关于毛豆防火墙零零星星的使用方法(3楼增加PDF)

zxzy

黄智琛 发表于 2011-8-27 13:33
这个暑假其实我还有一个第一人
the hips of ESET第一人，优先级神马的我发现滴

很少去ESET逛，杀软区没什么意思……几乎都是什么杀来杀去的，要不就是口水……
你那个ESET的帖子我看到了，不过好长，所以没看完

智琛

zxzy 发表于 2011-8-27 13:42
很少去ESET逛，杀软区没什么意思……几乎都是什么杀来杀去的，要不就是口水……
你那个ESET的帖子 ...

没办法，的确很长
就像U版的帖子一样长到需要多次消化

柯林

黄智琛 发表于 2011-8-27 10:58
现在觉得包过滤已经不是很好用了
还是应用墙来得实在，全局可简单也可复杂
对应用程序规则限制好在锁下 ...

包过滤怎么会过时和不好用？按OSI七层模型，包过滤是最本分最纯正的东西，看厂商能把过滤做得多底层。墙抛开包过滤已经变质了，所谓的复合检测已经模糊了杀软、防火墙、HIPS的界限。真正从网络过滤来看，软墙方面，LNS依旧是王者地位。国内墙，恰恰是包过滤做不上去，所以一直没有像样的东西出品。

智琛

柯林 发表于 2011-8-27 20:08
包过滤怎么会过时和不好用？按OSI七层模型，包过滤是最本分最纯正的东西，看厂商能把过滤做得多底层。墙抛 ...

是，感谢柯大指正。
不过国内厂商如果注重包过滤的话，我想毛豆的墙或许就另类了。

柯林

黄智琛 发表于 2011-8-27 11:14
他的规则还增加了防御部分木马的规则

如果只要求对应用程序进行限制的话，一般对全局不需要太大要 ...

靠端口来防御木马，已经过时了，现在的木马都玩反弹，全部端口都可利用。
包过滤规则，重点在于按以太网传输原理，按数据报文格式层层审查。墙能做到的就这样。至于下载的是病毒木马，交由杀软或HIPS处理。

智琛

柯林 发表于 2011-8-27 20:13
靠端口来防御木马，已经过时了，现在的木马都玩反弹，全部端口都可利用。
包过滤规则，重点在于按以太网 ...

具体防木马，这个还是需要交互的方式来保证。
不知道关于思科的网络您有木关注过？

柯林

黄智琛 发表于 2011-8-27 20:12
是，感谢柯大指正。
不过国内厂商如果注重包过滤的话，我想毛豆的墙或许就另类了。

包过滤是最基本的东西，也是最本分的东西，墙的品质就由这个决定。抛开个人防火墙不谈，服务器用墙，国内出产有世界一流的东东，比如冰盾、傲盾之类，它们可都是纯纯正正的包过滤。

智琛

柯林 发表于 2011-8-27 20:17
包过滤是最基本的东西，也是最本分的东西，墙的品质就由这个决定。抛开个人防火墙不谈，服务器用墙，国内 ...

等到十一或者寒假再去研究包过滤。
以前对包过滤的概念只停留在LNS之类。。

柯林

黄智琛 发表于 2011-8-27 20:16
具体防木马，这个还是需要交互的方式来保证。
不知道关于思科的网络您有木关注过？

没有花费精力在抓包分析之类的事情上，思科没用过。
如果对抓包研究有兴趣，可以和墙区的高手交流，比如ktango、蝦米仔、爱罗忧等。

柯林

黄智琛 发表于 2011-8-27 20:19
等到十一或者寒假再去研究包过滤。
以前对包过滤的概念只停留在LNS之类。。

包过滤涉及两个东东——OSI模型和以太网传输。
互联网按以太网模式进行传输，所有数据打包成以太网帧在互联网上进行传输；发送方层层打包，接收方层层解包；收发数据的过程都要围绕着数据包的检测审核，包过滤是无法回避和废止的问题。不管你是多牛的程序或病毒，放到网络传输来看，只是数据，放到防火墙来看，只是数据包的检测与收发。