请教NAPT路由器通讯方式及CIS8防火墙。

vnix

刚刚安装CIS8，初次使用，很多问题搞不明白。
家里通过路由器连接光猫上网，两台电脑通过网线连接路由器，两部手机和一台电视通过wifi连接路由器。
一方面希望电脑、手机、电视等之间可以方便的互相传送文件，另一方面又担心外网威胁内网安全。所以希望防火墙能允许所有内网通讯，但阻止外网联入，并且当有未经允许的程序企图访问外网时能够询问是否允许。请问该如何设置？

路由器是TL-WR842N，客服说是NAPT模式。请问电脑访问外网某地址时，向路由器发送的数据，是以外网地址为目的地址，还是以路由器地址为目的地址，然后将外网地址作为发给路由器的数据的一部分？

CIS8的防火墙对于家庭网络的全局规则是：


如果电脑访问外网时，向路由器发送的数据包的目的地址是外网地址，那么防火墙应该拦截。但实际使用当中，对于应用程序规则中没有例外的程序也并没有拦截，比如QQ等。
如果电脑访问外网时，向路由器发送的数据包的目的地址是路由器地址，那么防火墙就等于允许所有外联。因为包括外联外网在内的所有数据的目的地址都是路由器地址，对于防火墙而言发送目标都在内网。

kakenhi

电脑访问外网时，发送的数据包当然是以外网IP作为目的地址。
你说的，“如果电脑访问外网时，向路由器发送的数据包的目的地址是外网地址，那么防火墙应该拦截”，不知道你是怎么得出这个结论的，你防火墙规则并没有这样配啊。。
你规则第一条就是允许本机出站，第二条是允许内网计算机入站，后面几条是不响应ping等几种ICMP包。

再说了，“另一方面又担心外网威胁内网安全。所以希望防火墙能允许所有内网通讯，但阻止外网联入”，你这个担心根本没有必要，因为你用的NAT模式，外网计算机对你本机不能入站，只能由你本机出站。除非你在路由器上把本机设为DMZ。

COMODO的没有配过，但是出站询问应该是在防火墙设置里？

另外说一句，TL-WR842N我最近才测过，你最好把那个QSS功能关了，免得你邻居把密码破出来。。。
你需要担心的是内网有没有其他人，而不是来自外网的攻击。

vnix

kakenhi 发表于 2014-12-14 03:20
电脑访问外网时，发送的数据包当然是以外网IP作为目的地址。
你说的，“如果电脑访问外网时，向路由器发送 ...

见笑了，本人防火墙小白。
规则中第一条允许了本机对家庭内目标的出站，但是没有允许对家庭外目标的出站，就不会拦截么？也就是说没有禁止就等于允许？
不能入站我明白，我疑惑的是能否出站。应该不会没有出站的检测吧？以前用过KIS，有程序企图访问网络会弹窗，那是还没用路由器，电脑直接连宽带。现在中间有路由器，win8.1和CIS8都识别为内网，会不会就不检测出站了？包括外网的出站？还是CIS8足够智能，不需要规则就能够识别哪些出站是安全的，哪些是危险的？
既有担心成分，也想学些东西。
没有打开DMZ，QSS也关了，SSID广播也关了，还打开了MAC地址过滤和ARP绑定。

YSJ

感觉好复杂的

kakenhi

vnix 发表于 2014-12-14 04:26
见笑了，本人防火墙小白。
规则中第一条允许了本机对家庭内目标的出站，但是没有允许对家庭外目标的出站 ...

下了一个来测试，终于懂了。
先说全局规则，你说得对，当全局规则没有明确定义允许还是禁止时，则默认为允许。
规则中，越往上的条目，优先级越高。
也就是说，应该在全局规则最后面加上一条，阻止一切通信，然后再在上面增加需要允许的情况。

再说应用程序规则，这东西和全局规则好像是两套独立的系统。一个程序必须同时匹配“全局规则”和“应用程序规则”，才能访问网络。
当防火墙模式为“安全模式”时，所有在应用程序规则中未定义的程序和行为，默认为允许。
当防火墙模式为“自定义规则”，且未选中“不显示弹出警告”这个选框时，在应用程序规则中未定义的程序和行为，会弹窗询问。

反正经我测试，结果就是这样。所以要做到你说的，所有目标地址是外网的出站弹窗询问，所有目标地址是内网的出站允许，这是不可能的。因为“全局规则”貌似跟弹窗无关。如我说的没错，那这个防火墙还真傻、、、

一种比较符合你要求的配置方法：





但这样的话，内网通讯也会弹窗询问了。

另外不见笑。。你可能没学过什么TCP、UDP、IP协议，但显然已经在实践中对它们有了一些认知。如果有兴趣的话，可以买一本《计算机网络 自顶向下方法》来看看。

vnix

YSJ 发表于 2014-12-14 09:08
感觉好复杂的

又见到你了:)
的确很复杂，要学的很多啊……
军迷？军师旅团营连排班

vnix

kakenhi 发表于 2014-12-14 12:24
下了一个来测试，终于懂了。
先说全局规则，你说得对，当全局规则没有明确定义允许还是禁止时，则默认 ...

感谢如此耐心负责的回答！
“当全局规则没有明确定义允许还是禁止时，则默认为允许。”也就是说，即使外网入站也默认允许？那太可怕了。其他防火墙也是如此规定的么？
你的全局规则中，因为规则有优先级，那么先允许内网任何进出，然后允许任何出，最后阻止除此以外的任何进出。最终实现的是，内网进出自由，外网只出不进，这似乎等于是重复了路由器防火墙的作用。
另外，会不会应用程序规则优先级高于全局规则？

YSJ

vnix 发表于 2014-12-14 18:31
又见到你了:)
的确很复杂，要学的很多啊……
军迷？军师旅团营连排班

不是军迷

kakenhi

vnix 发表于 2014-12-14 18:55
感谢如此耐心负责的回答！
“当全局规则没有明确定义允许还是禁止时，则默认为允许。”也就是说，即使外 ...

虽然全局允许了，但“应用程序规则”中，即使在安全模式下，对未定义的入站连接也会弹窗询问。这是我后来发现的。所以上面说的应该改一下：
当防火墙模式为“安全模式”时，所有在应用程序规则中未定义的入站行为，弹窗询问。未定义的出站行为，默认允许。
当防火墙模式为“自定义规则”，且未选中“不显示弹出警告”这个选框时，在应用程序规则中未定义的所有行为，都会弹窗询问。

哎，COMODO这样搞真让人蛋疼。。。。

vnix

kakenhi 发表于 2014-12-14 23:44
虽然全局允许了，但“应用程序规则”中，即使在安全模式下，对未定义的入站连接也会弹窗询问。这是我后 ...

我取消了“不显示弹出警告”，防火墙仍然是安全模式。正在研究你的答复，毛豆自己发言了……
两次弹窗，一次是手机管理工具要求访问网络，一次是迅雷看看要求访问网络。我允许了第一个，阻止了第二个，并且选择了记住我的选择，然后去防火墙的应用程序规则里看，果然有了两个新建的规则。
看来毛豆还是很聪明的，对于向外网的出站能够弹窗并建立规则。就是不知道如果勾选了“不显示弹出警告”，毛豆根据什么判断是否应该放行。