卡巴防火墙包过滤设置详解与最强模式!(最新补充)

type_tan

如果不考虑被注入系统正常进程，免杀的木马，或者说卡巴的文件扫描和主动防御，强大的达到楼主理想的程度，就像楼主说的： "感染问题,   从不在本人考虑范围之内!"。
那么可以说楼主的包过滤规则，是强悍，因为楼主建立的包规则，无非出于这么一种建立规则的思路：
1、首先阻止一切TCP、UDP的对内、对外连接。
2、允许已知的常见服务的对内、对外连接（例如HTTP访问），并优先于规则1。

这种当然是理论上的强，可是这种设置有意义吗？你在防护和方便之间，又是如何权衡的呢？如果只要安全，你完全可以只打开出站的远程80端口，浏览浏览网页就算了。

举些例子吧：

例子一：
[PacketRule]
Name禁止远程UDP端口
Enable=1
Allow=0
Log=0
Warning=0
Protocol=UDP
Direction=OutboundStream
RemotePort=81-99, 150-442, 444-999, 1000-2120, 2122-3075, 3077-3898, 3900-5199, 5201-6199, 6201-7999, 8000-9999, 10000-65535
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
这是楼主包规则中的一条，处了上述端口，你封了几乎所有出站的UDP端口。按你的规则，我开了emule就下不来东西了。你知道为什么吗？ 因为对许多内网用户，用P2P穿越NAT进行互联的原理就是，要通过向对方发送UDP包，告知对方自己的外网IP（即对外的路由器IP地址），对方才能穿越NAT进行连接，你才能从不同的p2p用户哪里下载到东西。而emule各个用户，设置的监听UDP端口，都是个人随机设置的，而你向对方这些端口发送UDP包通知时，就是出站的UDP了，而这些端口恰恰都被楼主的这条规则的阻截了。其他用户也就不知道我这个用户的存在了，无法建立连接，我当然什么就下不到了。

如果不靠单独的程序规则，就需要把这条包规则中封的出站端口都打开，楼主的这条规则完全就废了。

例子二：
[PacketRule]
Name=禁止本地TCP端口
Enable=1
Allow=0
Log=0
Warning=0
Protocol=TCP
Direction=InboundStream
LocalPort=1-10000

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
这也是楼主包规则中的一条。这样做，你岂不是就无法成为TCP建立连接时的服务器端了吗？而我们常常还是要listening一个端口，作为服务端的。一个简单的例子，局域网内的文件共享，用的是139端口，我要把文件共享给别人，就需要允许别人向自己机器的139端口的连接请求，即入站的TCP连接。而也被你这条规则阻止了。就又需要修改这条包规则，或者添加单独的程序规则。


还有很多软件，很多应用场景都不符合楼主的包规则，当然都向楼主似的只看看网页，聊聊QQ，这规则是可以。

可能楼主又会说，规则是死的，人是活得，特殊情况特殊处理，你可以增加单独的程序规则吗？可是如果增加了太多的程序规则，哪我就有个很大的疑问了：你的防火墙到底是以包规则为主，还是以程序规则为主了呢？你的这种包规则有了那么多例外，还有意义吗？

By the way：楼主一直强调自己的规则多么完美，如何如何强悍，受攻击的可能性为0。。。
这种强调绝对安全的言论，毫无价值。要知道，永远没有绝对的安全!

23tg33g073

学习了~~~~~~~~~~~`

xqiafl

无任何实际意义的讨论！　

本本里的笔记

纯粹学习....

haoaaahaomaa

好不容易才看完，感觉比较迷茫，不过觉得楼主很强，有点舌战群儒的感觉哈
还得看几遍，深入学习，好为我所用，我正好用的za
感谢楼主的辛勤劳动

as23

谢谢了。下了好好学习了。感觉自己没设置好。卡巴还是有些不足。

wuzhenxiang1

呵呵

海洋王子

花了2个多小时，仔细看完了楼主的文章和所有的讨论。

我用的是kis7.0，然后导入规则，防火墙分别设置：最低、学习、安全、最高模式。结果：最高模式不能上网。而其他模式，正常上网。

淘宝旺旺启动时，弹出规则设置页面，重新登陆显示这是风险软件，我选择拒绝，正常登陆。

其他暂未作测试。

秋山听雨

不错了！！挺好~

海洋王子

用迅雷下载软件，无法下载。
出现提示：无法解析。

我是菜鸟，用了楼主的规则，正常上网，迅雷不能下载。请问如何修改规则？

谢谢——

[ 本帖最后由 海洋王子 于 2007-12-29 10:28 编辑 ]