【转帖】Win8以上x64系统用火绒补强系统墙讨论

1094947421

所有非红字内容皆为转帖，原帖作者：Rosa真紅  原帖：http://bbs.huorong.cn/thread-3355-1-51.html

首先我为何说系统墙安全性差 因为系统墙就是个公交车
在假定不设置阻止所有传入连接不用WFC或换第三方墙的情况下 用HIPS禁止篡改设置在注册表中搜出10条与防火墙有关的项
于是就弄出了这个
  
其中

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EventLog\System\Microsoft-Windows-Firewall\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System\Microsoft-Windows-Firewall\*
这两条是日志所以没加
选定的有八条
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{????????-????-????-????-???????????}Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\*
HKEY_USERS\S-1-5-21-??????????-??????????-??????????-????\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{????????-????-????-????-????????????}Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\*
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\WindowsFirewall\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Defaults\FirewallPolicy\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\*
分别是 GPO 组策略 用户策略 供还原的默认配置各两项
GPO 组策略 默认配置是一般软件不会去动的项 放在“系统墙配置基本”
用户策略需要对c:\windows\system32\svchost.exe信任 放在“系统墙配置信任” 谁有兴趣可以把svchost.exe一般不会写的项继续分割
由于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\中的FirewallRules
是一般软件要写的项 会弹窗 所以把这一项分割出去了
分割出去的放到一个“系统墙配置静默” 不询问直接阻止
这名字是乱起的
注意这是讨论帖不是规则发布
邀请懂系统墙的人对这个规则吐槽例如 只阻止FirewallRules中数据带有|Dir=In|的键 不阻止数据带有|Dir=Out|的键
通过键名称匹配我会 通过键的数值匹配就不会了 连出的规则虽然默认不生效但是可以做参照
我是安全感匮乏综合症患者 即使设置了组织所有传入连接还装OPF开了双墙的情况下还是缺乏安全感 这规则也是我自己用的
为什么我等火绒2.5才把这个拿出来？ 早整理出来了 因为2.0自定注册表规则在我电脑里不生效
我参照的规则库（不是成品规则）http://bbs.kafan.cn/thread-1443664-1-1.html
-------------------------
我就是想问问，这个规则咋样，有用吗？

幽冥の龙

人家说自己有被害妄想症你也有啊？

防火墙防黑客攻击的…… 一般个人电脑黑客吃饱了撑的来攻击你…… 黑客也很忙的啊，有个联网监控就够了

1094947421

幽冥の龙 发表于 2014-12-2 19:33
人家说自己有被害妄想症你也有啊？

防火墙防黑客攻击的…… 一般个人电脑黑客吃饱了撑的来攻击你…… 黑 ...

折腾呗。

HEMM

真红姐姐的防患于未然规则？
嗯.......布吉岛！没用过火绒，你就先用着吧。外网的话，找个防火墙测试网站测试一下看看。
薄荷大神曾经给过我测试网址，被记忆力8好的我忘记了.......

1094947421

HEMM 发表于 2014-12-2 19:48
真红姐姐的防患于未然规则？
嗯.......布吉岛！没用过火绒，你就先用着吧。外网的话，找个防火墙测试网站 ...

那好吧，先用着，我现在是规则收集控了。

HEMM

1094947421 发表于 2014-12-2 20:10
那好吧，先用着，我现在是规则收集控了。

火绒有安静模式吗？我是指没有弹窗，自动阻止，日志记录。没用过火绒，好奇！

1094947421

HEMM 发表于 2014-12-2 21:36
火绒有安静模式吗？我是指没有弹窗，自动阻止，日志记录。没用过火绒，好奇！

有免打扰模式，没有弹窗，自动阻止。
这规则除了静默规则，其他我删了，都是询问规则，我根本看不懂，不知道选允许还是阻止，还是删掉清静。

realraul

开双墙难道不和装两个杀软一样，有ofp就可以了，我是scep+ofp+emet+uac最高，禁用所有不需要的服务，windows server 2012 r2开机后就40个进程。

大不了

我想问一下楼主，火绒和W8的兼容性能如何？

1094947421

大不了 发表于 2014-12-3 12:32
我想问一下楼主，火绒和W8的兼容性能如何？

因为火绒没在微软注册，而win8以上的权限管理比较严格，所以在win8.1x64上，火绒的通讯防护和arp防护是不可用的（已经默认隐藏，如果火绒到微软注册了那就能用了）。之前火绒在我电脑上存在在一定条件下导致监控失效的情况，昨天更新了版本，对此做了修复，目前还未实验是否真正解决。目前已发现，流量监控对应用程序限速（上传和下载），是不起效的。暂未发现别的。