卡巴防火墙无法阻止程序入站何解？

FXA8

前段时间发现某国产输入法有不安分的小动作，于是就设了个这样的禁止入站的规则（下面三个允许是信任组默认的，无法单独修改，除非把组规则改了）

然后过了一段时间，今天发现居然又有进站通信了

请问下各位该怎样设置规则才能阻止这东西的入站呢？
对了卡巴的版本是KIS 2015 MR2
==================================================
经过观察该程序入站通信难以复现，所以我就自行结束这个主题，同时感谢@峪飞鹰的解答

峪飞鹰

为什么默认分组的楼主就不能改呢？我这里改得蛮好啊。把所有网络都禁止了，别管进出，他都访问不了的。

FXA8

峪飞鹰 发表于 2015-3-23 10:00
为什么默认分组的楼主就不能改呢？我这里改得蛮好啊。把所有网络都禁止了，别管进出，他都访问不了的。

默认规则只能一刀切，如果禁止全部网络活动后云候选就用不了了

峪飞鹰

FXA8 发表于 2015-3-23 12:59
默认规则只能一刀切，如果禁止全部网络活动后云候选就用不了了

如果想有目的的禁止或者允许部分功能相关的网络请求，那就得做包深度检测了。单纯的端口和进出方向并不能解决问题。看看有没有高手知道如何禁止吧，我目测卡巴好像没有办法做到这样的事情。

FXA8

峪飞鹰 发表于 2015-3-23 13:29
如果想有目的的禁止或者允许部分功能相关的网络请求，那就得做包深度检测了。单纯的端口和进出方向并不能 ...

目前我只是希望能阻止这个程序的入站行为，况且卡巴的防火墙规则设置里也提供了禁止TCP/UDP入站的规则模板，但目前看来没有生效，不知道是卡巴的BUG还是我的设置有问题

峪飞鹰

FXA8 发表于 2015-3-23 14:44
目前我只是希望能阻止这个程序的入站行为，况且卡巴的防火墙规则设置里也提供了禁止TCP/UDP入站的规则模 ...

是啊，我也觉得奇怪。你连接网络是什么状态的？是连上路由还是直接接到公网的？如果是直接接到公网的，才应该有入站请求进来，否则你在路由器后面，理论上除非端口映射，否则是不可能直接TCP入站的。如果是不可入站的网络环境，有入站了，那要么是对方就在你局域网内，要么就是你在路由设备上开了端口映射或者mi-guan主机，否则那就只能解释，卡巴显示错了，其实那是个出站请求。

FXA8

峪飞鹰 发表于 2015-3-23 15:00
是啊，我也觉得奇怪。你连接网络是什么状态的？是连上路由还是直接接到公网的？如果是直接接到公网的，才 ...

我是小区宽带，是直接一根网线从户外连到网卡上的，家里面没有路由器，至于网线另一端连到哪里就不清楚了。这个通信我怀疑确实是入站，因为每次这个所谓的“云计算代{过}{滤}理”检测到入站时，桌面右下角都会弹出XX浏览器之类的推广广告，如果一整天都没有弹出推广广告的话，就检测不到这货的入站连接。所以我猜测厂商那端为了推广而主动向用户端发起通信，所以就会出现入站通信。

峪飞鹰

FXA8 发表于 2015-3-23 15:28
我是小区宽带，是直接一根网线从户外连到网卡上的，家里面没有路由器，至于网线另一端连到哪里就不清楚了 ...

从技术上说，TCP就是双向的，因为出站的数据包要收到入站的ACK才算投递成功，ACK必须入站才能进来，否则通讯就根本完成不了。卡巴在技术上能禁止的，我觉得是入站的连接请求，是在建立网络连接的初始阶段。而入站的连接请求只有发出端在防火墙外面，而不在防火墙内，才能通过策略阻止；而如果请求是先从防火墙内发出的，那外面来的数据包你肯定得放过，不然ACK收不到你就进出都阻止掉了。显然我最后提到的那个“显示错误”就是想说这个，其实你看到卡巴显示的是入站，但请求的发起是先从里面到外面的，应该是一种TCP的穿透技术，如果是这样，你没法禁止，除非完全禁止这个进程发送数据。