sep防火墙相关

じ☆策马奔腾

一、首先，不得不说的是，sep防火墙很安静，弹窗也相对较少，功能也很强大，但是只要是软件总会有少量误报，或者不是误报但我希望放行的程序。
二、有误报没有关系，重要的是能否解除误报。
下面本文将分析sep的常见规则，及误报解除的方法。
首先，我们需要了解显示防火墙处理规则、防火墙设置和入侵防护设置的顺序。

优先级	设置
第一	自定义 IPS 特征
第二	入侵防护设置、通信设置及隐藏设置
第三	内置规则
第四	防火墙规则
第五	端口扫描检查
第六	通过 LiveUpdate 下载的 IPS 特征

上述表格表明，防火墙优先会用内置规则来处理，其次才是用防火墙里面的一条条的规则来处理。
那么，什么是内置规则呢？


这张图上的就是内置规则。至于防火墙里的规则相信大家都知道了。

其次，我们要了解sep管理端的防护墙规则和sep客户端规则的差别。
sep管理端的防护墙规则如下：


sep客户端规则如下：


仔细对比，你会发现管理端的条目要多，并且管理端最末尾是有block_all规则的。
因此，我做出一些猜测，客户端的规则的条目应该有很多是隐藏的。这就是我们有时候去看拦截日志，发现怎么有个block_all规则，但是客户端规则列表里面去没有的缘故。

防火墙的规则优先从上面开始匹配，如果上面某条规则匹配上了，就不往下走了，但是如果上面没有规则匹配，最后一定会被隐藏的block_all规则匹配。

那么，应该怎么排除误报呢？
一、被防火墙规则拦截。
笔者的做法是防火墙的最开头添加一条允许所有通信的规则，然后添加进去你信任的程序。


二、被默认规则的拦截。
笔者也无力了，貌似只要不勾选那三个就可以了，但是不勾选的话，貌似会影响防火墙性能。
比如2015/6/28 星期日 13:30:01        已禁止        10        传出        ETHERNET [type=0x88CC]        0.0.0.0        01-80-C2-00-00-0E        0        0.0.0.0        00-26-22-BB-76-E3        0        C:\Windows\system32\DRIVERS\mslldp.sys                Default        1        2015/6/28 星期日 13:28:57        2015/6/28 星期日 13:28:57        默认规则       
这个貌似不太好排除。


最后，笔者想咨询一下：
不装防火墙，会影响到sep的其他功能吗？比如insight、文件信誉、sonar、入侵防护啥的？有没有跟防火墙联动的模块？

尘梦幽然

不会联动，SEP防火墙是曾经收购sygate的。其他组件都是STAR自研的。
至于诺顿的话，全部组件都是STAR自研。

病娇鬼畜萝莉控

sep和诺顿的墙有神马不同、