查看: 4110|回复: 21
收起左侧

[微点] 菜鸟对微点传统防火墙严重质疑

[复制链接]
aq6861311
发表于 2011-6-6 14:00:39 | 显示全部楼层 |阅读模式
本帖最后由 aq6861311 于 2011-6-7 14:52 编辑
菜鸟对微点传统防火墙严重质疑


首先来看一下微点传统防火墙的设置规则











质疑一:
第一条规则:
允许浏览网页——允许连接远端80端口。
这条规则看起来是允许浏览网页,,
但是规则里有两条是——允许可识别程序通过,,(Tcp   udp)
那么第一条规则是不是有点多余,,因为当浏览器通过80端口浏览时候,照样可以通过,
因为可以被微点主功防御识别,匹配了允许可识别程序通过,,(Tcp   udp)


做过测试,删除这条规则,,照样可以浏览网页

质疑二:
第二条和第三条规则,
允许发送邮件——允许接收邮件,,这里应该指的是微软邮件,,
当用微软邮件发送和接收的时,照样可以被微点识别,,也是不是有点多余
这两条规则也可以归纳入允许可识别程序通过,,(Tcp   udp)
当用QQ,,新浪这些网页邮件发送的时候,,根本用不上第二条和第三条规则
因为是用浏览器发送的
做过测试,删除这两条规则,,照样可以发邮件

质疑三:
规则:禁止被PING和禁止IgMP
这两条规则是用防止别人Ping你的主机的
这两条规则不是程序访问,是用来防止别人用Ping命令探测你的主机是否存活
微点主功防御是不能识别的,当微点不能识别的时候,,
就会用到最后一条规则,,缺省处理——当没有规则可匹配时的处理,,全部拦截

也就是说把这两条规则删除,,也照样可以防止别人Ping和IgMP你的主机的
因为删除之后,就没有规则可匹配,,,就会应用到最后一条规则了,拦截
那么这两条规则也是不是多余
做过测试,删除这两条规则,,,也照样可以防止别人Ping

质疑四:
最后一条规则看起来很严格
缺省处理,,当没有规则可匹配时的处理,,全部拦截

但是由上面那两条规则,,,允许可识别程序通过,,(Tcp   udp)
也就是说当一个程序(包括病毒程序被微点误认为可信程序)的时候,就会放行通过

因为它匹配了这两条规则——允许可识别程序通过,,(Tcp   udp)

如下为例,,一个病毒程序被微点误认为可信程序
被微点误认为可信的网络程序






质疑五:

微点1.2版本,,对很多程序都防不住,
比如QQ的插件,,迷你腾讯首页
迅雷的插件,,迅雷广告
微点2.0有点改善了,,,QQ,,,迅雷已经拦截了
但是还有很多程序拦截不住,
微点智能防火墙,已经去掉了勾选
这里指的是有程序访问网络,微点就会弹出窗口提示,拦截还是放行
当是有很多程序访问网络,微点没有任何的提示


比如游戏茶苑,一个台球游戏也挂载不住,
http://bbs.kafan.cn/thread-974622-1-3.html  上报了一个多月了,还没解决
重要的是微点防火墙防不病毒注入Dll连接网络,
对有些恶意插件,,有盗号行为的小插件有时候也防不住,,不知道2.0改善了没有


可能有错误的地方,,请大家解释一下
希望微点会改进的更好


质疑六
已经封掉了QQ的端口
当是还让QQ登录了,,不知道是不是QQ匹配了这两条规则——允许可识别程序通过,,(Tcp   udp)
所以,在微点传统防火墙封掉了也没用,可能是我封的端口不对吧
但是QQ好像就是用4000 8000这几个端口的
那么就问,,像有些人把一些容易被黑客入侵的端口关了,
那会不会被病毒轻易的登录,就像QQ一样,,(当然病毒程序被微点误认为可信程序或者是绕过监控的前题下)的时候,就会放行通过
因为QQ匹配了这两条规则——允许可识别程序通过,,(Tcp   udp)


可能是微点主功防御比传统防火墙优先级高,,才防不住
那么封掉那些高危险端口还有用吗







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +10 人气 +1 收起 理由
挥泪斩情思 + 1 感谢反馈
麻辣豆腐 + 10 欢迎技术分析

查看全部评分

荷韵诗
发表于 2011-6-6 14:03:33 | 显示全部楼层
楼主是勤快人    发现这么多
麻辣豆腐
发表于 2011-6-6 14:22:35 | 显示全部楼层
微点对QQ插件、迅雷广告本来就不拦截啊

微点是靠行为分析,特征库查杀,满足条件即杀之。

至于你说的微点要拦截插件,拦截广告,没这行为,微点不会管。

我记得清理插件或拦截广告,一般卫士加游览器做的比较好,微点貌似没这全功能。

防火墙的问题,有待研究,现在,在上班,也不好测试,只能上报客服问问看。
ariesyoyo
发表于 2011-6-6 15:54:30 | 显示全部楼层
我也一直在犹豫要不要给微点加个防火墙
kafan988
发表于 2011-6-6 16:31:52 | 显示全部楼层
说的也是啊
flyinbed
头像被屏蔽
发表于 2011-6-6 16:54:37 | 显示全部楼层
目前还没发现木马程序能通过微点的
镜湖
发表于 2011-6-6 16:58:34 | 显示全部楼层
本帖最后由 镜湖 于 2011-6-6 16:59 编辑

1、楼主,只要规则包里有“允许可识别程序通过(TCP)、允许可识别程序通过(UDP)”这两条规则(不管是你写的还是官方的),那微点就会对可识别的程序自动放行不管你写的规则是什么样的,不管你的规则做了何种限制,除非去掉这两条规则。
所以你的质疑一、质疑二都站不住脚。

2、你那个样本有意思,发出来。鄙人没见过能被微点识别为白名单的病毒。

3、微点默认不开启传统防火墙,主防技术很大程度上起到了防火墙的作用(当然,主防不是防火墙),你的质疑三站不住脚。

3、楼主没有区分“智能防火墙”和“传统防火墙”,我来教你怎么设置。

首先,打开传统防火墙。(这里分成两步)
主界面——设置——防火墙——选中规则包五——应用——确定;鼠标右击任务栏微点图标——勾选“启动\停止防火墙”(请注意是“勾选”)。

其次,关闭智能防火墙。
主界面——设置——程序访问网络策略——去掉“启用智能防火墙”(默认是勾选的)。

好了,这就设置好,楼主你再看看如果有程序(不管已知未知)试图访问网络会出现什么情况。


最后给楼主个非常重要的建议“现在就去看微点主防的帮助文档”,开始——所有程序——micropoint——微点主动防御软件帮助。

楼主的很多质疑都是不看帮助文档的结果。规则之间无矛盾之处。

评分

参与人数 3经验 +10 人气 +2 收起 理由
102030 + 1 很给力!
挥泪斩情思 + 1 版区有你更精彩: )
麻辣豆腐 + 10 感谢技术交流

查看全部评分

镜湖
发表于 2011-6-6 17:04:31 | 显示全部楼层
本帖最后由 镜湖 于 2011-6-6 17:06 编辑

微点自带的防火墙是非常强大的,规则包五就足够了,要是你懂的话自己设置也行,根本不需要再配个防火墙。

还有,拜托那些说微点防火墙不行的网友赶快去看微点的帮助文档。

楼主朋友如果看过帮助文档,就不会发出这样的帖子。
wqcaokeyinwq
发表于 2011-6-6 17:16:18 | 显示全部楼层
flyinbed 发表于 2011-6-6 16:54
目前还没发现木马程序能通过微点的

是你的习惯太好了。。。。
微点是很不错。。。但千万不要神话她。。。否则后果不堪设想。。。。
过微点的木马有很多。。。
挥泪斩情思
发表于 2011-6-6 17:31:59 | 显示全部楼层
已经上报
感谢楼主反馈。

评分

参与人数 1人气 +1 收起 理由
麻辣豆腐 + 1 微点狂人

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 20:35 , Processed in 0.149330 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表