: 阻止, 入站流, UDP[/color][/b]
[b][color=royalblue]本地端口: 10001-65535.[/color][/b] [/quote]
一个强大的攻击保护规则,完成. 试试,可以上网不??
[color=royalblue][b]呵呵, 任何事情都没影响![/b][/color]
下面,再来讲解, [color=red][b]出站[/b][/color], 这一规则的设置.
[b][color=red]这可以说是,本人区别防火墙好坏的最佳表现![/color][/b]
这个地方,由于是要设置出站包, 所以, 要根据不同的人,选择不同的端口.
比如说本人: 我常用的程序. IE. QQ. 迅雷! 等等!
显然,这些程序, 开的端口有哪些?
80, 8000, 443 21, 迅雷开的端口.暂时忘了.. 也就是说, 外网端口中, 你经常要用的也就这四个端口.
那怎么设置防火墙出站规则?
简单. 只要知道, 你自己经常用哪些程序. 这些程序在远程, 开的是什么端口. 那么,就很容易设置了.
[b][color=blue]以下是本人最强模式. 以下,只供参考. 如果, 你和本人一样. 只是上下网. 不用什么P2P. 之类的东[/color][/b]
[b][color=blue]西.[/color][/b][b][color=blue]那么,可以照着本人的做![/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff][/color][/b]
[color=red][b]出站流规则![/b]
[b][color=#0000ff][/color][/b][/color]
[quote]
[color=royalblue][b]打开"包过滤规则" [/b]
[b]规则名: 防止TCP主动连接![/b]
[b]下面,依次为:[/b]
[b]阻止, 出站, TCP, [/b]
[b]远程端口(注: 这里是远程端口) :[/b]
[b]81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999[/b]
[b]这个里面, 已经考虑到了,迅雷远程端口了. 也考虑到了远程3389端口了. [/b]
[b]这主要是方便本人入侵! 还有一些,没考虑的到端口. 比如: 封多了. 那么,可根据自身实际情况去掉一[/b][/color]
[color=royalblue]
[/color][b][color=deepskyblue][color=royalblue]些你自己常用程序的, 远程所开的端口[/color] [/color][/b][/quote]
下面,来设置,UDP 出站包规则!
[quote]
[b][color=royalblue]规则名: 阻止远程UDP端口.[/color][/b]
[b][color=royalblue]阻止, 出站, UDP [/color][/b]
[b][color=royalblue]远程端口(注: 这里是远程端口) :[/color][/b]
[b][color=royalblue]10000-65535 注: 这里, 大多P2P 用的都是UDP 协议. 所以,这个地方, 可根据自身情况而定![/color][/b] [/quote]
PS: 防火墙的精华何在? 在于能封杀远程端口. 而不是本地端口. 本地端口. 国产货就可以做到.
但,封杀, 外网端口. 且还可以上网. 能达到这种效果的. 才是本人的首选!
[quote][attach]140177[/attach][/quote] 由于,有人说, 他设置后,不能上网.
结果,把原因. 全归到本人文章中了. 现特献出本人的包过滤规则.
导进去后. 即可阻止所有攻击. 反弹木马的控制! 把这个规则导入后,你就知道,什么是强悍了!
[b][color=#0000ff][/color][/b]
注: 导入后, 再请根据自身实际情况, 删除一些 远程端口..
在这里说个很简单的例子.
比如: IE 浏览网站时. 服务端开的是80端口. 那么. 假设.我规则里面把80给封了.
(在外网端口中) 那么,你就可以把它去掉. 这样就可以上网了.
[b][color=red]不是去掉本地的80端口.[/color][/b] 当然. 本人并末封掉远程的80端口. 只是举个例子!
[b][color=#0000ff] ----- BY 啊神! [/color][/b]
[b][color=#0000ff] [/color][/b]
[b][color=#0000ff] 如果.用了这个规则包, 感觉怎么样. [/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff] 比如: 可以上网不. 下载受到限制没, 有什么程序因规则包不能运行. 等等问题. 可以提出来.[/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff] 当然. 这些问题,根本不存在! 因为.本人早已做了多项测试. 默认, 迅雷就不受任何影响.[/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff] 因为. 本人也要用这个程序,所以, 远程端口中, 把迅雷的, 已经排除了! [/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff] 还有一点, 本人,刚刚用了下BitComet.exe 这个BT下载程序. 它虽然是随机监听端口.[/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff] 但, 你仔细看,就会发现, 它开的是本地端口. 虽然,从本人的规则, 表面上来看.[/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff] 也许, 这个程序就运行不了. 但事实上. 这个程序是属于出站流,这个规则包.[/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff] 并不在入站流,规则包的限制范围内. 所以, 这个BT 程序一样,可以正常运行. [/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff] 由于, 它远程开的是80. 所以, 基本上,不用修改远程端口. 这个程序, 就可以正常执行! [/color][/b]
[b][color=#0000ff][/color][/b]
[b]另外,如果, 远程控制软件的上线端口为80.(也就是当远程端口为80时) .这种情况,要自己去判断.[/b]
[b] 当然.其实,这很简单. [/b] [quote]第一: 关掉所有联网程序.
第二: 开始---运行: CMD.EXE
输入: netstat -ano 查看远程地址中,有无远程IP和端口. 系统默认情况是不访问网络的.
所以,这时,不管是什么外网端口. 都是可疑的. 找到相应端口的IP.
第三: 用卡巴防火墙. 设置一个出站流规则包. 将这个IP封杀掉! 即可解决被控制问题![/quote]
[b][color=red] 也就是说: 任何一个程序, 只要是在本地开端口. 都可以正常运行. 都不会受规则包的影响. [/color][/b]
[b][color=#0000ff][/color][/b]
[quote]想知道规则包的好坏, 请下载本规则包后
.
用相应工具测试,一试便知!
如果,你没用本规则,那请你不要发表,没任何实质性根据的言论!
其它的话,本人不想多说!! [/quote]
[b][color=#0000ff] [/color][/b]
[[i] 本帖最后由 xqiafl 于 2007-11-13 22:21 编辑 [/i]] 作沙发 学习下 卡巴防火墙和卡巴是整全在一起的,这样总感觉防护效果不是多好,在实际应用当中还是有缺陷的. 你感觉,不是多好, 是因为,你没看本人的贴子.
防火墙规则, 精华,本人认为,不在于程序规则, 而在于远程端口.
因为,程序是可变的. 而远程端口, 就1-65535 封掉就没了!
这才是本人理解中的, 安全! [quote]首先把黑客攻击的泡沫提示关了.
首先打开包过滤: 点击: "添加"
规则名: 阻止一切攻击!
钩选 : "本地端口"
下面依次为: 阻止, 入站流, TCP,
本地端口: 1-10000.
依照上面,再重新设置一个UDP规则
依次为: 阻止, 入站流, UDP
本地端口: 10001-65535.
一个强大的攻击保护规则,完成. 试试,可以上网不??
呵呵, 任何事情都没影响!
[/quote]
这段看迷糊了,都阻止了还不影响任何事情? [quote] 这段看迷糊了,都阻止了还不影响任何事情? [/quote]
不错, 如你所说. 都阻止还什么都可以玩.
精华就在这里!.
[b][color=red]入站流. 是封本地端口.[/color][/b]
由于是[b][color=blue]外网向本地,发送数据. 外网端口任意. 本地是固定的. [/color][/b]
[b][color=red]而, . 本地的一些联网操作都是属于. [/color][color=blue]出站流.[/color][/b] 这是两种不同的方式.
[b][color=royalblue]所以, 自然,不会产生冲突.[/color][/b]
[color=red]出站流, 封外网端口. 这里, 如果出站流, 封本地端口. 那么就会到至不能上网.[/color]
为什么. 因为. 出站流, 本地是开, 任意端口. 不能封.
而, 外网则是固定的. 所以,可以封!
所以, 以上设置后, 不会对上网造成任何影响!
切底现实了, 防火墙的本能: 允许你去黑别人, 但不允许别人黑你!
只要理解了出站与入站的含义.
那么, 设置起来很容易的. 主要就是要搞清楚.
在出站时, 过滤包如何设置!
在入站时. 过滤包如何设置!
这两者不能搞混. 否则, 就没戏了!
如果还是不清楚? 就只要记住一点.
[b][color=darkred]使用从外到内,这一过程. 本地端口可以全封.[/color][/b]
[b][color=darkred]从内到外这一过程. 外网端口可选择性的全封. 但,本地端口不能封![/color][/b]
[b][color=#8b0000][/color][/b]
[b][color=#8b0000]设置防火墙,只要记住这两句话, 就可以了.[/color][/b]
[b][color=#8b0000][/color][/b]
[b][color=#8b0000]不过, 国产的. 达不到这种效果的. 好像不能封外网端口.一封就挂了.[/color][/b]
[b][color=#8b0000]本人只知道卡巴KIS , ZA 这两种可以做到. 其它,很多都做不到,本人所说的内容![/color][/b]
[b][color=#8b0000][/color][/b]
[[i] 本帖最后由 xqiafl 于 2007-10-15 23:04 编辑 [/i]] 我这一设置过程, 是模拟了如果, 病毒把卡巴主动防卸突破了.
那么,最多一道防线. 自然就是防火墙了.
如果,防火墙设置的很马虎. 那就达不到效果了.
那种封外网的, 出站流规则包. 完全可封掉,任何一个远程工具. 在远程所开的端口.
从而, 就彻底的被黑客控制的可能性.
当然, 可能性还是有的. 只有当.端口设置成80时. 才会被控制.
但,据我所知. 现在, 没几个人, 会去设置80的.
我以前,用鸽子时, 就是设置80. 不过. 一般情况都不会设置80.
但, 即使是设置了80. 把我的规则突破了. 但, 也是可以很容易查出来的.
到时,再把IP封掉就行了. 因为. 80一封, 就不能上网了!
对于, 鸽子,等木马, 所使用的端口为80时. 只能封IP了. 又学到了很多东西啊 54 学习了,虽然半懂不懂,似懂非懂。
以opera为例,其中Opera HTTP Activity这条规则卡巴默认为允许出站TCP的远程端口是80-83,那么是否应该把1楼的“防止TCP主动连接!”阻止的远程端口:81-99改为84-89呢?
看了一下,IE的Internet Explorer HTTP Activity 出战TCP的远程端口也是80-83,可LZ的“防止TCP主动连接!”设置的还是81-89,那么不影响IE吗?
糊涂了,呵呵[:11:] [quote]学习了,虽然半懂不懂,似懂非懂。
以opera为例,其中Opera HTTP Activity这条规则卡巴默认为允许出站TCP的远程端口是80-83,那么是否应该把1楼的“防止TCP主动连接!”阻止的远程端口:81-99改为84-89呢?
看了一下,IE的Internet Explorer HTTP Activity 出战TCP的远程端口也是80-83,可LZ的“防止TCP主动连接!”设置的还是81-89,那么不影响IE吗?
糊涂了,呵呵 [/quote]
这处决于, 服务器端, 开的是什么端口了. 虽然IE 是80-83 但,事实上,
一般情况下, IE 只开80的. 81-83 我反正没看到别人开过!
如果, 服务器端,开的是非80端口. 卡巴就会弹出提示的. 到时,选择允许所有连接就行了.
我那个规则,是可以随便改的. 我只不过,是根据,我的实际情况来搞的.
你完全可以根据, 自身的情况去设置外网端口.
[[i] 本帖最后由 xqiafl 于 2007-10-16 11:10 编辑 [/i]] [quote]原帖由 [i]xqiafl[/i] 于 2007-10-15 22:44 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1899956&ptid=144028][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
不错, 如你所说. 都阻止还什么都可以玩.
精华就在这里!.
入站流. 是封本地端口.
由于是外网向本地,发送数据. 外网端口任意. 本地是固定的.
而, . 本地的一些联网操作都是属于. 出站流. ... [/quote]
卡巴防火强显示的入站流几乎是出站流的10倍,ADSL显示的收到也远大于发送,这些入站流都是干什么的,下载会形成大量的入站流吧,浏览网页也会产生入站流,都阻止了,这些操作?
你说的我是又看懂了又没看懂,继续研究[:10:] [quote]卡巴防火强显示的入站流几乎是出站流的10倍,ADSL显示的收到也远大于发送,这些入站流都是干什么的,下载会形成大量的入站流吧,浏览网页也会产生入站流,都阻止了,这些操作?
[/quote]
这些都不必太在意, 它在做什么啊! 使用IE访问网络. 网站的服务端, 肯定要向你发送数据啊!
这里的. 出站流, 和入站流. 主要就是表现在, 某个程序, 在刚刚开始建立连接时,
它是主动连向外网. 还是外网主动连向本地!
当这一连接过程完成后, 就不存在什么出站和入站了. 相互之间,就建立了一个会话了.
服务端,就会向你发送数据. 而,你此时, 就是在不停的接收数据.
要不然, 你要是不能接收数据了. 那网站不就打不开了吗?
所以,说, 这里的出站和入站, 并不是指从一个会话开始. 到一个会话的结束.
而是, 刚刚开始建立连接, 这一过程. 到底, 数据的流向.是什么?
流向: 从内到外(出站流)
从外到内(入站流)
那防火墙的规则, 就可以根据, 这一特点来设置! 主要就是,一开始时的, 流向是从哪到哪!
而, 建立连接之后, 就不在区分什么入站和出站了.
[[i] 本帖最后由 xqiafl 于 2007-10-16 12:31 编辑 [/i]] 我用了你的规则
立马上不起网
现在不用
立马上的起网
LZ太强了 上网不是80吧!浏览器是默认用1024~5000端口向外连接的!
封禁所有端口来防止木马是不可能的!因为你必然有程序要利用端口来连接网络! 包过滤是解决不了实际问题的!
需要程序控制才能较好的防护! [quote]上网不是80吧!浏览器是默认用1024~5000端口向外连接的!
封禁所有端口来防止木马是不可能的!因为你必然有程序要利用端口来连接网络! [/quote]
这是由于,你没看清本人写的东西, 所产生的误解. 你所担心的问题. 本人一年前就已经解决了.
因为.本人一年前就不玩鸽子了. 应该是06年时, 就解了这个问题了!
而解决这个问题的核心就在于.[color=red][b] 封杀远程端口.[/b][/color] 而不是本地端口.
这是一个全新的理念. 也不算新. 只是,相对于国人来讲. 是全新的.
依以前的思路靠端口来防止木马, 绝对不可能. 但,本人, 已把不可能变为可能.
反弹木马属于出站流, 也就是,[color=red]本地端口任意, (所以,封本地无效), 而远程端口却是固定的.(所以可封)[/color]
[color=#ff0000] 所以. 就可以封掉反弹木马了![/color]
[quote]包过滤是解决不了实际问题的!
需要程序控制才能较好的防护 [/quote]
如你所说, 传统的规则模式, 确实解决不了问题. 为什么?
很简单, 传统规则,只能封[color=red]本地端口 , [b]而,对于, 反向连接而言. 这种规则,就形同虚拟.[/b][/color]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]所以, 更多的人,喜欢设置程序规则,来达到防黑的目的![/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=blue]但,事实上. 本人的这篇文章, 已经彻底解决了这个问题. 想了N久才想的.[/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff]木马的反向连接. 它是如何工作的?[/color][/b]
[b][color=#0000ff][/color][/b]
[b][color=#0000ff][quote] 是服务端(有也就是肉鸡) 主动.在互联网上,找客户端. 是属于[/color][color=red]出站流[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000] 知道是出站流了, 那就很好,设置规则 . [/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]出站流特点: 本地端口任意. 远程端口固定. [/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]此时, 如果,只是封杀本地端口. 那么,还是会被别人控制. [/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]所以, 本人想到的,就是封远程端口.[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=blue]这些内容, 在文章中都有说明的.请认真看贴子. 就知道了!![/quote][/color][/b]
[[i] 本帖最后由 xqiafl 于 2007-10-16 14:09 编辑 [/i]] [quote] 我用了你的规则
立马上不起网
现在不用
立马上的起网
LZ太强了 [/quote]
那实在不好意思!! 请你检查下,你自身的设置/.
这规则,本身没问题. 本人去年用ZA6.0 时, 就是原创这个规则.
现在, 在卡巴KIS 上面,一试.发现也行.
本人在上面, 已经说的很明白. 这个规则,估计,只适合卡巴KIS 和ZA防火墙.
其它防火墙, 太过于垃圾,所以,达不到这种理想的效果!
如果,你用的是卡巴KIS ,使用本规则. 不能上网. 请检查, 是否设置正确!
因为. 这规则, 不用说, 史上最强!
[[i] 本帖最后由 xqiafl 于 2007-10-16 13:59 编辑 [/i]] 如果,再出现, 不能上网,或者, 什么问题
请详细看文章. 由于,没截图. 看起来, 估计,有点郁闷的!
因为. 是原创, 截图比较麻烦!!
想学习的,就看吧!!
[b][color=red]注: 请,务必,看清楚,本人写的端口. 到底是[color=blue]远程端口[/color],还是[color=deepskyblue]本地端口[/color].[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=red]这个地方不能错. 一错就不能上网.[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=red]这种设置规则, 是区别于国产防火墙的. 那种传统设置模式的. [/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]除了能百分之百,阻止别人攻击. 另外,还可以阻止"反弹木马"[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]大家都知道, 反弹木马,一般用防火墙规则很难搞. 但. 现在, 封杀反弹木马.[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]将不在是神话! 这篇贴子中, 已说明很详细. 刚刚不能接受. 很正常./[/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]本人,想过来.想过去. 都快想疯了. 刚刚开始时,一搞就迷糊了. [/color][/b]
[b][color=#ff0000][/color][/b]
[b][color=#ff0000]不过,想通了. 就发现. 这个方法. 远胜于程序规则! [/color][/b]
[[i] 本帖最后由 xqiafl 于 2007-10-16 13:52 编辑 [/i]]