菜鸟对微点传统防火墙严重质疑

aq6861311

菜鸟对微点传统防火墙严重质疑

首先来看一下微点传统防火墙的设置规则











质疑一：
第一条规则：
允许浏览网页——允许连接远端80端口。
这条规则看起来是允许浏览网页，，
但是规则里有两条是——允许可识别程序通过，，(Tcp   udp)
那么第一条规则是不是有点多余，，因为当浏览器通过80端口浏览时候，照样可以通过，

因为可以被微点主功防御识别，匹配了允许可识别程序通过，，(Tcp   udp)

做过测试，删除这条规则，，照样可以浏览网页

质疑二：
第二条和第三条规则，
允许发送邮件——允许接收邮件，，这里应该指的是微软邮件，，
当用微软邮件发送和接收的时，照样可以被微点识别，，也是不是有点多余

这两条规则也可以归纳入允许可识别程序通过，，(Tcp   udp)

当用QQ，，新浪这些网页邮件发送的时候，，根本用不上第二条和第三条规则
因为是用浏览器发送的
做过测试，删除这两条规则，，照样可以发邮件

质疑三：
规则：禁止被PING和禁止IgMP
这两条规则是用防止别人Ping你的主机的
这两条规则不是程序访问，是用来防止别人用Ping命令探测你的主机是否存活
微点主功防御是不能识别的，当微点不能识别的时候，，

就会用到最后一条规则，，缺省处理——当没有规则可匹配时的处理，，全部拦截

也就是说把这两条规则删除，，也照样可以防止别人Ping和IgMP你的主机的
因为删除之后，就没有规则可匹配，，，就会应用到最后一条规则了，拦截
那么这两条规则也是不是多余
做过测试，删除这两条规则，，，也照样可以防止别人Ping

质疑四：
最后一条规则看起来很严格

缺省处理，，当没有规则可匹配时的处理，，全部拦截

但是由上面那两条规则，，，允许可识别程序通过，，(Tcp   udp)

也就是说当一个程序（包括病毒程序被微点误认为可信程序）的时候，就会放行通过

因为它匹配了这两条规则——允许可识别程序通过，，(Tcp   udp)

如下为例，，一个病毒程序被微点误认为可信程序
被微点误认为可信的网络程序






质疑五：

微点1.2版本，，对很多程序都防不住，
比如QQ的插件，，迷你腾讯首页
迅雷的插件，，迅雷广告
微点2.0有点改善了，，，QQ,,,迅雷已经拦截了
但是还有很多程序拦截不住，

微点智能防火墙，已经去掉了勾选
这里指的是有程序访问网络，微点就会弹出窗口提示，拦截还是放行
当是有很多程序访问网络，微点没有任何的提示

比如游戏茶苑，一个台球游戏也挂载不住，
http://bbs.kafan.cn/thread-974622-1-3.html  上报了一个多月了，还没解决
重要的是微点防火墙防不病毒注入Dll连接网络，
对有些恶意插件，，有盗号行为的小插件有时候也防不住，，不知道2.0改善了没有


可能有错误的地方，，请大家解释一下
希望微点会改进的更好


质疑六
已经封掉了QQ的端口
当是还让QQ登录了，，不知道是不是QQ匹配了这两条规则——允许可识别程序通过，，(Tcp   udp)
所以，在微点传统防火墙封掉了也没用，可能是我封的端口不对吧
但是QQ好像就是用4000 8000这几个端口的
那么就问，，像有些人把一些容易被黑客入侵的端口关了，
那会不会被病毒轻易的登录，就像QQ一样，，（当然病毒程序被微点误认为可信程序或者是绕过监控的前题下）的时候，就会放行通过
因为QQ匹配了这两条规则——允许可识别程序通过，，(Tcp   udp)

可能是微点主功防御比传统防火墙优先级高，，才防不住
那么封掉那些高危险端口还有用吗

荷韵诗

楼主是勤快人    发现这么多

麻辣豆腐

微点对QQ插件、迅雷广告本来就不拦截啊

微点是靠行为分析，特征库查杀，满足条件即杀之。

至于你说的微点要拦截插件，拦截广告，没这行为，微点不会管。

我记得清理插件或拦截广告，一般卫士加游览器做的比较好，微点貌似没这全功能。

防火墙的问题，有待研究，现在，在上班，也不好测试，只能上报客服问问看。

ariesyoyo

我也一直在犹豫要不要给微点加个防火墙

kafan988

说的也是啊

flyinbed

目前还没发现木马程序能通过微点的

镜湖

1、楼主，只要规则包里有“允许可识别程序通过（TCP）、允许可识别程序通过（UDP）”这两条规则（不管是你写的还是官方的），那微点就会对可识别的程序自动放行不管你写的规则是什么样的，不管你的规则做了何种限制，除非去掉这两条规则。
所以你的质疑一、质疑二都站不住脚。

2、你那个样本有意思，发出来。鄙人没见过能被微点识别为白名单的病毒。

3、微点默认不开启传统防火墙，主防技术很大程度上起到了防火墙的作用（当然，主防不是防火墙），你的质疑三站不住脚。

3、楼主没有区分“智能防火墙”和“传统防火墙”，我来教你怎么设置。

首先，打开传统防火墙。（这里分成两步）
主界面——设置——防火墙——选中规则包五——应用——确定；鼠标右击任务栏微点图标——勾选“启动\停止防火墙”（请注意是“勾选”）。

其次，关闭智能防火墙。
主界面——设置——程序访问网络策略——去掉“启用智能防火墙”（默认是勾选的）。

好了，这就设置好，楼主你再看看如果有程序（不管已知未知）试图访问网络会出现什么情况。


最后给楼主个非常重要的建议“现在就去看微点主防的帮助文档”，开始——所有程序——micropoint——微点主动防御软件帮助。

楼主的很多质疑都是不看帮助文档的结果。规则之间无矛盾之处。

镜湖

微点自带的防火墙是非常强大的，规则包五就足够了，要是你懂的话自己设置也行，根本不需要再配个防火墙。

还有，拜托那些说微点防火墙不行的网友赶快去看微点的帮助文档。

楼主朋友如果看过帮助文档，就不会发出这样的帖子。

wqcaokeyinwq

flyinbed 发表于 2011-6-6 16:54
目前还没发现木马程序能通过微点的

是你的习惯太好了。。。。
微点是很不错。。。但千万不要神话她。。。否则后果不堪设想。。。。
过微点的木马有很多。。。

挥泪斩情思

已经上报
感谢楼主反馈。