查看: 9449|回复: 80
收起左侧

[原创] ESET使用指南3——网络防护[个人防火墙]

  [复制链接]
fireherman
发表于 2016-10-7 19:06:05 | 显示全部楼层 |阅读模式
本帖最后由 fireherman 于 2016-12-8 23:07 编辑

ESET使用指南3
网络防护

Version 1.3
本文原先应该由@renyifei 和@qftest 两位来承继的,然而……这两个懒汉纵情声色、游山玩水,完全把我们一众卡饭好基友们抛诸脑后,就是所谓的有异性没人性。


大家要拍就拍他们俩,不要打我,我是最无辜的。


由于楼主相关知识水平有限,只是个半吊子,文中难免会有错误……不……是一定会有错误,希望大神指正,同时请勿打脸。


原本等ESET 10版后才搞这个指南,但细心一想:即便10正式版上架,使用先前版本的应该不在少数,且ESET版本间的差距未必是飞跃性的距离(病毒库组件通用,版本不同);10版的库文件将由DAT改为DLL模块,如有大区别,则再修改。
前言

myce-eset-logo.png ESS.jpg
下载页面(中文官网)http://download.eset.com.cn/download/detail/?product=ESS8
下载链接(64位简体中文)http://download.eset.com/download/win/v8ess/ess_nt64_chs.msi
备用连接:ess_nt64_chs.msi (90.46 MB)
下载链接(32位简体中文)http://download.eset.com/download/win/v8ess/ess_nt32_chs.msi
备用连接:ess_nt32_chs.msi (80.24 MB)
下载页面(英文官网)https://www.eset.com/int/home/smart-security/#download
下载链接(64位英文)https://download.eset.com/com/es ... st/ess_nt64_enu.msi
备用连接:ess_nt64_enu.msi (89.32 MB)
下载链接(32位英文)https://download.eset.com/com/es ... st/ess_nt32_enu.msi
备用连接:ess_nt32_enu.msi (78.87 MB)
既然是《网络防护》,那么文中所提到的ESET版本自然是带有【防火墙】的ESS版
版本号:ESET Smart Security (TM)  8.0.319.1
这是ess 8最后一个版本,也是最稳定的版本。之所以不使用ess 9,还是那句:

ESET个人版逃不过奇数版本蛋疼的法则,4.2、6、8、甚至即将上场的10都有机会成为经典版本。

而9版本……听得最多的是:卡开机、卡网页、卡……


ESET的网络防护模块包含【网络】和【Web 和电子邮件】两部分,其中:

【网络】:主要是个人防火墙

【Web 和电子邮件】:主要使用Web访问保护/协议过滤


主面板:

002.PNG
高级设置:

001.PNG



那么下面就以这两部分开始基础教程吧。


评分

参与人数 3人气 +3 收起 理由
KK院长 + 1 NOD 防火墙设置好了也很强
qftest + 1 趁我不在说我坏话
renyifei + 1 版区有你更精彩: )

查看全部评分

qftest
发表于 2016-10-8 19:04:03 | 显示全部楼层
fireherman 发表于 2016-10-8 18:51
快给我看看写的内容是否有错,方便我尽快修改。


我没玩过ESET的防火墙啊
最多只能给你几条规则丰富下教程内容好装x:

禁访ip 95.163.88.209

联网黑名单
阻止
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\Syswow64\cscript.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\hh.exe
C:\Windows\SysWOW64\hh.exe
C:\Windows\winhlp32.exe
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
C:\Windows\System32\lsass.exe
C:\Windows\System32\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\System32\taskhost.exe
C:\Windows\System32\wsqmcons.exe
C:\Windows\explorer.exe
C:\Windows\SysWOW64\explorer.exe

评分

参与人数 1人气 +1 收起 理由
SXYJQM + 1 版区有你更精彩: )

查看全部评分

fireherman
 楼主| 发表于 2016-10-7 19:06:49 | 显示全部楼层
本帖最后由 fireherman 于 2016-11-1 22:15 编辑

目录一
(一)个人防火墙:相关术语
对于一个ESET(及其他防火墙的)初用者来说,最困难的莫过于打开防火墙的页面,看着一堆莫名其妙的“专业名词”,什么协议、什么端口、什么IP地址等等,这些东西到底是干什么的?如何设置这些东西呢?

实际上,现在的软件讲求的是易用性、可见性,就好比现在的Visual C++、Visual Basic都提供了“可视化界面(UI)”,而不需要像年代久远的Quick Basic,Turbo C 那样,人手一行一行来编写。

同样地,ESET的防火墙(规则)也提供了可视化的界面,当然……该手动填写的还是需要填写,这样也方便自己的管理。

和HIPS(规则)一样,起码要知道什么是AD,FD,RD规则;要学会设置防火墙,必须要搞清楚一些术语和概念。

【卡饭】有防火墙专区,大家可以去看看:http://bbs.kafan.cn/forum-19-1.html

ESET防火墙规则界面:
003.PNG


ESET防火墙规则定义界面术语
方向(图1)图1
004.PNG

包括[出站][入站][两者],就是谁向谁发送连接请求。
出站:你的系统向外发送连接请求(例如使用FireFox浏览器访问卡饭,就是你的电脑向卡饭的服务器发送连接请求)
入站:外网的设备向你的系统发送连接请求(除非是信任连接,否则是高危行为
两者:两者相互发送连接请求(远程协助就需要这种“双向互相请求连接”,不信任的连接同样是高危行为
正常情况下只应该有[出站]请求,除非是特殊且已信任的程序(例如P2P),否则不应该有[入站]请求。
操作(图1)包括[拒绝][允许][询问]
和ESET的HIPS一样,对于同一个规则,优先级是 拒绝(不弹窗)>允许(不弹窗)>询问(弹窗)
这种优先级是为了提升用户的体验,避免过多的弹窗,但同时……由于[允许]高于[询问],所以必要时先选择[拒绝],可避免受到攻击。
协议(图1)下拉菜单会显示很多协议;但最常用的协议只有3个:TCP/UDP/IPv6

协议内容可自行百科:https://zh.wikipedia.org/wiki/TCP/IP协议族

协议+端口 就组成应用传输,见下面的【端口】
应用程序(图2)图2
005.PNG

该规则所对应的程序,一个程序可以建立(应用)多条规则,但一条规则只能对应一个程序。如果留空,则该规则对应所有程序。(注:和HIPS不同,此处不支持任何通配符)
端口(图2 和 图3)图3
006.PNG

简单来说,这里说指的端口是端口号,总共65356个(十进制表达式:0-65355;十六进制表达式:0000-FFFF)

协议+端口 就组成应用传输方式,常用:
HTTP(TCP协议+80端口)
HTTPS(TCP协议+443端口)
FTP(TCP协议+21端口)等等

因此,有时某人说,为什么我打开浏览器无法打开网页,但QQ却可以正常通信,原因就是他们分别使用了不同的协议和端口,因为网路、软件设置等导致HTTP/HTTPS被封锁,但QQ使用的UPD协议却能通信。
地址(图2 和 图3)就是远程计算机的IP,每台计算机的每一个网络都分配一个IP,大致上分公网IP(HighID)和内网IP(LowID)两种,公网IP可以直接和远程计算机(例如网站服务器)通信,内网IP无法直接访问外网的IP(例如一条网线通过路由器分配给多台电脑使用,那么每台电脑只能分配到路由器给的内网IP),必须要通过各种方式(例如映射)才能“出海”傲游网络世界。

理论上可以通过拒绝本地程序访问(出站)远程计算机/服务器 IP(或者IP段) 达到屏蔽某个网址的目的,但由于ESET的防火墙规则只支持数字IP地址,而不支持域名地址(例如卡饭的域名地址:http://bbs.kafan.cn),故而此方法不如另外一个模块(Web防护模块)那么简单易用,下面Web地址防护会说到。

但其有针对性的IP地址(段)屏蔽方式,可以达到局部屏蔽的目的(例如QQ的弹窗),这点又是Web防护做不到的。

(二)个人防火墙:相关设置
随着Windows版本的更新替代,微软在防火墙方面加大了设计力度,从Windows7开始,Windows自带的防火墙摆脱了XP(及其以前版本的)防火墙是个花瓶(摆设)的恶名,向专业安全递进。甚至有人说,其他防火墙都要被扫地出门了。

这点我不敢苟同,如果说微软(Windows7开始)自带的防火墙是因为和系统的极度契合而放弃其他防火墙,无疑有失偏颇。

微软自带的防火墙兼容性最高是毋庸置疑的(因为人家有其【源代码】,哪家杀软公司都不及微软对自身防火墙的了解更深入),但同样地,任何一家杀软自带的防火墙都没有(包括微软在内的)那么兼容自身的杀毒/防护模块;同样的道理:因为人家有其杀软自身的【源代码】。

ESET自带的防火墙也一样:没有任何一家的防火墙和ESET自身的杀毒/防护兼容性最高,因为人家有其杀软自身的【源代码】。

ESET自身的防护/杀毒模块 + ESET自身的HIPS + ESET自身的防火墙

只要设置得当,而用户不作死(随便添加信任,随便下载未知的软件,随便双击可疑的文件),基本上可以达到非常高的防护能力。

ESET高级设置:个人防火墙
界面:
007.PNG
过滤模式[设置优先级]
说明:该模式让用户使用默认方式来处理未定义规则的通信行为
(规则包括ESET内部定义规则用户自定义规则
自动模式规则 > 默认允许
交互模式规则 > 默认询问
(在没创建自定义规则前使用该模式,会出现非常多的弹窗,此时可以下拉其弹窗手动创建规则)
基于策略的模式规则 > 默认拒绝
学习模式规则 > 允许并创建其通信规则
防火墙用户配置文件
留空即可,如果想设置类似分组的处理,可自行定义。
高级防护功能
两个都要勾选上,且默认值也是勾选的。


ESET高级设置:个人防火墙[规则与区域]
界面:
008.PNG
信任区域
包含本机IP和已经设置了的DNS地址IP等,ESET会自动加载,如果是多台电脑共享一个IP,点击进入配置
区域和规则编辑器
ESET个人防火墙设置的重中之重,本机所有(程序的)网络通信均可在此处进行编辑(就是所谓的写规则);【学习模式】所创建的规则也在此处。
4楼会有实例说明:本贴4楼
规则编辑器显示的信息
该选项不影响规则的内容和执行,只是给用户提供不同的显示方式而已;在规则编辑器内可打开右键菜单修改。


ESET高级设置:个人防火墙[IDS和高级选项]
这里采用ESET默认设置即可,就说说其中两个选项
001.PNG
允许桥接通信
默认不勾选(除非特殊用途,否则也不应该勾选)
简单来说就是把两台计算机直接通过网桥串联起来互通,天朝的特色:连电信营运商自己都搞流氓(DNS污染),你敢直连?
002.PNG
记录所有被阻止的连接
如果在主页面的[日志]太多,如使用ADSL时,会不停地在[日志]里刷DNS投毒,可以去掉此勾选
说明:该选项的优先级低于规则里设置的日志,所以一般情况下可以去掉勾选,而在规则里独立勾选日志。


ESET高级设置:个人防火墙[IDS例外]
003.PNG
可以留空,让规则去完成;也可以设置检测,天朝的网络……你懂的。


ESET高级设置:个人防火墙[学习模式]
004.PNG
默认即可


ESET高级设置:个人防火墙[应用程序修改检测]
005.PNG
除非有特殊需求,否则留空(不添加排除的程序)


ESET高级设置:个人防火墙[系统集成]
006.PNG
选择[启动所有功能]
ESET会接管系统的防火墙


ESET高级设置:连接视图
007.PNG

001.PNG
主面板的视图,可在主面板右键菜单里随时修改



评分

参与人数 1魅力 +1 收起 理由
ikimi + 1 原创内容

查看全部评分

fireherman
 楼主| 发表于 2016-10-7 19:07:23 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-8 17:24 编辑

目录二
(三)Web 和电子邮件:Web访问保护
001.PNG

先简单说一下【电子邮件客户端防护】

现在使用电子邮件客户端(如Windows的OutLook)已经很少,多数情况下是通过浏览器开启电子邮箱账户,在浏览器(http/https协议)内进行电邮通信。

所以这里的设置用默认值即可,如果是使用[电子邮件客户端]的,主要是设置[ThreatSense引擎参数]

注:[ThreatSense引擎]被ESET多个模块调用(实时防护,手动扫描,电子邮件客户端等),每一个模块可以设置不同的参数。


ESET高级设置:Web访问保护
002.PNG
这里主要设置[ThreatSense引擎参数]
因应个人需求进行设置即可,例如是否需要脱壳扫描。


ESET高级设置:Web访问保护[HTTP, HTTPS]
003.PNG
就是常说的【流量扫描
例如正在下载的一个文件,被ESET扫描出有病毒木马,ESET就会中断其连接。


ESET高级设置:Web访问保护[URL 地址管理]
004.PNG
设置网址的白名单和黑名单
这里所设置的网址只能使用域名地址[如http://www.baidu.com/或者*.baidu.com/*],如果使用前置通配符,则包含所有协议不能使用IP地址[如123.123.123.123]或者数字地址[如3444888]
此功能对“著名大户”(的屏蔽)特别有效,因为其域名本身就有很高的品牌价值,不会随便更改(例如四位数字.com,差321.com);可作为广告屏蔽软件的手段。
但对小众网站就比较乏力(特别是钓鱼网站),因为其会随时转换域名地址;因此要屏蔽较为小众的网站,使用防火墙规则更有效。(更改IP地址通常都需要更换服务器,犯罪成本会增加)


(四)Web 和电子邮件:协议过滤
001.PNG

这里只说一下SSL协议检查。
简单来说,如果不是选择[不扫描SSL协议],ESET就会进行SSL协议(证书)的扫描和排除。
现在的浏览器(如FireFox和Chrome)自身就有验证证书的功能,如果开启ESET的SSL扫描,就算浏览器通过证书(可访问网站),而ESET未排除的话;网站的内容一样会被阻止(无法浏览),此时可通过添加信任来进行排除。
详细的证书说明请自行百科:https://zh.wikipedia.org/wiki/电子证书
   
fireherman
 楼主| 发表于 2016-10-7 19:08:04 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-21 22:04 编辑

目录三
(五)ESET个人防火墙应用:实例篇[自定义规则]
以下用3个比较实用的程序来进行实例说明:

当你每天打开(启动)电脑后,会做什么事?别告诉我就是挂着电脑什么都不干,小学生都不信。


现在已经属于高速网络数据时代,即大数据时代;那么我们使用电脑毫无疑问就需要使用网络,而使用网络就需要使用工具,说白了,我们都需要软件(程序)来实现对外的通信,畅游网际。

而(ESET的)防火墙又是如何对网络进行防护呢?

以下示例里,ESET的个人防火墙均选择【交互模式】

实例1:使用浏览器
ff001.PNG

使用的浏览器为FireFox(其他浏览器也差不多)
当打开浏览器的一刻,其实已经需要【出站】通信(特别是设置了带有同步功能的浏览器)。

浏览网站(网址),通常需要使用3种协议方式:

HTTP / HTTPS / FTP(相对较少)
那么就设置一条【针对FireFox】的规则:

规则为:

[常规项]
方向:出站(本机访问外网)
操作:允许(允许通信,不弹窗
协议:TCP(http/https/ftp 都需要此协议)
日志:不勾选(不会有通信记录出现在主面板的日志记录里)
ff002.PNG

[本地项]
本地端口:留空(全部端口)
应用程序:填写FireFox的本地位置(不可使用通配符进行多个程序的匹配)
ff003.PNG

[远程项]
远程端口:留空(全部端口)
远程地址:留空(包含万维网的所有IP地址)
ff004.PNG
以上这条规则就可以保障FireFox能网上冲浪(浏览网页、收发电邮等)

如果需要观看(使用Flash)的视频在线网站,需要额外调用Flash,由于Flash是Abedo的私有财产,并未开源;因此FireFox的Shockwave Flash插件只是调用,而非FireFox自身引入视频流(HTML5则是自身引入,FireFox是原生支持HTML5,不需要额外使用插件),所以当观看这类Flash视频网站时,会提示Flash的出站请求。

ff006.PNG

ff005.PNG


无论如何,都要啰嗦一次:正常的网站访问(浏览网页),是本机向远程计算机(服务器)发出连接请求[出站请求],服务器收到请求后,如果允许就会通过协议发送数据到本机(此处并不是对本机的[入站]请求)。

例如使用FireFox浏览器向卡饭论坛发送连接请求,卡饭得到回应,允许连接,然后把数据(论坛上的图片、文字等)传送回本机供用户浏览其内容(如看帖子);此处包括使用网页下载(http/https/ftp)文件,都应该只有[出站]请求。

正常的情况下,网站是不会向用户发送连接(入站)请求的,如果当你在浏览网页时,它向你发送[入站]请求,就要小心了;例如一些 钓鱼/挂马 的网站,通过js脚本向用户发送[入站]请求,在不清楚的情况下,应当[拒绝][入站]。

这里也显露出【自动模式】的弊端(漏洞):在没有定义规则的情况下默认允许[出站/入站];当然这只是个提醒,其实并没有想像的那么恐怖(除了你非得去访问一些暗网),良好上网习惯是防护的第一步,也是重要一步。


可以通过增加一条规则来进行网页浏览防护。

注:勾选[日志]方便排查和分析。


ff007.PNG

建立这条规则后需要再建立一条[允许][入站]的规则,因为FireFox需要进行本地连接数据返回:

[常规项]
方向:入站
操作:允许
协议:TCP & UDP
001.PNG

[本地项]
除[应用程序]外,全部留空

[远程项]
远程地址:127.0.0.1
(这条规则由于属于【局部规则(明确的IP地址)】,因此其优先级高于上面的【全局拒绝入站】规则)

002.PNG


实例2:使用P2P软件进行数据共享
真正的P2P软件(非吸血驴)其实并非【下载工具】,而是【数据共享工具】,只不过一众吸血驴为了不开源而强词夺理地称自己的软件是【下载工具】而已。

浏览器是其中一种网络通信工具,他(们)已经能实现网上冲浪的很多功能。

但现时浏览器毕竟不能替代所有功能,例如大数据(大型文件,如视频文件等),就需要借助其他工具来完成(可断点续转)。

本例使用的P2P工具为 uTorrent 2.0.4

顾名思义:Peer to Peer,点对点共享;也就是说,你的电脑向别人的电脑发送连接请求,下载自己所需要的数据……的同时……别人也在做同样的事。

ut001.PNG

那么防火墙的通信就必定会同时出现[出站]和[入站]的请求,由于uTorrent是基于GNU通用公共许可证的P2P(开源)软件,且其可见的共享方式限制,所以这种[入站]请求是得到允许的(你从别人那里下载了需要的数据,根据共享精神,也应该提供别人需要的数据嘛)。

设置一条对应uTorrent 204的规则

和上面FireFox浏览器大致相同,所不同的是:

[常规项]
方向:两者(你可以设置2条规则,一条出站,一条入站,也可以这样设置两者)
操作:允许(允许通信,不弹窗
协议:TCP & UDP(P2P软件不但需要TCP协议,还需要UDP协议,因为并非每个用户是都公网IP的,UDP提供了内网IP穿透的能力


ut002.PNG

ut003.PNG

ut004.PNG

ut005.PNG
通过[ESET主页面] - [工具] - [网络连接] 可以查看其通信详情。

ut006.PNG

ut007.PNG
鉴于吸血驴(如迅雷、QQ旋风等)的共享方式不清不楚
(你完全不知道它们在上传你的什么数据[入站]

可对其设置一条规则,让它们变成完完全全的吸血驴
(只下载,不上传,包括不会上传给其相同的客户端)

001.PNG


实例3:使用ESET的防火墙实现网络防护(远控木马、盗号、勒索等)
现在的病毒木马变化多样,防不胜防,一下只通过文字来阐述ESET的防火墙防护
案例1:
一个病毒软件(abc.exe),它躲过了ESET的扫描(病毒库未更新,或者未入库),当用户双击运行它后。
abc.exe开始访问用户的私隐文件(例如浏览器的Cookie等),然后把其数据以UDP协议方式发送到指定的邮件[出站请求]
案例2:
一个勒索软件(abc.exe),它躲过了ESET的扫描(病毒库未更新,或者未入库),当用户双击运行它后。
abc.exe开始访问指定网站,并下载有害的木马文件[出站请求]到用户电脑里,再调用这些有害文件(所谓的白+黑)对用户电脑里的文件进行加密。
案例3:
一个远控木马(abc.exe),它躲过了ESET的扫描(病毒库未更新,或者未入库),当用户双击运行它后。
abc.exe开始访问指定网站[出站请求],且该网站含有的脚本向用户电脑发送连接,并指定运行某个程序[入站请求]

以上行为可以使用:
基于策略的模式(拒绝,不弹窗)
交互模式(询问,弹窗)
建立一条针对abc.exe的[拒绝][出站][入站]通信规则(勾选日志排查)
必要时,可配合HIPS规则阻止恶意程序运行(因为不排除abc.exe会通过层层调用,操控其他程序进行联网[出站]下载有害文件。(如系统主服务进程Svchost.exe))


参考资料
ESET使用指南1——基本知识 @renyifei  
ESET使用指南2——进阶知识 @renyifei  
ESET hips语法初试与规则强化[官方反勒索规则] @qftest  
【原创翻译】ESET的多重防护与效果 @猪头无双  
卡饭防火墙专区




评分

参与人数 1人气 +1 收起 理由
小小瞻 + 1 精品文章

查看全部评分

vanishtime
发表于 2016-10-7 22:06:15 | 显示全部楼层
支持
恶意之爪
发表于 2016-10-8 09:31:41 | 显示全部楼层
这就尴尬了,已入手三年的eav,不过还是要学习一下,说不定哪天要设置下自带防火墙,加油
qftest
发表于 2016-10-8 18:34:46 | 显示全部楼层
几天不见,玩这么高端了啊
fireherman
 楼主| 发表于 2016-10-8 18:36:59 | 显示全部楼层
qftest 发表于 2016-10-8 18:34
几天不见,玩这么高端了啊

写个使用教程而已,有多高端了?
qftest
发表于 2016-10-8 18:41:57 | 显示全部楼层
fireherman 发表于 2016-10-8 18:36
写个使用教程而已,有多高端了?

反正我是写不出来
fireherman
 楼主| 发表于 2016-10-8 18:51:45 | 显示全部楼层
qftest 发表于 2016-10-8 18:41
反正我是写不出来

快给我看看写的内容是否有错,方便我尽快修改。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|讨论汇| 卡饭论坛  

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.1( 苏ICP备07004770号 ) GMT+8, 2017-1-17 12:54 , Processed in 0.462828 second(s), 12 queries , Memcache On.

快速回复 返回顶部 返回列表