查看: 8207|回复: 27
收起左侧

[技术原创] McAfee VSE可以作为简单高效应用程序防火墙

[复制链接]
大猫熊
发表于 2013-5-12 12:15:09 | 显示全部楼层 |阅读模式
本帖最后由 大猫熊 于 2013-7-29 18:01 编辑

我们知道咖啡的规则包含文件、注册表和端口防御。目前大家用的比较多的主要是文件防御和注册表防御。对于端口防御,因为其对通配符和路径的支持有些小问题(见此贴),而很多功能都能用防火墙实现,所以应用的不太多。不过,对于追求安全和简洁的同学,咖啡的端口规则可以实现一个强大的功能,即限制应用程序的联网权限。

以下的文章适用于单奔咖啡配合系统防火墙的同学。如果安装了第三方防火墙,比如毛豆的,可以忽略,因为毛豆也能很方便地管理应用程序。我们知道,Windows 7之后的防火墙实际上防御效果很好,但是对于防内却有一个致命的缺点:无法提示被阻止的程序。往往刚开启了防内功能,就直接上不了网了。

端口规则的优势:简单,优先级高,六亲不认,方便管理。

我的思路是:系统防火墙防外,咖啡规则防内。作为防外的系统防火墙,保持默认设置即可。只要有任何Inbound连接,防火墙都会弹窗提示的。

咖啡的规则有两条:

P-01 防止未知程序联网
包含:*.*
排除:AliIM.exe, AlipaySafeTran.exe, AliUpdater.exe, chrome.exe, cpuz.exe, dropbox.exe, evernote.exe, firefox.exe, FlashPlayerUpdateService.exe, foobar2000.exe, goagent.exe, googleearth.exe, googletalk.exe, googleupdate.exe, iexplore.exe, itunes.exe, lingoes.exe, mcsacore.exe, mcscript*, mcshield.exe, mctray.exe, mDNSResponder.exe, msfeedssync.exe,PicasaUpdater.exe, PotPlayerMini.exe, python27.exe, qq.exe, QQProtect.exe, QQProtectUpd.exe, rundll32.exe, saUpd.exe, scan64.exe, SGDownload.exe, SGTool.exe, SogouCloud.exe, SogouComMgr.exe, sohunews.exe, svchost.exe, thunder.exe, ThunderLiveUD.exe, thunderplatform.exe, txupd.exe, upnp.exe, userNetSchedule.exe, wermgr.exe, WINWORD.EXE, wmpnetwk.exe, XmpTipWnd*.exe (一切联网进程)
端口:0-65535
方向:出站
设置:阻挡、报告

这条规则的作用是,对未知的进程联网产生触红报告,供我们判断。这里面的进程也包括我们不想联网的进程。在上面的规则中我加入了一些我自己的排除。在我的电脑上已经基本不会触红,大家可以改一改,满足自己的要求。注意,所有联网进程都应该加入。

P-02 阻止非信任程序联网
包含:sohunews.exe, XmpTipWnd*.exe (所有你不想联网的进程)
排除:无
端口:0-65535
方向:出站
设置:阻挡

这条规则的作用就是阻挡你不信任的进程联网,比如我上面的规则中写的两个,一个是搜狗的广告,一个是迅雷的广告。这条规则不勾选报告。

这两条规则是有优先级的,当进程出现在这两个规则中时,P-02会优先起作用,阻挡你不信任的进程联网,而P-01则不会被触发,也就不会产生触红报告。

因此,这两条规则的用法是,当咖啡触红时,查看日志,将进程加入P-01,如果不信任该进程,则同时加入P-02。

这两条规则将会在不久的将来发布在我的规则中。






Google Chrome beta
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36



欢迎访问我的博客:http://www.alexyang.me

评分

参与人数 2经验 +15 人气 +1 收起 理由
jone_jys + 1 这个可以有。。。
心跳回忆 + 15 感谢提供分享

查看全部评分

qpzmggg999
发表于 2013-5-12 13:17:55 | 显示全部楼层
这两条规则将会在不久的将来发布在我的规则中


期待

另外我建议 VSE虽然可以管理APP网络 但是对于入侵防护 还是需要装专业防火墙的 比如HIP,SEP  
而且第三方墙可以默认规则了 无需折腾防火墙规则 app这方面有vse控制 第三方只控制入侵
蓝核
发表于 2013-5-12 13:25:06 | 显示全部楼层
我同意楼上,我对于咖啡的理念,仍然是上帝归上帝,凯撒归凯撒
rlx
发表于 2013-5-12 13:25:18 | 显示全部楼层
老版要有新规则了么      其实 一般系统墙就不错  VSEP就不错
大猫熊
 楼主| 发表于 2013-5-12 15:48:06 | 显示全部楼层
qpzmggg999 发表于 2013-5-12 13:17
期待

另外我建议 VSE虽然可以管理APP网络 但是对于入侵防护 还是需要装专业防火墙的 比如HIP,SEP  ...

同意,入侵防护属于防外,肯定是需要专业的防火墙的。

不过我的网络环境是有一个路由器在外面,所以黑客应该攻击不了?






    McAfee VirusScan Enterprise 8.8 P3
    Google Chrome beta
    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36
    qpzmggg999
    发表于 2013-5-12 15:55:49 | 显示全部楼层
    大猫熊 发表于 2013-5-12 15:48
    同意,入侵防护属于防外,肯定是需要专业的防火墙的。

    不过我的网络环境是有一个路由器在外面,所以黑 ...

    路由器无用 该扫一样扫 不过路由器本身会有防火墙
    jone_jys
    头像被屏蔽
    发表于 2013-5-12 16:25:47 | 显示全部楼层
    P-02的规则一旦成型后,直接在P01里面将其全部删除之,然后关闭报告。。。。。
    大猫熊
     楼主| 发表于 2013-5-12 17:31:33 | 显示全部楼层
    jone_jys 发表于 2013-5-12 16:25
    P-02的规则一旦成型后,直接在P01里面将其全部删除之,然后关闭报告。。。。。

    这样可能会有个问题,假如装了新程序,可能连不了网又不知道怎么回事~

    P-01的作用其实就相当于防火墙的弹窗警告。

    如果不装新软件,当然没问题。






      McAfee VirusScan Enterprise 8.8 P3
      Google Chrome beta
      Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36
      大猫熊
       楼主| 发表于 2013-5-12 17:32:25 | 显示全部楼层
      本帖最后由 大猫熊 于 2013-5-12 17:33 编辑
      qpzmggg999 发表于 2013-5-12 15:55
      路由器无用 该扫一样扫 不过路由器本身会有防火墙


      我不是太懂,按理说黑客扫描那个IP地址,实际上扫描的是路由器的各个端口,如果要入侵我的电脑,怎样才能成功?要先攻破路由器?我这里是路由器端拨号然后分享到其他电脑。电脑不是直接暴露在外网。






        McAfee VirusScan Enterprise 8.8 P3
        Google Chrome beta
        Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.81 Safari/537.36
        w99308702
        发表于 2013-5-12 17:37:46 | 显示全部楼层
        支持,赶紧加入P-02 阻止非信任程序联网规则,哈哈
        您需要登录后才可以回帖 登录 | 快速注册

        本版积分规则

        手机版|杀毒软件|软件论坛| 卡饭论坛

        Copyright © KaFan  KaFan.cn All Rights Reserved.

        Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:32 , Processed in 0.132164 second(s), 18 queries .

        卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

        快速回复 客服 返回顶部 返回列表