卡巴防火墙包过滤设置详解与最强模式!(最新补充)

xqiafl

封掉本地1-10000. 并不是从本质上封死了.  只是封了从外到内,这一过程的.本地端口.

而从内到外. 的这一本地端口.  事实是,一个都没封.  所以,基本上不存上服务开不了问题!

  可以做测试的!!

这个不影响任何程序使用的.   因为.本人从七月吧. 就开始就卡巴7.0KIS.

  一直是使用的这个规则包.  期间,没出过任何问题.     

  机子上面, 常用的有: QQ.  IE.  迅雷(这个速度方面完全没影响). IIS.  

  差不多.  就这些了.      这个规则包的思路,是不同于, 其它防火墙的.

  其它很多防火墙, 根本,就没区分. 出站流,和入站流..  所以, 一封, 就会导致问题不断.

  但, 卡巴和ZA  它们是区分出站流和入站流.   可以对, 出站流和入站流,  设置两个规则包.

  互不影响!   

  设置的理论就是:  从外到内,  本地可全封.    从内到外.  外网除常用端口外. 也可全封. 本地不能封.

   这样,  就有两种规则包了.   往往,本地运行的程序, 是不受"从外到内"  这个规则包的影响的!

  也就是,不受1-10000 这个,本地,TCP 端口,全封的影响!!   这个从外到内的作用, 事实上,也就只有,

  单纯的防攻击而己.    并不会,对本机,造成什么影响!! 它就起个防攻击功能.

[ 本帖最后由 xqiafl 于 2007-10-17 23:32 编辑 ]

ppp000ooo

学习了

世纪经典

又学到了很多东西

7sumetai

LZ，你只要试验一下emule就知道了……
为什么迅雷没有影响？因为迅雷自身协议是无关出站的，上传的多少与下载毫无关系，所以你测试迅雷毫无问题。而emule的积分机制关系到了只有高上传才能有下载，你的规则包必然把emule的出站流都给挡了，怎么可能下到东西呢？
而且，你这个规则包，只能防御一下小白型的工具黑客——那种不懂得设置端口的小白，只要改改反弹连接的端口，你这个什么规则包就废掉了，不是我打击你，用这样子的包过滤武装KIS与画蛇添足无异了……
能够拥有突破KIS主动防御+防火墙的木马同时又会白到不懂得改反弹端口的黑客……呃，碰上了这个你该去买彩票了

[ 本帖最后由 7sumetai 于 2007-10-17 23:51 编辑 ]

gmxj11

不错，学习一下教程。

xqiafl

我已经写的很清楚.

  这个规则的盲区, 就在于80,  443  21  . 这种端口上面!

  其它的,  黑客改一个, 也是在封的范围, 改两个,还是在封的范围.

   迅雷之所, 没被拦截. 是因为. 本人把迅雷服务端的端口. 过滤掉了!

   这个emule  也许如你如说, 被拦截了.  但,我前面已经说过了.

   使用其它程序,请更据,自身的情况,   去重新更改外网端口.

  你仔细看看,本人封的外网端口.  本人就是想到了,黑客会改端口.

  所以, 才会把外网端口.批量封杀.. 目的,就是为了防这个!

czcl1230

飘过,又学到些好东西.

ALEXBLAIR

额，这样的阿
卡巴的防火墙其实用单纯的包过滤会有很大的效率和实用性的问题。
你的规则的确可以防止外联的探测，不过，卡巴默认的隐藏模式已经可以做到这点了。
其实，你可以倒过来做，就是把出去的端口做一些小小的控制，
正如大家知道的那样，木马是随机端口的，其实很多浏览器和qq也是随机端口的，所以封闭一些比较高位的端口是没有关系的（ff/opera/qq/都可以自己找空闲端口开）。

不过，要真的做到有效率，外联才是重要的，这就要做单独程序的规则了，做完后开到高安全。这样就防止莫名其妙的程序访问外端口（钩子或注入获权的反弹木马可以用卡巴自带的主动防御和文件完整性弥补）

对于网站的一般扫描测试，其实这个规则只是把隐藏模式的内容量化，属于重复操作了


另外，之前提到的那个icmp规则上的标示错误希望修改一下。

这些建议
希望对楼主在其他防火墙上的应用也有所帮助

[ 本帖最后由 ALEXBLAIR 于 2007-10-18 11:44 编辑 ]

sexing

让暴风雨来得更猛烈些吧！

毁灭天魔

看了下，有点迷糊，看来得多看几遍