卡巴防火墙包过滤设置详解与最强模式!(最新补充)

xqiafl

防火墙想要设置的最强模式,

本人首发于卡饭.  转载时: 请注明作者本人我: 啊神!

防火墙的精华,  就在本人写的这篇贴子中了!   

第一: 要搞清楚什么是出站,什么入站, 什么情况是出站,什么情况是入站!

第二: 对于黑客工具的了解,

第三:对于黑客习惯的了解!

以上三点,即可把防火墙设置成最强模式.

第一什么出站???

就本人理解.  出站就是: PC机某一程序 主动 连接 互联网.  注: 是主动!

这就是出站了!

入站???

本人理解:  入站就是:  互联网上的用户主动连接你的电脑. 向你发送数据!
最具体表现在:  网络攻击!   远程控制木马中的,(正向连接)  
这些,都属于入站!  

对于黑客工具的了解!

  比方说: 鸽子,;这一远程控件软件. 它默认是开8000端口.  这个端口,是开在哪??

开在客户端. 而不是服务端. 所以, 如果,你把本地8000端口封了,是无意义的!

黑客习惯?

  还是说鸽子. 虽然说鸽子的默认端口是8000.  但它支持改端口的.

因为,黑客为了更好的隐蔽性, 所以,通常会改端口. 到底会改哪些端口?

这就要了解他们的习惯了!  比如: 现在改的最多的就是: 8080, 88, 3128,8088, 800. 等等.

那么, 知道,黑客,会利用这些端口. 那么,我们就把这些端口封了就行了.

怎么封?????  看下面!

了解了基础知识, 就好设置防火墙了.   举个例子!

  假设, 我的电脑中了鸽子, 那么, 它就会调用IE  主动  访问互联网.上的客户端.

来达到, 远程控件的目的.  

现在来假设一个环境!  比如: 鸽子已过卡巴主动和防火墙.  现在已经被别人控制了.

由于木马免杀,还没查出来, 只是感觉有问题.  打开任务管理器,或者其它工具.

查看进程. 发现了一个IE 或者其它可疑进程.在访问网络.

但,此时, 本人,并未访问互联网.  通过这个情况就可判断 系统有问题.

再使用netstat -ano  查看访问网络的进程 开的哪个端口. 注: 这里的端口是指外网端口.

比如:  看着一个IE 开着8080.  那怎么设置呢?

设置防火墙其实很简单!

  打开防火墙,  包过滤规则.

点"添加"    规则名:  随便!

钩选 "远程端口"

在下面:  

远程端口中,. 输入端口: 8080.

阻止,  出站.   TCP 协议!   

这里,为什么只封端口.不封IP. .因为,没必要了.  端口,一封杀. 不管哪个IP都一样!

以上设置, 虽然有点效果,但显然太被动了. 要主动点的设置.  如何设!

就是说, 不管,黑客你开什么端口. 即使你开了2007 这种端口.也在我封杀范围之内.

包过滤要想设置的好, 一定要分别对入站和出站, 做出设置!

入站规则包设置如下:

防火墙提示有人攻击?  或者一搞就会别人攻击.   内网用户不必担心, 这里主要是外网用户!

首先把黑客攻击的泡沫提示关了.  

首先打开包过滤:  点击: "添加"

规则名: 阻止一切攻击!

钩选 : "本地端口"

下面依次为:  阻止,  入站流,  TCP,

本地端口: 1-10000.  

依照上面,再重新设置一个UDP规则

依次为: 阻止, 入站流, UDP

本地端口: 10001-65535.  

一个强大的攻击保护规则,完成.  试试,可以上网不??

呵呵, 任何事情都没影响!

下面,再来讲解, 出站, 这一规则的设置.

这可以说是,本人区别防火墙好坏的最佳表现!

这个地方,由于是要设置出站包, 所以, 要根据不同的人,选择不同的端口.

比如说本人:  我常用的程序. IE. QQ.  迅雷! 等等!

显然,这些程序,   开的端口有哪些?

80, 8000, 443 21,  迅雷开的端口.暂时忘了.. 也就是说, 外网端口中, 你经常要用的也就这四个端口.

那怎么设置防火墙出站规则?

简单. 只要知道,  你自己经常用哪些程序.   这些程序在远程, 开的是什么端口. 那么,就很容易设置了.

以下是本人最强模式.   以下,只供参考. 如果, 你和本人一样. 只是上下网. 不用什么P2P. 之类的东

西.那么,可以照着本人的做!


出站流规则!

  
打开"包过滤规则"  

规则名: 防止TCP主动连接!

下面,依次为:

阻止,  出站,  TCP,

远程端口(注: 这里是远程端口)  :

81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999

这个里面,  已经考虑到了,迅雷远程端口了.  也考虑到了远程3389端口了.

这主要是方便本人入侵!     还有一些,没考虑的到端口.  比如:  封多了. 那么,可根据自身实际情况去掉一

些你自己常用程序的, 远程所开的端口

下面,来设置,UDP 出站包规则!

规则名: 阻止远程UDP端口.

阻止,  出站,  UDP

远程端口(注: 这里是远程端口)  :

10000-65535  注:  这里, 大多P2P 用的都是UDP 协议. 所以,这个地方, 可根据自身情况而定!  

PS:  防火墙的精华何在?    在于能封杀远程端口. 而不是本地端口.  本地端口. 国产货就可以做到.

但,封杀, 外网端口.  且还可以上网.  能达到这种效果的. 才是本人的首选!

包过滤规则.rar (2.17 KB, 下载次数: 2604)

2007-11-13 22:21 上传

点击文件名下载附件

由于,有人说, 他设置后,不能上网.

结果,把原因. 全归到本人文章中了. 现特献出本人的包过滤规则.

导进去后. 即可阻止所有攻击.  反弹木马的控制!  把这个规则导入后,你就知道,什么是强悍了!

注: 导入后, 再请根据自身实际情况,  删除一些 远程端口..

  在这里说个很简单的例子.
比如: IE  浏览网站时. 服务端开的是80端口. 那么. 假设.我规则里面把80给封了.
(在外网端口中)  那么,你就可以把它去掉. 这样就可以上网了.
不是去掉本地的80端口.  当然. 本人并末封掉远程的80端口.  只是举个例子!
  
                                                                                                    -----  BY 啊神!
                                                                                                           
  如果.用了这个规则包,   感觉怎么样.   

  比如:  可以上网不.   下载受到限制没,  有什么程序因规则包不能运行.  等等问题. 可以提出来.

  当然.  这些问题,根本不存在!  因为.本人早已做了多项测试.   默认, 迅雷就不受任何影响.

  因为. 本人也要用这个程序,所以, 远程端口中, 把迅雷的, 已经排除了!

  还有一点,  本人,刚刚用了下BitComet.exe  这个BT下载程序.   它虽然是随机监听端口.

  但, 你仔细看,就会发现,  它开的是本地端口.     虽然,从本人的规则, 表面上来看.

  也许, 这个程序就运行不了.  但事实上. 这个程序是属于出站流,这个规则包.

  并不在入站流,规则包的限制范围内. 所以,  这个BT 程序一样,可以正常运行.

   由于, 它远程开的是80. 所以, 基本上,不用修改远程端口. 这个程序, 就可以正常执行!
   
    另外,如果, 远程控制软件的上线端口为80.(也就是当远程端口为80时) .这种情况,要自己去判断.

    当然.其实,这很简单.     

第一: 关掉所有联网程序.

第二: 开始---运行: CMD.EXE

输入: netstat -ano 查看远程地址中,有无远程IP和端口. 系统默认情况是不访问网络的.

所以,这时,不管是什么外网端口. 都是可疑的. 找到相应端口的IP.

第三: 用卡巴防火墙. 设置一个出站流规则包. 将这个IP封杀掉!　　即可解决被控制问题！

  也就是说:  任何一个程序,  只要是在本地开端口.  都可以正常运行.   都不会受规则包的影响.
  

想知道规则包的好坏，　请下载本规则包后
．

　用相应工具测试，一试便知！　

如果，你没用本规则，那请你不要发表，没任何实质性根据的言论！　

其它的话，本人不想多说！！　

   

[ 本帖最后由 xqiafl 于 2007-11-13 22:21 编辑 ]

star_xing

作沙发 学习下

第一次

卡巴防火墙和卡巴是整全在一起的,这样总感觉防护效果不是多好,在实际应用当中还是有缺陷的.

xqiafl

你感觉,不是多好, 是因为,你没看本人的贴子.

防火墙规则, 精华,本人认为,不在于程序规则, 而在于远程端口.

因为,程序是可变的.  而远程端口, 就1-65535  封掉就没了!

这才是本人理解中的, 安全!

kbsjaqtz

首先把黑客攻击的泡沫提示关了.  

首先打开包过滤:  点击: "添加"

规则名: 阻止一切攻击!

钩选 : "本地端口"

下面依次为:  阻止,  入站流,  TCP,

本地端口: 1-10000.  

依照上面,再重新设置一个UDP规则

依次为: 阻止, 入站流, UDP

本地端口: 10001-65535.  
一个强大的攻击保护规则,完成.  试试,可以上网不??

呵呵, 任何事情都没影响!

这段看迷糊了，都阻止了还不影响任何事情？

xqiafl

这段看迷糊了，都阻止了还不影响任何事情？

不错, 如你所说. 都阻止还什么都可以玩.

精华就在这里!.  

入站流.   是封本地端口.  

由于是外网向本地,发送数据.    外网端口任意. 本地是固定的.  
而, .  本地的一些联网操作都是属于. 出站流.    这是两种不同的方式.  
所以, 自然,不会产生冲突.  

出站流, 封外网端口.     这里, 如果出站流, 封本地端口.  那么就会到至不能上网.

为什么. 因为. 出站流, 本地是开,  任意端口. 不能封.  

而, 外网则是固定的. 所以,可以封!

所以,  以上设置后, 不会对上网造成任何影响!

切底现实了,  防火墙的本能:   允许你去黑别人, 但不允许别人黑你!

只要理解了出站与入站的含义.  

那么, 设置起来很容易的.  主要就是要搞清楚.

在出站时,  过滤包如何设置!

在入站时. 过滤包如何设置!

这两者不能搞混.  否则, 就没戏了!

如果还是不清楚?  就只要记住一点.  

使用从外到内,这一过程.  本地端口可以全封.
从内到外这一过程.   外网端口可选择性的全封.  但,本地端口不能封!

设置防火墙,只要记住这两句话, 就可以了.

不过, 国产的. 达不到这种效果的.   好像不能封外网端口.一封就挂了.

本人只知道卡巴KIS  , ZA  这两种可以做到.    其它,很多都做不到,本人所说的内容!



[ 本帖最后由 xqiafl 于 2007-10-15 23:04 编辑 ]

xqiafl

我这一设置过程, 是模拟了如果, 病毒把卡巴主动防卸突破了.

那么,最多一道防线. 自然就是防火墙了.

如果,防火墙设置的很马虎.    那就达不到效果了.

那种封外网的, 出站流规则包.   完全可封掉,任何一个远程工具. 在远程所开的端口.

   从而, 就彻底的被黑客控制的可能性.

当然, 可能性还是有的. 只有当.端口设置成80时. 才会被控制.

但,据我所知.  现在, 没几个人, 会去设置80的.

我以前,用鸽子时, 就是设置80.  不过. 一般情况都不会设置80.

但, 即使是设置了80.  把我的规则突破了.  但, 也是可以很容易查出来的.

到时,再把IP封掉就行了.   因为. 80一封, 就不能上网了!

对于, 鸽子,等木马, 所使用的端口为80时.  只能封IP了.

zhangjianbing

又学到了很多东西啊

eden_cao

54

司徒十二

学习了，虽然半懂不懂，似懂非懂。
以opera为例，其中Opera HTTP Activity这条规则卡巴默认为允许出站TCP的远程端口是80-83，那么是否应该把1楼的“防止TCP主动连接!”阻止的远程端口：81-99改为84-89呢？

看了一下，IE的Internet Explorer HTTP Activity 出战TCP的远程端口也是80-83，可LZ的“防止TCP主动连接!”设置的还是81-89，那么不影响IE吗？
糊涂了，呵呵