查看: 33257|回复: 123
收起左侧

[教程] 关于毛豆防火墙零零星星的使用方法(3楼增加PDF)

  [复制链接]
智琛
发表于 2011-8-25 19:33:36 | 显示全部楼层 |阅读模式
本帖最后由 mxf147 于 2011-12-16 16:28 编辑

      暑假眨眼之间又要过去了,零零星星的在这个暑假再次恶补了关于网络方面的知识,也重读了TCP/IP协议,这篇文或许就算是为这一个暑假来学到的做个总结,也为暑假的网络生活画上一个华丽的句号。饭友们,别失望,期待着下次我华丽的转身吧。

My body is free,and my mind is free, too.
The future is too far to touch,we only can do better in another way.
Stay Hungry. Stay Foolish.

                                                ——preface


      求知若饥,大智若愚。生活中我们应当如此,在网络方面的学习也应当如此。下面就把这一个月来自己对防火墙再次学习和对毛豆防火墙的理解来把零零星星的东西写在一起。也算是进行再复习。

一:学习毛豆防火墙之前,必须要了解的知识

出于毛豆的特殊设计,我们在了解其它东西之前,还是先要了解毛豆防火墙的优先级。

COMODO规定,不管是出站还是进站都要经过“全局规则”和“预定义规则”双重过滤,只是对于出站和入站的优先不一样,具体如下:
出站:程序→预定义规则→全局规则→网络
入站:网络→全局规则→预定义规则→本机
比如说QQ要出站,首先在发起出站请求,然后经过预定义规则(跳出弹窗,或已有自定义规则),再经过全局规则总体限制,如果二者都允许,最终就可以接入网络,出站成功。
而p2p软件,比如迅雷要入站,从物理层往应用层发送请求,但要先通过全局规则的限制,然后预定义规则(弹窗,提示是否允许,或已有自定义规则),如果二者都允许,则可以向本机发送数据,入站成功。

全局规则和程序规则都是从上至下生效,越上面的规则越优先。
附上图片,更加清楚的了解




必须要了解的东西:

1.什么是TCP/IP 协议?
TCP/IP协议(Transmission Control Protocol/Internet Protocol)叫做传输控制/网际协议,是Internet国际互联网络的基础。

TCP/IP是网络中使用的基本的通信协议。虽然从名字上看TCP/IP包括两个协议,传输控制协议(TCP)和网际协议(IP),但TCP/IP实际上是一组协议,它包括IP、TCP、UDP、ICMP、ARP等,而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。通常说TCP/IP是Internet协议族,而不单单是TCP和IP。

Note:对于毛豆的墙来说,IP,TCP,UDP,ICMP都可以比较完美的应对和设置,但就目前来看,毛豆防ARP的能力实在是令人难以恭维,如果大家需要防ARP的话,还是需要一款专业的ARP墙。具体我就不推荐了。

2.什么是IP、TCP、ICMP、UDP?
IP (Internet Protocol),网际协议;IP是TCP/IP 的最底层,高层协议都要转化为IP包,IP包含了源地址和目的地址,路由决策也发生在IP层;

TCP (Transmission Control Protocol),传输控制协议,一种运行于 IP 之上的、可靠的、面向连接的传输层协议。TCP运行在IP之上,是基于数据流连接和面向的协议,应用程序把数据要经过TCP/IP的分割成若干包,这样数据就以字节流发送和接收,到达目的地后,TCP/IP 再按顺序进行组装。TCP/IP 要保证机器与机器之间的连接的可靠性,还要有纠错。TCP是否被选择,取决于应用程序或服务。
Note:TCP在目前还是是一种比较可靠的通信协议,“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性,每个TCP连接都要先经过一个“握手”过程来交换连接参数,而成功的通信需要三次“握手”,所以虽然可靠,但是稍慢。一般浏览器较多应用TCP。由于确定数据包的传送路径还不够,还需要保证传输过程中,数据的完整性,所以就有了TCP协议。
TCP协议提供了可靠的面向对象的数据流传输服务的规则和约定。简单的说在TCP模式中,对方发一个数据包给你,你要发一个确认数据包给对方。通过这种确认来提供可靠性。网络上常见的服务:WWW、FTP、SMTP等都是TCP协议。


UDP (User Datagram Protocol) ,用户数据报协议 ,一种运行于 IP 之上的、不可靠的、无连接的传输层协议。象TCP一样运行在IP之上,是基于数据报或分组的协议,UDP/IP 可以直接发送和接收数据报文,而不必做验证,这一点与TCP/IP 不同。
Note:相对TCP来讲,UDP就显得比较快捷,因为是两个需要通信的机子直接通信,但是数据报文不经验证,检查,具体可靠度就不如TCP,但是由于速度原因,所以很多软件都较多应用了UDP,比如QQ等。

ICMP (Internet Control Message Protocol),网际控制消息协议
;它包括了数据包的错误、控制等相关信息。比如ping 命令就是利用ICMP来测试一个网络的连接情况的工具。这个一般不考虑,但是在毛豆的墙中需要加以考虑。

在互联网上,区分每台计算机是使用IP地址, IP协议和路由就是为了将数据包(Packet)发送到正确的主机。


3.什么是端口(Ports)

互联网上的每台电脑都有自己的唯一IP,信息的传递就在不同IP之间。
由于一台电脑要运行很多不同的程序,只有IP是不够的,系统不知道将这个数据包分配给哪个具体程序。
于是,为了区别不同的程序,系统就为程序分配不同的端口,数据的传输就是在两台电脑两个端口间进行。
简单的说不同的端口可以代表不同的程序,同一个程序可以使用不止一个端口。

TCP/IP协议中的端口指的是什么呢?如果把IP地址比作一间房子 ,端口就是出入这间房子的门。真正的房子只有几个门,但是一个IP地址的端口 可以有65536(即:256×256)个之多!端口是通过端口号来标记的,端口号只有整数,范围是从0 到65535(256×256)。

计算机上的端口,理论上有0-65535个,按TCP和UDP协议分,则TCP端口和UDP端口各有65536个。

在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。

【本地高端口(活动端口)的选择,精确一些的话,选常用端口即可。xp的常用端口是1024-5000,vista的好像是49512-65535。一般情况下,偷懒的话,直接选满档1024-65535即可。注意,域名解析的规则,一定要选1024-65535,因为微软的补丁变来变去的,一会儿是常用端口,下一个补丁来了可能又变成50000以上的大端口】

尽管 UDP 和 TCP 使用端口, ICMP 则不使用.
端口号也许会经常在网站的地址中被看到. 在默认情况下, HTTP 使用 80 端口, HTTPS 则使用 443 端口, 不过像这样的 URL "www.baidu.com:8000/blah/" 将尝试连接到一个使用 8000 来代替 80 端口进行工作的 HTTP 服务器.

有IP但是一个程序想要正常的使用,即做它需要做的行为,操作,就必须要有端口的限制。
还是以Q为例,比如端口TCP4000为Q的客户端
UDP8000,8001,8080,9001,8414,4000负责Q的UDP文件传输
TCP8000,12000负责Q的TCP文件传输

这只是在用毛豆的墙时需要了解的,更多的关于端口的知识请看C大的这篇普及贴http://bbs.kafan.cn/forum.php?mod=viewthread&tid=288698

Note:端口没有安全性。没有不安全的端口,只有不安全的服务(程序)。

连接的双向性和4个重要参数
单向的发送数据包是不可能建立一条连接
通常使用浏览器访问一个网站,是本机启用一个大于1024的随机端口,发送数据包到服务器的服务端口,通常是固定80端口。
服务器再将我们需要的资料,由80端口,返回本机建立连接的随机端口。
于是有下面4个重要参数:
来源IP ( Source Address )
目的 IP ( Destination Address )
来源端口 ( Source Port )
目的端口 ( Destination Port )

毛豆现在的版本的端口隐藏三个选项,都已经隐藏了端口,端口的检测时都是隐藏的。可通过Pcflank测试。

4.什么是DNS
要找到指定的主机,我们用到IP; 要传输数据,需要TCP、UDP、ICMP。
问题是IP地址是很难记忆的,于是我们使用了主机域名来解决这个问题。
普通用户可以通过 bbs.kafan.cn 来访问网站,而不需要输入IP地址。

实际上,这中间有一项服务:Domain Name System (DNS),将域名转换成IP地址。
个人电脑必须向域名服务器(DNS:Domain Name Server)查询IP地址,然后浏览器才会根据返回的IP地址,连接相应的主机服务器。

DNS 是我们经常用到的协议,一旦在防火墙阻止,就不能正常上网了。
如果未禁用DNS Client服务,域名解析是由svchost进程进行域名解析的;
如图:

如果禁用了该服务,就得启用应用程序本身的域名解析功能,这就需要在规则中添加上一条允许本机高端口【1024-65535】出站连接【方向出】远程UDP【UDP协议】53端口的规则。【域名解析的作用,是把域名翻译成IP地址,因为计算机的网络通信只认IP地址,如果没有域名解析功能,当我们输入www.kafan.cn的时候,浏览器就不知道它要连接的是什么地址,结果就会报错而无法访问。


我们可以做个测试,如果将svchost的规则中的DNS解析去掉,看看还能不能正常打开网页。现在是可以链接www.baidu.com的,上图一张,并将规则中的DNS解析去掉



去掉DNS解析之后,果然不能链接任何网站了。


现在大家应该知道DNS解析的作用了吧。

二:认识毛豆防火墙



毛豆的墙的任务中有:查看防火墙事件,查看活动连接,端口隐藏向导,指定一个新的拦截程序,制定新的可信应用程序,防火墙行为设置,网络安全规则。共由七个部分组成。

查看防火墙事件
这个就是查看防火墙日志的,可以在这里打开,也可以通过在主界面,防火墙到目前为止已拦截(数字)拦截,单击那个数字,也同样可以看到日志。操作图示:



单击打开后我们就可以看到日志了:



在论坛上经常可以看到坛友们这样的提问:“Windows Operating System 经常被拦截,这是攻击我的么?”
如图:


答案当时是否定的。在毛豆的日志里Windows Operating System 表示防火墙拦截的未经许可,不请自来的数据包(unsolicited packet),就是垃圾数据包。这些数据包无非是违反了规则被拦截,或者是不符合协议、或者超时被SPI引擎拦截。

如果这种日志太多怎么办呢?
禁止,禁止后无任何影响。
禁止方法:
Windows Operating System——双击它 自定义-套用-被拦截的应用程序-修改 去掉“如果触犯规则,记录”前面的√。如果没有,就自己新建一条规则,按照上面。

Windows Operating System日志的产生,一般来讲会有两种情况:
1.应用程序产生的日志,记录一些共享、下载软件关闭后无效的连接请求。解决方法:在具体的应用程序规则中添加Windows Operating System,规则设为, 阻止ip出/入,不记录日志。
2.全局规则产生的日志。一般是由最后一条阻止ip入或出/入引起的,关闭该条日志记录即可;如果要单独过滤某类日志,可以写阻止规则不记录日志放在最后一条上方。
这个V5版本默认不勾选,如何操作,上图:



查看活动连接
这个操作方法也很简单,可以直接单击,也可以在主界面单击连出或连入前的数字。查看正在通讯的连接。

端口隐藏向导
这个共有三个选项可供选择,但是推荐选择第二项。如图



Note:毛豆的这个隐身模式可以将毛豆变成一个可以再在ip协议上隐身的防火墙。在这种情况下别人很难检测到你的存在,你更被保护为不会被探测到机器的各种信息,并且不受各种端口扫描的威胁了。

有一个老问题,需要说明,就是如果开了毛豆的隐身,现在都任何一个选项都可以,但是却发现,114那种工具箱还是可以检测到自己的ip,很多签名档都是,用那些显IP的工具,在Q上好友还是可以看到自己的IP,这难道是隐身失效了?这是对防火墙隐身的误解,隐身并不能完全阻止这些信息泄露,因为隐身的原理是:仅允许已经建立的连接(即你目前开着的连接)进行通信,或者是:阻止主动地入站连接。

换句话说,只有是当你被动的时候,即有未知或不允许的入站要求时,隐身模式才起作用,阻止这样的连接,这样就可以防止各种端口扫描行为、ping探测等等。

但是qq好友显ip工具、网页图片探测ip,这些就不是上述情况了,这些则是你主动和人家建立连接了,比如浏览网页时,是用户主动通过80端口建立连接,那么就不在隐身所需要管辖的范围内了。

举个例子:
隐身模式就是你主动给我打电话,我接了,我就知道是你打的。如果我不接,你就不知道我在还是不在了。


其他的主要项就不再多说了,很简单。下面就主要对真正的设置毛豆墙规则的网络安全规则进行讲解。

网络安全规则打开后内分:应用程序规则,全局规则,预定义规则,网络区域,拦截区域,端口设置。

前面我们已经了解过这些东西了。
下面就直接说吧。

关于这个端口设置,其实就是个习惯问题,为什么这么说呢?因为具体设置预设规则或者是应用程序规则的时候,如果一个程序需要访问多个端口,如果不设置端口组的话,就需要设置多个规则,因为选择单个端口时,不支持“,”分开,所以建议提前预设好端口组,设置规则时比较方便,而且默认的就有,但不很详细,我用的是伊修的规则,就把伊修的贴上来,再次感谢伊修。

端口设置
预览图:


TCP开放端口
18888
端口范围18000-18003

UDP开放端口
18888
端口范围19000-19003

本地监控端口
135
445
500

HTTP端口
端口范围80-83
443
554
843
8080

POP3/SMTP端口
110
25
143
993
995
465
587

特权端口
端口范围0-1023

系统动态端口I
端口范围1024-5000

系统动态端口II
端口范围49152-65535

DNS本地端口
端口范围1024-5000
端口范围49152-65535

所有动态端口
端口范围1024-65535

系统更新端口
80
443


网络区域
这个也是为了后来设置规则时方便所设
通常分为:DNS服务器地址,本地网络区域,本地网关地址,本地广播地址,局域网信任区域,Loopback区域,非法源地址,自动识别出来的网络
当然,这个比较灵活,可根据个人情况而定,仅供参考。
预览图

DNS服务器地址
IP 8.8.8.8
IP 8.8.8.4
再根据自己情况修改

本地网络区域
IP在192.168.1.0/255.255.255.0

本地网关地址
IP 192.168.1.1

本地广播地址
IP 192.168.1.255

局域网信任区域
根据自身情况修改

Loopback区域
IP在127.0.0.1/255.0.0.0

非法源地址

自动检测到的

必须知道的特殊IP地址
一、0.0.0.0
  严格说来,0.0.0.0已经不是一个真正意义上的IP地址了。它表示的是这样一个集合:所有不清楚的主机和目的网络。这里的"不清楚"是指在本机的路由表里没有特定条目指明如何到达。对本机来说,它就是一个"收容所",所有不认识的"三无"人员,一律送进去。如果你在网络设置中设置了缺省网关,那么Windows系统会自动产生一个目的地址为0.0.0.0的缺省路由。

二、255.255.255.255
  限制广播地址。对本机来说,这个地址指本网段内(同一广播域)的所有主机。如果翻译成人类的语言,应该是这样:"这个房间里的所有人都注意了!"这个地址不能被路由器转发。

三、127.0.0.1
      本机地址,主要用于测试。用汉语表示,就是"我自己"。在Windows系统中,这个地址有一个别名"Localhost"。寻址这样一个地址,是不能把它发到网络接口的。除非出错,否则在传输介质上永远不应该出现目的地址为"127.0.0.1"的数据包。

四、224.0.0.1
   组播地址,注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机, 224.0.0.2特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了IRDP(Internet路由发现协议,使用组播功能)功能,那么你的主机路由表中应该有这样一条路由。

五、169.254.x.x
  如果你的主机使用了DHCP功能自动获得一个 IP地址,那么当你的DHCP服务器发生故障,或响应时间太长而超出了一个系统规定的时间,Wingdows系统会为你分配这样一个地址。如果你发现你的主机IP地址是一个诸如此类的地址,很不幸,十有八九是你的网络不能正常运行了。

六、10.x.x.x、172.16.x.x~172.31.x.x、192.168.x.x
  私有地址,这些地址被大量用于企业内部网络中。一些宽带路由器,也往往使用192.168.1.1作为缺省地址。私有网络由于不与外部互连,因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时,要使用地址翻译 (NAT),将私有地址翻译成公用合法地址。在Internet上,这类地址是不能出现的。

有类网络
IP地址的第一个字节       归属网络
1-127         A类
128-191     B类
192-223     C类


保留的私有网络地址
下面的一些网络地址是私有的,只能通过NAT转换为公网地址才能访问Internet

地址范围                                        网络类

10.0.0.0-10.255.255.255              A类
172.16.0.0-172.31.255.255          B类
192.168.0.0-192.168.255.255      C类
127.0.0.1-127.255.255.255          回环地址



拦截区域
屏蔽一个IP或网段,也可以屏蔽一个不想访问的网站

如何屏蔽一个不想访问的网站呢?这个直接在拦截区域中选择添加一个新的拦截地址,然后选择主机名,输入地址栏中的地址,然后不需要前缀,比如要拦截www.baidu.com,只需要输入baidu.com就可以了。不支持通配符,操作方式如图,以拦截百度为例:







如果需要清楚的知道所要拦截的IP,这样就能够拦截了。前面说过了,所能识别的都是IP,那么想要拦截的网站肯定也是通过拦截IP,但是网站都是域名,不是么?怎么才能拦截呢?这个时候我们需要用命令行下ping+网站即可。
比如说我们要拦截某一网站。那么就在运行处输入cmd打开命令行,然后输入ping 网站域名,就可以看到网站的IP了,然后将其加入拦截区域,就可以发现此网站不能访问了,不过这个针对固定IP的网站比较有效,比较大的网站服务器分布不同,IP也很难查询到,此方法就不太好用了,网通和电信同一个网址解析解释出来的IP不一样,部分大网站,比如新浪服务器,多次解析都有可能不一样,并修改此贴,加入方法。同理得其他网站也是如此。

下面就给出ping 网站的图示,以百度为例:



然后在拦截区域中添加一个新的拦截地址,选择一个ipv4地址或网段。ipv6的选择ipv6的地址或网段即可。
终于找到了一个,解析出http://www.360safe.cn/网站的IP为75.126.107.49
自己在拦截区域中添加拦截ipv4地址,拦截这个IP,如图:




成功拦截。

Note:拦截IP地址的话,要比拦截主机名的速度更快。原因就是中减少了一次解析。各有千秋,拦截主机名基本能适应各种网站,IP的话比较有限制性,所以可以根据情况选择。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8魅力 +1 人气 +7 收起 理由
cfz246 + 1 很给力!
mxf147 + 1 版区有你更精彩: )
萧剑 + 1 版区有你更精彩: )
zxzy + 1 又update了
jiao轩 + 1 ~

查看全部评分

智琛
 楼主| 发表于 2011-8-25 19:35:01 | 显示全部楼层
本帖最后由 黄智琛 于 2011-8-27 08:18 编辑

三:防火墙规则

在正式写全局规则与预定义规则和应用程序规则之前,我想我还是引用下jp的这个例子来对上面所说过的协议,地址,端口进行简单形象的回顾。

程序不用说了,我们所用的软件就是一个一个的程序。假设我们的电脑是一座大厦,那么一个个的程序就是一个个的房客。程序的路径就是房客的房间所在位置了。地址,也就是IP地址。这是我们上网所必须的,也是最重要的东西。听说过谁没有IP地址就能上网的吗?肯定没有吧。IP就是电脑这座大厦在网上的门牌号(xxx路yy街zz大厦……)。为什么朋友发的QQ表情会显示在我的电脑上,怎么没有跑到别人电脑里面去呢?很显然,从朋友电脑流出的数据包肯定有方法来识别我的电脑,靠什么识别,就是门牌号IP了。那端口呢?端口就是一道道门了。我们的电脑并不是独门独户的小院,而是个有着65536个大门的大厦。数据包跑到IP这里了,也得知道往那个门里送啊。不然我这里QQ聊天窗口忽然出来一个压缩包,表情却跑到迅雷,快车里面去了,那不乱套了么!协议呢?协议就好比是交通工具,是骑自行车来,还是坐出租车来。自行车要走自行车道,出租车要走出租车道。

OK,这样看来,互联网就一个大大的城市。有很多人住在这里,每个人都有一间房子,每个房子都有一个门牌号。一个个的网站就好像是一间间商店,食品店。有的卖报纸(新闻网站),有的卖影碟(电影网站)…………我们生活在这个城市里面。当我买报纸的时候,有送报纸的小弟踩着单车(协议)给我送报纸,我也可以开着车(协议)去朋友那边,跟朋友交流(QQ,MSN)


毛豆作为一款比较完善的专业防火墙,不仅可以对程序规则进行设置,也可对全局规则进行设置,还有预定义规则(可以在出现弹窗时很方便的进行选择)。但是对于毛豆墙的具体处理机制,到现在也没讨论出个所以然,国际论坛上也是如此,因为毛豆墙的部分东西是内置的,所以我们这些普通用户无法得知,但这对我们的使用影响并不大。

对于防火墙来说,要管理进出的数据,是一个总管,也相当于一道门,想进来或者出去都要经过检查。但是以前部分防火墙只防外不防内,比如说XP系统墙,可是现在的防火墙都已经比较完善了,即可防外又可防内。

1.全局规则
首先我们来看看全局规则:
毛豆默认的全局规则为(不同模式有不同规则):


毛豆每个规则在开启后,只要你联网,它都会自动检测到一个新的网络,私有网络,所以全局之上会有一个新的规则,即保证本机网络可以正常的规则。允许所有外连,如果目标是在检测到的网络,私有网络;允许所有接入,如果发送者是检测到的网络,私有网络。如图:


我们来看下生成的这两条规则的具体情况:



协议均为IP,因为我们在前面也已经了解到,必须要有IP才能上网,而这两条规则一个是入,一个是出,就保证了正常的网络通信。
Note:有时候有的坛友套用了别人的防火墙规则,发现不能上网,这个时候可能按照规则说明的修改了部分也不能上网的话,可以考虑下是不是由于没有这两条规则,如果有的话仍然不能上网,就看看是不是检测到的新的网络,私有网络的IP范围不对。这两条规则是比较重要的,确保成功上网。

全局规则其实有时候也没有必要设置的太严厉,因为程序要成功运行,终究要落脚到应用程序规则上。但是全局规则严厉一些也无妨。
如果您是新手,不要求过于严厉的规则话,可以参考柯大的设置,稍微对全局进行加强。加上三条规则稍微设置下即可。

具体的设置方法:首先在端口设置中添加两个新的分组,并按照下一步的图示:添加端口,


然后在全局规则中新增两条规则,如图:




设置完成后如图:


如果对全局规则要求比较高的用户,大家则可以试试下面的规则


下面是我的全局规则参考伊修,更多的需要用户参与,而不是3q的那种严格控制。
图中的部分规则一般用不到就不多说了,在这里说明下:[A2]使用VPN  这个伊修的规则支持的不太好,也不常用,具体对于VPN的设置3L再写。
UPNP应答I和UPNP应答II由于我本人不使用这种设备,不用Wi-fi所以对这一点几乎没有涉及,就不多解释了。
局域网共享本机,我自己是外网,而且没用路由,所以这点略过。

具体的就不多说了,上图更清楚:
[S1]非法源地址连入
记录日志
阻止IP入,源地址:网络区域为非法源地址

[S2]指定源地址连入
阻止IP入,源地址:网络区域为指定连入源地址

[S3]发送RawIP数据报
记录日志
阻止IP出,Ip细节为Raw Ip

[S4]发送多播数据报
阻止IP出,目的地址为ipv4子网掩码

[A1]资源预留



[A3]使用DHCP
允许UDP出,从源端口68到目的端口67

连入TCP开放端口
允许TCP入,目的端口,一系列端口为TCP开放端口

连入UDP开放端口
允许UDP入,目的端口,一系列端口为UDP开放端口

ICMP回显应答
阻止ICMP出,ICMP细节为ICMP回显应答

连入本地监控端口(TCP/UDP)
记录日志
阻止TCP/UDP入,目的端口,一系列端口为本地监控端口

[B1]日志过滤(TCP/UDP) - 动态端口<——动态端口
阻止TCP/UDP入,源端口和目的端口均为一系列端口所有动态端口

[B2]日志过滤(TCP/UDP) - 连入80端口
阻止TCP/UDP入,目的端口为80

[B3]日志过滤 - 迅雷
阻止TCP/UDP入,目的端口为16001

[C1]特权端口连出(TCP/UDP)
允许TCP/UDP出,源端口,一系列端口为特权端口

[C2]动态端口连出(TCP/UDP)
允许TCP/UDP出,源端口,一系列端口为所有动态端口

[C3]ICMP使用ping
允许ICMP出,ICMP细节为ICMP回显应答

[D1]ICMP全部进出
阻止ICMP出/入,其余任意


全局规则基本到此结束。下面主要来说说应用程序的规则。

2.应用程序规则
主要的系统进程防火墙规则。
根据微软的说明,以下进程是可以有网络访问行为的。一般大家就是用个svchost和自动升级的那个wuauclt,具体的取舍,自己定吧。
svchost.exe的:
Svchost的规则其实就是1、解析 2、DHCP 3、时间同步 4、更新 5、Upnp
53端口解析
67、68端口DHCP
123端口时间同步
80、443升级
1900端口UPNP





spoolsv.exe的:
1、协议为UDP,方向为出站,目的地址是LOCAL NETWORK,目的端口是SNMP
2、协议为TCP,方向为出站,目的地址是LOCAL NETWORK,目的端口是9100
3、协议为TCP,方向为出站,目的地址是LOCAL NETWORK,目的端口是PRINTER
4、协议为UDP,目的地址是DNS SERVERS,目的端口是DNS

lsass.exe的:
1、协议为UDP,方向为入站,源端口是1026-5000
2、协议为UDP,方向为出站,目的端口是389
3、协议为TCP,方向为出站,目的端口是636
4、协议为TCP,方向为出站,目的端口是379,389,390,3268,3269
5、协议为UDP,方向为出站,目的端口是88
6、协议为TCP,方向为出站,目的端口是88
7、协议为UDP,目的地址是DNS sercers,目的端口是53
8、协议为TCP,方向为出站,目的地址是LOCAL NETWORK,目的端口是1025-1100
9、协议为TCP,方向为出站,目的地址是LOCAL NETWORK,目的端口是135
10、协议为UDP,方向为入站,源端口是500

wuauclt.exe的:
1、协议为TCP,方向为出站,目的端口是3128,8080,8081,8088,8888
2、协议为TCP,方向为出站,目的端口是443
3、协议为TCP,方向为出站,目的端口是80-83
4、协议为UDP,目的地址是DNS sercers,目的端口是53

alg.exe的:
1、协议为TCP,方向为出站,目的端口是21
2、协议为UDP,目的地址是DNS sercers,目的端口是53
3、协议为TCP,方向为入站

常见的应用程序的规则
IE浏览器的:
1、协议为TCP,方向为出站,目的端口是8000,8001
2、协议为UDP,方向为出站,目的端口是5005
3、协议为TCP,方向为出站,目的端口是3128,8080,8081,8088,8888
4、协议为TCP,方向为出站,目的端口是HTTP接口
5、协议为TCP,方向为出站,目的端口是83
6、协议为TCP,方向为出站,目的端口是FTP
7、阻止IP,方向为出/入



opera:
1、协议为TCP,方向为出站,目的端口是8000,8001
2、协议为TCP,方向为出站,目的端口是3128,8080,8081,8088,8888
3、协议为TCP,方向为出站,目的端口是HTTP端口
4、协议为TCP,方向为出站,目的端口是85,88,90【常规HTTP】
5、协议为TCP,方向为出站,目的端口是83
6、协议为TCP,方向为出站,目的端口是FTP
7、协议为TCP,方向为出站【允许本机1024-65535到远程任意端口的出站连接】
8、阻止IP,方向为出/入



QQ的(可以正常登陆,收发文件):
1、协议为TCP,方向为出站,目的端口是8000,12000
2、协议为UDP,方向为出站,目的端口是8000,8001,8080,9001,8414,4000
3、协议为TCP,方向为出站,目的端口是一系列端口为HTTP端口
4、协议为UDP,方向为入站,源端口是13942,允许它
5、阻止IP,出/入



QQ 游戏的:
1、协议为TCP,方向为出站,目的端口是8000,12000
2、协议为UDP,方向为出站,目的端口是8000,8001,8080,9001,8414,4000
3、协议为TCP,方向为出站,目的端口是8000,8001
4、协议为TCP,方向为出站,目的端口是一系列端口为HTTP端口
5、阻止IP,出/入(这个属于限制,也可以选择询问)


迅雷5.9的(Thunder7同理):
1、协议为UDP,方向为出站,目的地址是Gateways【允许发射UDP数据到网关】
2、协议为UDP,方向为出站
3、协议为TCP,方向为出站,目的端口是一系列端口为P2P软件端口
4、协议为TCP,方向为出站
5、协议为ICMP,允许它
6、协议为TCP,方向为入站,目的地址是MY COMPUTER,本地端口是HTTP【该条应该是迅雷上的bt组件的tcp服务端口的规则】
7、询问IP,出/入


最后就是预设规则
3.预设规则

Web Browsers
1、允许IP出,目的地址,网络区域为Loopback区域
2、允许TCP出,目的端口是一系列端口为HTTP端口
3、允许TCP出,目的端口21
4、允许TCP出,排除目的端口是一系列端口为特权端口
5、允许UDP出,目的端口53
6、阻止IP出入
6个步骤的名字看图:


仅允许ping出(这个是用cmd拿来查看网站IP或者测试时候用的)
1、允许ICMP出,ICMP细节为回显请求
2、允许UDP出,目的地址,网络区域为DNS服务器地址。源端口,一系列端口为DNS本地端口。目的端口53
3、阻止IP出入,记录日志
名称看图:


只有外连(限制)
1、允许TCP/UDP出,
2、允许ICMP出,ICMP细节为回显请求
3、阻止IP出入,记录日志
名称看图:


只有外连(全部)
1、允许IP出
2、阻止IP出入,记录日志
名称看图:


完全信任
1、允许IP出入

仅DNS解析
1、允许UDP出,目的地址,网络区域为DNS服务器地址。源端口,一系列端口为DNS本地端口。目的端口53
2、允许UDP出,允许UDP出,从源端口68到目的端口67,目的地址,ipv4单个地址为255.255.255.255
3、阻止IP出入,记录日志

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3经验 +20 人气 +3 收起 理由
mxf147 + 20 很给力!
超现实主义 + 1 明天来详细学习
zxzy + 2 版区有你更精彩: )

查看全部评分

秦王扫六合
发表于 2011-8-25 23:17:19 | 显示全部楼层
终于等到开贴了
占位学习
超现实主义
发表于 2011-8-25 23:22:25 | 显示全部楼层
我怎么看不到图片?
一双拖鞋
发表于 2011-8-25 23:46:30 | 显示全部楼层
暂未学习,权限不是255的?
zxzy
发表于 2011-8-26 00:17:37 | 显示全部楼层
来晚了。  赶紧看看,学习学习
mxf147
发表于 2011-8-26 00:48:49 | 显示全部楼层
占了3层楼,希望像ESET Hips那个贴子一样有内涵,加油,小智琛
462588842
发表于 2011-8-26 02:42:41 | 显示全部楼层
新手表示………我看不懂
智琛
 楼主| 发表于 2011-8-26 11:45:46 | 显示全部楼层
超现实主义 发表于 2011-8-25 23:22
我怎么看不到图片?

昨天晚上并未添加图片,权限不小心开了。个人疏忽
智琛
 楼主| 发表于 2011-8-26 11:46:16 | 显示全部楼层
mxf147 发表于 2011-8-26 00:48
占了3层楼,希望像ESET Hips那个贴子一样有内涵,加油,小智琛

恩啊。华美的句号,华丽的转身。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:45 , Processed in 0.166420 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表