本帖最后由 帅就是帅 于 2011-6-21 03:30 编辑
写在前面
这篇文章是我根据金山网盾防火墙的在线帮助文档和自己的使用心得写出来的,抛砖引玉,希望能对大家有所帮助,由于时间仓促以及个人水平有限,若有纰漏之处还望各位海涵和指点。
前几天,贵区版主qqq123123还商榷对于目前IPv4即将枯竭,IPv6开始全面部署,需要在Comodo防火墙规则重新对这方面更深入的研究,本人也开始重新精读网络协议。事实上,在IPv6正式来临时,想必全球各大防火墙厂商都会有应对策略,那个时候各个防火墙也定会有较大的更新,其实,现在很多防火墙已经开始支持IPv6协议了,诸位不必过于担心。
另外,在IPv6中,已经取消了IPv4中的ARP协议,而是采用邻居发现协议(NDP)来取代,也就是说,那时候不必担心ARP攻击,ARP防火墙也将成为历史,不过,新的攻击方式也有可能应运而生。
The Neighbor Discovery Protocol (NDP) is responsible in IPv6 for discovery of other network nodes on the local link, to determine the link layer addresses of other nodes, and to find available routers, and maintain reachability information about the paths to other active neighbor nodes (RFC 4861). This protocol is insecure and susceptible to malicious interference. It is the intent of SEcure Neighbor Discovery to provide an alternate mechanism for securing NDP with a cryptographic method that is independent of IPsec, the original and inherent method of securing IPv6 communications.
简单说一下IPv6和IPv4的区别(两者都在OSI7层参考模型中的网络层,DARPA层次的网际互连层):
1.IPv4中的ARP地址解析协议由IPv6的邻居发现协议取代(如上所说)
2.IP协议变为IPv6协议(呃,废话)
3.Internet控制消息协议(ICMP)也会变为ICMPv6版
4.Internet组管理协议(IGMP)管理IP多播组也将变为多播侦听器发现协议(MLDP)
可查询C大此帖:http://bbs.kafan.cn/thread-336267-1-1.html
只不过,我需要强调的一点是:防火墙和HIPS极大不同,matousec的防火墙测试也改名为Proactive Security Challenge,传统的防火墙基于包过滤或者状态检测,而在发展过程中适应当前各种需求添加了IDS、IPS等功能,目前基于主机的入侵防御系统即为HIPS,和传统防火墙差别很大。所以,请不要用主防的标准来要求“传统防火墙”。
从安全性上来讲,传统防火墙只要完成了端口静默即可。
什么叫端口静默?端口静默(Port Stealth)即端口隐藏,通常情况下, 如果计算机收到一个对某个未使用端口进行连接的请求时, 那么其将回复一个 "port unreachable" 的消息.。这个消息将被消息发送者收到, 并以此判断你的计算机为活动主机. 如果发送者有恶意企图, 那么他就会搜索你计算机上可能存在的漏洞并尝试攻击。在端口隐藏的模式下, 你的计算机将不会回复信息 ——也就是在对方看来, 你的计算机是关闭或者是离线的。 而与此同时, 你的正常网络活动则不会受到影响。
请注意:端口静默≠端口关闭
更多关于端口知识,请参阅C大的帖子:http://bbs.kafan.cn/thread-288698-1-1.html
下面就谈谈我自己对金山网盾防火墙的观点:
优点:
1.小巧,安装包仅有5M大小,不耗费系统资源 ,据说还支持无线环境~
2.云判断,更加智能、简单,好上手(亮点)
3.幸亏规则有优先级,而非并列规则。
比如说,在编写ICMPv4协议的时候,明确列出“具体规则”后再列出“模糊规则”,其他一律阻止的把关影响规则。
举例,我在对Echo Reply、Destination Unreachable、Router Sdicitation……具体规则做了确定后,再列出Source Quench、Parameter Program、Address Mask……模糊规则后,其余一律拦截。而优先级就能够实现。
某款德国免费防火墙的规则却只是并列规则。。。。。。。。不点名了
缺点:
目前来看,忽略其产品定位上产生的特性,个人认为在IP规则添加的过程中:
1.支持协议较少,诸如对于4T-GRE(通用路由器封装)包的协议和对SIPP(增强简单因特网协议)ESP(封装安全负载)、VPN的GRE协议和AH协议、ICMPv6协议等,不能指定IEEE 802协议802.1x及PPPoE发现阶段和会话阶段自定义0x8863、0x8864以太网类型(可能已内置,不允许自定义罢了)
2.对于非连续端口需多次添加,虽然有优先级而非并列规则,但也易造成规则冗余度较高等负面影响。
3.经测试,发现bug一处:
在ARP设置时,“高级设置”——“通知网关”,由于金山网盾防火墙使用贝壳ARP防火墙技术,原先贝壳很好用,即使开到最高档也没有任何问题,这里默认6次每秒。当浏览器(火狐、Opera都是如此,其他未测)发生较大上传流量(指保存当前数据、上传图片,其实算小流量。。。),系统会立马死锁,只能重新启动。
=================================
概述
金山网盾防火墙是一款功能强大、方便易用的个人及家庭首选防毒产品。它能保护您的计算机免受病毒、黑客、垃圾邮件、木马和间谍软件等网络侵害。在全新技术框架的支持下,金山网盾防火墙具备以下主要功能:
1. 智能区域防护
随着越来越多的用户开始使用笔记本(上网本)进行网上冲浪,笔记本在一些公共网络环境中的安全性问题也日益突出,用户可能稍不小心就会泄露自己的隐私信息。金山网盾防火墙提供了全新的智能区域防护功能,能帮助用户解决在不同网络环境中移动带来的个人隐私泄露风险。
2. 更加精确的出站检测功能
金山网盾防火墙提供了精确的模块级出站检测功能,对于每个参与网络访问的模块都进行严格的安全检测,可以有效防止多种注入式木马程序泄露用户的隐私。
3. 更加精细的可信认证智能判断功能
为了配合模块级出站检测功能,在增强安全检测强度的同时又尽可能的减少用户使用的复杂度,金山网盾防火墙采用了更加精细的可信认证智能判断组件。对于普通用户,基本无需手动设定各个应用程序的操作权限,只要对每个模块采用默认的“智能判断”模式,即可在使用中获得安全性与易用性的良好平衡。
4. 智能动态防御功能
金山网盾防火墙支持智能动态防御功能,支持自动屏蔽频繁攻击当前用户系统的计算机,减少频繁的黑客攻击对用户系统资源的影响。
5. 集成ARP防火墙
金山网盾防火墙集成了ARP防火墙功能,可以有效防御局域网内部的ARP欺骗攻击,保护网络数据的正常流量。
6. 端口反扫描
金山网盾防火墙对端口进行有效保护,避免来自网络的嗅探攻击。
===================================
PART 1
下面我们来逐步认识一下金山网盾防火墙的真面目吧:
由此图我们可以看见其数字签名为2010年11月2日
在金山网盾防火墙注册的过程中加载驱动,会暂时断网数秒,过一会就恢复了,耐心等待即可。
一般安装防火墙或者卸载防火墙都会出现该现象。
这是安装完成后我们看到金山网盾防火墙的桌面图标和托盘图标,个人认为比较饱和润泽。
好,安装完成!此时不需要重启即可正常使用金山网盾防火墙!卸载后需要重启!
安装完成后会提示选择你所在的网络:
WATCH OUT:
金山网盾防火墙卸载较为干净,但仍需几处需要处理,这里以Win7,安装在C盘为例:
C:\kisinstall.dat
C:\Program Data\kingsoft\KXENgine
C:\Users\你的用户名\AppData\Local\VirtualStore\Program Files\Kingsoft\Kingsoft Personal Firewall
最后使用专用工具清理一下注册表即可
==============================
PART 2
我们先来看一下金山防火墙的进程、驱动和服务:
======================
PART 3
来看一下主界面:
通过主界面,我们可以看到金山网盾防火墙的排版很简洁、清晰明了。
1. 标签栏:包括三个活动标签“网络状态”、“连接状态”、“监控状态”和“规则设置”。默认激活“网络状态”,可以根据自身需要切换活动标签,同一时间有且只有一个活动标签。
* 网络状态:显示用户电脑的网络流量详情和监控状态信息。
* 连接状态:此页面包括当前网络连接状态和网络环境详情显示(网卡名称、接入方式、网关IP、网关MAC、本机IP)。
* 监控状态:可设置“网络监控”、“动态防御”、“ARP防火墙”、“防端口扫描”的监控状态。
* 规则设置:此页面可设置监控模式、区域规则、IP规则、动态规则。
2. 活动页面:随标签的变化而即时更换的模块则为活动页面,它是金山网盾防火墙最常用的功能操作平台,在当前页面中可以进行各项功能的细则操作和设置。
金山网盾防火墙“网络状态”页面中的“网络流量”和“网络进程流量”区域可以查看当前计算机与外部网络的连接状态,包括显示电脑中的哪些程序已连接网络,网络的发送及接受字节的情况。
注意区别:这里的网络活动状态是指计算机系统中单个程序的网络状态
而“安全状态”页面中的“当前网络活动状态”代表的是整个系统与外部网络之间的连接状态
1.查看当前访问外部网络的应用程序所接收和发送的数据大小:
每一个应用程序的数据都单独显示,将鼠标移向应用程序图标,将显示应用程序的名称。单击应用程序图标,在弹出的提示框中,可以进行“中止”进程的操作,还可以单击“所在目录”,打开应用程序所在的文件夹。如图:
2.查看计算机当前的网络流量:
流量图是动态显示的,随着流量数值的变化而从右至左流动显示。
3.单击“网络活动状态”按钮,可以查看更加详细的网络连接状态:
在这个对话框中,用户可以搜索进程名称,可以对每个进程的程序名称、安装路径、是否安全等详细情况进行查看,还可以点击“查看程序所在目录”直接打开进程所在位置,另外还可以点击“终止此进程”对不安全的连接直接进行切断。
================================
PART 4
下面我们先来看一下综合设置:
1.端口扫描攻击是一种常用的探测技术,攻击者可将它用于寻找他们能够成功攻击的服务。金山网盾防火墙集成防端口扫描工具,避免来自网络对端口的攻击。使用共享的局域网用户和VPN虚拟专用网用户可以关闭(不使用共享的局域网用户也可以开启)。
2.金山网盾防火墙的动态防御,能够智能阻断那些频繁攻击你电脑的计算机与你的电脑之间的网络通信,减少频繁攻击对你电脑的系统资源影响。该选项默认为“已开启”状态,并且不建议关闭。
1.关于ARP设置,虽然可能在数月之后就要淘汰,目前尚可以正常使用。
此处发现了一个bug:在ARP设置时,“高级设置”——“通知网关”,由于金山网盾防火墙使用贝壳ARP防火墙技术,原先贝壳很好用,即使开到最高档也没有任何问题,这里默认6次每秒。当浏览器(火狐、Opera都是如此,其他未测)发生较大上传流量(指保存当前数据、上传图片,其实算小流量。。。),系统会立马死锁,只能重新启动。因为我刚刚设置了HTTP/1.1 pipelining协议等各种参数,起先以为是这里配置不当,经排查后,确实是该处bug。主机安软只有MSE,SSDT挂钩也只有sandboxie,不知是否属于个例,各位有兴趣可以试验一下。
2.所谓安全模式,即隐身模式,需要在对方使用诸如P2P终结者、聚生网管等工具攻击之前开启才能达到隐身效果。
3.最后一项建议勾选,类似趋势科技闪电杀毒手的ARP防漏墙,避免因为自己中ARP病毒而导致整个局域网网络瘫痪。
4.关于静态双向绑定,须做到:
For Small Networks
If you manage a small network, you might try using static IP addresses and static ARP tables. Using CLI commands, such as "ipconfig /all" in Windows or "ifconfig" in 'NIX, you can learn the IP address and MAC address of every device in your network. Then using the "arp -s" command, you can add static ARP entries for all your known devices. "Static" means unchanging; this prevents hackers from adding spoofed ARP entries for devices in your network. You can even create a login script that would add these static entries to your PCs as they boot.
However, static ARP entries are hard to maintain; impossible in large networks. That's because every device you add to your network has to be manually added to your ARP script or entered into each machine's ARP table. But if you manage fewer than two dozen devices, this technique might work for you.
1.路由器上绑定静态IP和MAC地址
2.主机,“开始”——“运行”——输入“cmd”(不含双引号),确定。
(在这里指出:在Win7下需要以管理员的身份运行;如果默认没有“运行”,则右键单击任务栏,“属性”——“开始菜单”选项卡——自定义,在“运行命令”复选框前选勾,确定即可。也可以加入直接在搜索栏输入“cmd”,或者在附件中打开“命令提示符”。同时,你也可以直接使用快捷键Win+R就可以打开运行命令框)
输入ipconfig/all,确定.这时你会看到本机上IP和MAC的相关信息。
输入“arp -s IP地址 MAC地址”的形式(不含双引号),完成双向绑定。
可以输入“arp -a”命令查询,原先Dynamic变成了static状态即可。
另外:双向绑定很难维持,每次重启机器都需要再绑定一次,可以做一个批处理添加到启动项中。
方法如下:
在客户端计算机打开记事本,输入内容:“arp –s IP地址 MAC地址”。保存为arpstatic.bat,然后在开始菜单的启动组里添加到这个批处理文件的快捷方式就可以实现开机自动绑定网关IP和MAC地址了。
这一部分属于“美化”内容,故不赘述。
================================
PART 5
下面来看一下程序规则方面的部分:
由于无论是程序(.exe)规则还是模块(.dll、.ocx)规则,由于云判断而使其更加智能,用户交互较少,个人认为是相当不错的理念。
程序就不用说了,模块实际上是一种目标对象文件,没有链接不能独立运行,但是其代码可以在运行时链接到系统中作为其他进程的一部分运行,可以动态的扩展进程的功能。它跟应用程序类似,但比应用程序单位更小,应用程序通常是由多个模块组成。
智能判断: 对已知危险的模块会自动拦截,无法判别安全性的模块会询问用户如何处理。
总是询问:对于某些不确定完全安全的模块,您可以选择“总是询问”,在它每一次访问网络的时候提醒您,您可以根据您当前的网络环境是否安全做出是否放行的选择。
总是禁止:如果您确认这个模块是恶意的会对您的计算机构成安全隐患,那么您可以选择“总是禁止”,从此禁止这个程序对网络进行连接访问。
总是允许:如果您确认这个模块绝对安全,可以选择“总是允许”,从此便不会再询问您是否放行。也不会随着监控规则的改变而改变。
===============================
如果你控制欲较强的话,也可以自行判断或者添加相应规则
程序规则添加诸如:
%WinDir%表示 系统盘符:\WINDOWS
svchost.exe %WinDir%\system32\svchost.exe Windows服务主进程
services.exe %WinDir%\system32\services.exe 服务和控制器应用程序
wininit.exe %WinDir%\system32\wininit.exe Windows启动应用程序
lsass.exe %WinDir%\system32\lsass.exe Local Security Authority Process
alg.exe %WinDir%\system32\alg.exe 应用程序网关服务
winlogon.exe %WinDir%\system32\winlogon.exe Windows登录应用程序
smss.exe %WinDir%\system32\smss.exe Windows会话管理程序
explorer.exe %WinDir%\system32\explorer.exe Windows资源管理器
等等等等等等等等等等等等等等等等等等等等等等等等
模块规则添加诸如:
ws2_32.dll %WinDir%\system32\ws2-32.dll Windows Socket 2.0 32位dll
user.dll %WinDir%\system32\user32.dll 多用户Windows用户API客户端dll
kernel.dll %WinDir%\system32\kernel32.dll Windows NT基本API客户端dll
ntdll.dll %WinDir%\system32\ntdll.dll NT层dll
mswsock.dll %WinDir%\system32\mswsock.dll Microsoft Windows sockets2.0服务提供程序
wininet.dll %WinDir%\system32\wininet.dll Win32的Internet扩展
shlwapi.dll %WinDir%\system32\shlwapi.dll 外壳建议实用工具库
webio.dll %WinDir%\system32\webio.dll Web传输协议API
winhttp %WinDir%\system32\winhttp.dll Windows HTTP服务
rpcrt4.dll %WinDir%\system32\rpcrt4.dll 远程过程调用
ieapfltr.dll %WinDir%\system32\ieapfltr.dll Microsoft SmartScreen Filter(个人觉得IE不错)
等等等等等等等等等等等等等等等等等等等等等等等等
这里,关于添加什么不添加什么,取决于一定的对系统了解程度和网络知识基础,而金山网盾防火墙的定位目标正是普通用户,此墙最大的亮点在于云,因为交给云匹配判断的话,大大减少用户交互操作,避免非专业用户无法得心应手使用。
其如此看来,金山网盾防火墙也不是诸如CA、Comodo这些经典HIPS,大可不必如此操作,智能就是交给云来判断。
==================================
PART 6
下面我们来看一下监控状态标签栏:
呵呵,事实上,我的局域网只有我一台机子,这也是刚才为什么我没有静态双向绑定的原因,路由器本身已经充当我的防火墙了~在这里需要名次解释一下:
本机名称:显示电脑属性中设置的名称,代表计算机。
网关:通俗的说法是指不同网络之间的接口。这里代表计算机连接外部网络时需要通过哪个接口。
Internet:Internet是全球信息资源的总汇,其另一个通俗的名称又叫“因特网”。从基本概念上来讲,可以认为Internet是由于许多小的网络(子网)互联而成的一个逻辑网,每个子网中连接着若干台计算机(主机)。Internet以相互交流信息资源为目的,基于一些共同的协议,并通过许多路由器和公共互联网而成,是一个信息资源和资源共享的集合。
网卡名称:计算机的网卡名称,显示品牌及型号。
接入方式:显示计算机通过什么方式与外部网络进行连接。
网关IP:通俗的说法是指不同网络之间的接口。这里代表计算机连接外部网络时需要通过哪个接口。
网关MAC:Mac地址通俗点说就是网卡的物理地址,Mac地址一般都采用6字节48bit。
本机IP:IP地址,指使用TCP/IP协议指定给主机的32位地址。IP地址由用点分隔开的4个8八位组构成,如192.168.0.1就是一个IP地址,这种写法叫点分十进制格式。IP地址由网络地址和主机地址两部分组成,分配给这两部分的位数随地址类(A类、B类、C类等)的不同而不同。
此连接目前接入的区域:如“PUBLIC-001”,单击该链接将切换至“应用规则”页面中的“区域规则”设置选项进行设置。
注意:
单击网络环境旁边的名称链接,可以打开“应用规则”活动页面的“区域规则”页面,可对区域进行设置或修改。
什么网卡?计算机与外界局域网的连接是通过主机箱内插入一块板,又叫网络适配器,现在更多人愿意称它为网卡。它是工作在物理层的网路组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。
==============================
PART 7
下面来看一下规则设置:
各种模式的含义如下:
智能判断模式:金山网盾防火墙会对试图访问网络的所有应用程序进行安全检查,并且自动拦截已知的危险模块,并且对于无法判别安全性的模块进行询问,由用户决定是否拦截。
防打扰模式(推荐):金山网盾防火墙仍然会所有试图访问网络的所有应用程序进行安全检查,并且自动拦截已知的危险模块。为了避免经常弹出询问打扰到用户,金山网盾防火墙会对不存在危险的模块和进程自动放行,不再询问用户如何处理。 这个选项适用于大部分用户,是非常省心的一种模式 。
专家模式:除了具有可信数字签名的模块之外,对于其他程序的网络询问请求,均由用户判断是否可以放行。
笔记本电脑的使用越来越普及,上网地点的改变及网络环境的转换经常发生。金山网盾防火墙提供“区域规则”设置功能,可以对您所在的网络环境进行识别和判断,并且记住您曾经使用过的网络环境。
通常在家里和办公室是值得信任的网络环境,金山网盾防火墙将采用较为宽松的网络监控模式。“公共环境”和“其他”未知网络环境通常会有未知的安全威胁存在,作为不可信危险区域,金山网盾防火墙将收紧网络监控规则,对部分网络传输进行限制:
选择“不可信任模式”可禁止NetBils及打印机与文件共享:
1.禁止传入ICMP请求、IGMP:ICMP 被 IP 层用于向一台主机发送单向的告知性消息。在 ICMP 中没有验证机制,这就导致了使用 ICMP 可以造成服务拒绝的攻击,或者可以支持攻击者截取数据包。禁止传入ICMP请求、IGMP,可以保护您的计算机不被恶意攻击。
2.禁止NetBils及打印机与文件共享: 网络文件传输过程中,可能存在数据泄漏及病毒传播等安全隐患,禁止NetBils,可以禁止通过网络邻居传输文件,禁止打印机与文件共享也是同样的原理。
==============================
PART 8.1
下面来看重头戏,也就是IP规则:
正如前面所说,金山网盾防火墙有一点瑕疵,但仍然不失为一个较不错的防火墙:
1.支持协议较少,诸如对于4T-GRE(通用路由器封装)包的协议和对SIPP(增强简单因特网协议)ESP(封装安全负载)、VPNDE GRE协议和AH协议、ICMPv6协议等,不能指定IEEE 802协议802.1x及PPPoE发现阶段和会话阶段自定义0x8863、0x8864以太网类型(可能已内置,不允许自定义罢了)
2.在编写ICMPv4协议的时候,没有明确列出“具体规则”后再列出“模糊规则”,其他一律阻止的把关影响规则。比如,我在对Echo Reply、Destination Unreachable、Router Sdicitation……具体规则做了确定后,再列出Source Quench、Parameter Program、Address Mask……模糊规则后,其余一律拦截,设置人性化不够。
3.对于非连续端口需多次添加,虽然有优先级而非并列规则,但也易造成规则冗余度较高等负面影响。
当然,也不能忽视其规则优先级优点:
比如说,在编写ICMPv4协议的时候,明确列出“具体规则”后再列出“模糊规则”,其他一律阻止的全局影响规则。
举例,我在对Echo Reply、Destination Unreachable、Router Sdicitation……具体规则做了确定后,再列出Source Quench、Parameter Program、Address Mask……模糊规则后,其余一律拦截。而优先级就能够实现。(为了避免规则冗余过高,并未添加相应模糊规则,若有需要可自行添加)
===============================
PART 8.2
先做最基础的这方面术语解释,然后再讲述规则思路:
规则名称:自定义,随意字符组合均可。
规则描述:可输入对规则的简要描述。
对方IP地址:可以对单个IP地址进行规则设置,也可以对某个IP地址区间段进行规则设置。
数据传输方向:可选择“发送”或“接收”,也可选择“任意”,“任意”包括了“发送”和“接收”。
数据协议类型:可以选择对TCP、UDP、ICMP、IP、IGMP等类型的数据协议进行规则设置。
端口选择:可对本地(计算机)网络端口及对方网络端口进行设定。
TCP标志选择:
FIN:表示发送端已经达到数据末尾,也就是说双方的数据传送完成,没有数据可以传送了,发送FIN标志位的TCP数据包后,连接将被断开。这个标志的数据包也经常被用于进行端口扫描。当一个FIN标志的TCP数据包发送到一台计算机的特定端口,如果这台计算机响应了这个数据,并且反馈回来一个RST标志的TCP包,就表明这台计算机上没有打开这个端口,但是这台计算机是存在的;如果这台计算机没有反馈回来任何数据包,这就表明,这台被扫描的计算机存在这个端口。
RST:这个标志表示连接复位请求。用来复位那些产生错误的连接,也被用来拒绝错误和非法的数据包;
ACK:此标志表示应答域有效,就是说前面所说的TCP应答号将会包含在TCP数据包中;有两个取值:0和1,为1的时候表示应答域有效,反之为0;
SYN:表示同步序号,用来建立连接。SYN标志位和ACK标志位搭配使用,当连接请求的时候,SYN=1,ACK=0;连接被相应的时候,SYN=1,ACK=1;这个标志的数据包经常被用来进行端口扫描。扫描者发送一个只有SYN的数据包,如果对方主机响应了一个数据包回来 ,就表明这台主机存在这个端口;但是由于这种扫描方式只是进行TCP三次握手的第一次握手,因此这种扫描的成功表示被扫描的机器不很安全,一台安全的主机将会强制要求一个连接严格的进行TCP的三次握手;
PSH:这个标志位表示Push操作。所谓Push操作就是指在数据包到达接收端以后,立即传送给应用程序,而不是在缓冲区中排队;
URG:此标志表示TCP包的紧急指针域有效,用来保证TCP连接不被中断,并且督促中间层设备要尽快处理这些数据;
满足以上条件时金山网盾防火墙的行为设置:可以选择“放行”或“拦截”,同时可以选择“日志记录”、“警告”或“发声”等通知或记录行为设置。
==============================
PART 8.3
规则思路:由于“优先级由高到低排列”,这就给我们提供了3个模块的顺序
1.基础网络应用
2.日常网络应用(针对特定程序和防御特定危害)
3.把关规则(Block All)
在基础网络应用里添加的规则是最基础的协议规则,而日常网络应用则多和较常用应用层程序相关,最后由3个把关规则守住大门,OK,水到渠成。由于金山网盾防火墙的规则也是由上往下添加,故逐步按照1→2→3的顺序添加(以下是为金山网盾防火墙量身定制的温馨规则):(解压密码:帅就是帅)
呃,我尝试纯文本状态下用表格的方式添加规则,有点累,还是直接上吧(注:若无特别说明,则不改动,即遵守默认状态,如添加新规则时默认放行,默认TCP协议等):(最后3条即为把关规则)
1.允许DNS解析,数据协议类型:UDP,对方端口从53到53,其他不变;
2.允许动态IP,数据协议类型:UDP,本地端口从67到68,对方端口从67到68,其他不变;
3.允许SNMP,数据协议类型:UDP,本地端口从161到161,禁用此规则,其他不变;
4.允许本机内循环UDP,对方IP地址:单个地址 127.0.0.1(其实也该指明掩码为255.255.255.0),数据协议类型UDP,其他不变;
5.允许ICMP目的不可达,数据协议类型:ICMP,ICMP数据类型匹配条件:ICMP类型:3(Destination Unreachable),其他不变;
6.路由器请求,数据协议类型:ICMP,ICMP数据类型匹配条件:ICMP类型:10(Router Solicitation),其他不变;
7.数据报超时,数据协议类型:ICMP,ICMP数据类型匹配条件:ICMP类型:11(Time Exceeded),其他不变;
8.允许浏览网页-1,对方端口:从80到80,其他不变;
9.允许浏览网页-2,对方端口:从443到443,其他不变;
10.允许收发电子邮件-1,对方端口:从25到25,其他不变;
11.允许收发电子邮件-2,对方端口:从110到110,其他不变;
12.允许使用BBS、FTP、TELNET服务-1,对方端口:从20到21,其他不变;
13.允许使用BBS、FTP、TELNET服务-2,对方端口:从23到23,其他不变;
14.允许MSN聊天-1,对方端口:从1843到1843,其他不变;
15.允许MSN聊天-2,对方端口:从1863到1863,其他不变;
16.允许BT下载,本地端口:从6681到6890,其他不变;
17.允许PPTP VPN,本地端口:从1723到1723,对方端口:从1024到65535,其他不变;
18.允许L2TP VPN,本地端口:从1701到1701,对方端口:从1024到65535,其他不变;
19.允许IKE VPN,数据协议类型:UDP,本地端口:从500到500,对方端口:从500到500,其他不变;
20.文件和打印机共享TCP-1,数据传输方向:接收,本地端口:从134到139,其他不变;
21.文件和打印机共享TCP-2,数据传输方向:接收,本地端口:从445到445,其他不变;
22.文件和打印机共享UDP,对方IP地址:地址范围 192.168.0.0——192.168.254.254,数据协议类型:UDP,对方端口:从134到139,其他不变;
23.防御冲击波病毒-1,本地端口:从593到593,拦截,日志记录,其他不变;
24.防御冲击波病毒-2,本地端口:从3333到3333,拦截,日志记录,其他不变;
25.防御冲击波病毒-3,数据协议类型:UDP,本地端口:从69到69,拦截,日志记录,其他不变;
26.防御冲击波病毒-4,数据协议类型:UDP,本地端口:从444到444,拦截,日志记录,其他不变;
27.防御冰河木马,本地端口:从7626到7626,拦截,日志记录,其他不变;
28.防御GateCrasher木马,本地端口:从6969到6970,拦截,日志记录,其他不变;
29.防御Back Oriface2000木马-1,本地端口:从51337到51337,拦截,日志记录,其他不变;
30.防御Back Oriface2000木马-2,本地端口:从54320到54321,拦截,日志记录,其他不变;
31.允许Ping出-1,规则描述:回显应答,数据传输方向:接收,数据协议类型:ICMP,ICMP数据匹配条件:ICMP类型:0(Echo Reply),ICMP代码:0,其他不变;
32.允许Ping出-2,规则描述:回显请求,数据传输方向:发送,数据协议类型:ICMP,ICMP数据匹配条件:ICMP类型:8(Echo),ICMP代码:0,其他不变;
33.禁止Ping入,数据传输方向:接收,数据协议类型:ICMP,ICMP数据匹配条件:ICMP类型:8(Echo),拦截,日志记录,其他不变;
34.禁止TCP135端口,本地端口:从135到135,拦截,日志记录,禁用此规则,其他不变;
35.禁止TCP445端口,本地端口:从445到445,拦截,日志记录,禁用此规则,其他不变;
36.允许IGMP协议,数据协议类型:IGMP,其他不变;
37.禁止探测机器名称-1,数据传输方向:接收,数据协议类型:UDP,本地端口:从134到139,拦截,日志记录,其他不变;
38.禁止探测机器名称-2,数据传输方向:接收,数据协议类型:UDP,本地端口:从445到445,拦截,日志记录,其他不变;
39.拦截不在列表中的ICMP消息,数据协议类型:ICMP,拦截,日志记录,其他不变;
40.拦截不在列表中的TCP数据包,拦截,日志记录,其他不变;
41.拦截不在列表中的UDP数据包,数据协议类型:UDP,拦截,日志记录,其他不变。
==============================
基本测试,在Windows旗舰版,32bit下无不良反应,可根据需要自己添加和删减规则,故提供常见端口,根据自己需要选择修改~
附注:前面所提到的ICMP的“模糊规则”,由于考虑到规则的数量也会影响使用性能并没有添加,事实上目前的规则已经足够使用了,如果需要,则可添加诸如路由繁忙(类型4:Source Quench)、重定向(类型5:Redirect)、路由广告(类型9:Router Advertisement)、参数问题(类型12:Parameter Program)、时间戳请求和响应(类型13和14:Timestamp Request&Reply)、地址掩码请求和相应(类型17和18:Address Mask Request&Reply)等等……
|
[复制链接]
发表于 2011-1-15 02:18:05
楼主
这里谢过明镜星空版主的指点了~
发表于 2011-1-15 12:14:15
顺便提点小建议……
没有集成网盾么?