加强规则（更新8-4）

123mmm

en

123mmm

2008R1SP2X86(相当于vista)系统不能更新，D+无日志
下面是防火墙设置及相关日志

1.更新组套用HTTP规则

2.svchost.exe

1、域名解析  行为允许 协议UDP 方向出  源端口1024-65535  目标端口53
2、DHCP服务  行为允许 协议UDP 方向出  源端口68  目标端口67【有的规则直接写成源端口67-68，目标端口67-68，目的是同时适用于客户端与服务端】
3、时间同步 行为允许 协议UDP 方向出  源端口123  目标端口123
4、系统更新 行为允许 协议TCP 方向出  源端口1024-65535  目标端口80和443【不用系统更新的删掉】
5、UPNP 行为允许 协议UDP 方向出  源地址任意 目标地址239.255.255.250 源端口1024-65535  目标端口1900【不用upnp可以不设】
6、扎口袋 行为阻止 协议TCP/UDP 方向出/入  【从严厉的角度讲，协议应选IP，如果不清楚它是否使用ICMP协议，那就选TCP/UDP即可】
扎口袋的作用，是阻止不必要的弹窗——不在前面规则设定允许之列的一律阻止，不要再来弹窗询问。

3.system规则

日志

柯林

123mmm 发表于 2012-6-17 11:02
2008R1SP2X86(相当于vista)系统不能更新，D+无日志
下面是防火墙设置及相关日志

svchost.exe已经包含在默认自带的系统更新组，默认规则已经配给允许IP出的规则，不用自己再去制定额外规则

在HIPS发挥作用的情况下，你要考虑的是如何防止病毒木马注入正常进程，而不是如何把防火墙弄到最严以求堵绝所有威胁，这是不对的，应该是D+的作用>防火墙，防火墙只是防御网络攻击和最后的防线，无须对常用程序特别是系统程序弄得太严——就算它是木马下载器，下一万个病毒进来，首先要过的一关是D+；至于担心正常程序偷传用户文件或密码，那是无用的：1、你怎么知道它传的是什么内容？2、你允许它装钩子听键盘了，还怎么禁得住它？3、你能确认它所连接的每一个IP地址的可靠性——跨省还可以，跨国不就？

123mmm

柯林 发表于 2012-6-17 21:20
svchost.exe已经包含在默认自带的系统更新组，默认规则已经配给允许IP出的规则，不用自己再去制定额外规则 ...

没注意到已经包含有规则，已经删除，能更新了。谢谢柯大

1248663054

谢谢了  一直都在学习毛豆~~~

123mmm

123mmm

光上 传图片忘 了说，有几项过不了，规则中应该加点什么？
谢谢

柯林

123mmm 发表于 2012-6-23 01:17
光上 传图片忘 了说，有几项过不了，规则中应该加点什么？
谢谢

看日志排除

123mmm

晕，上传图片这么多门道
请看136#

柯林

123mmm 发表于 2012-6-23 12:17
晕，上传图片这么多门道
请看136#

抱歉。老虎版通过，默认规则的CPF也通过

这规则沙盘开了限制级，进沙盘应该只有DDE一项不通过，请把com接口改成*监控即可；不进沙盘，能拿高分，一点问题都没有——不进沙盘就是信任该文件，自动列为白名单程序（按默认规定，白名单应该全允许，CLT测试应该拿零分）