ESET使用指南3——网络防护[个人防火墙]

fireherman

ESET使用指南3 网络防护 Version 1.3

序

本文原先应该由@renyifei 和@qftest 两位来承继的，然而……这两个懒汉纵情声色、游山玩水，完全把我们一众卡饭好基友们抛诸脑后，就是所谓的有异性没人性。 大家要拍就拍他们俩，不要打我，我是最无辜的。 由于楼主相关知识水平有限，只是个半吊子，文中难免会有错误……不……是一定会有错误，希望大神指正，同时请勿打脸。 原本等ESET 10版后才搞这个指南，但细心一想：即便10正式版上架，使用先前版本的应该不在少数，且ESET版本间的差距未必是飞跃性的距离（病毒库组件通用，版本不同）；10版的库文件将由DAT改为DLL模块，如有大区别，则再修改。

前言

下载页面（中文官网） http://download.eset.com.cn/download/detail/?product=ESS8 下载链接（64位简体中文） http://download.eset.com/download/win/v8ess/ess_nt64_chs.msi 备用连接：ess_nt64_chs.msi (90.46 MB) 下载链接（32位简体中文） http://download.eset.com/download/win/v8ess/ess_nt32_chs.msi 备用连接：ess_nt32_chs.msi (80.24 MB) 下载页面（英文官网） https://www.eset.com/int/home/smart-security/#download 下载链接（64位英文） https://download.eset.com/com/es ... st/ess_nt64_enu.msi 备用连接：ess_nt64_enu.msi (89.32 MB) 下载链接（32位英文） https://download.eset.com/com/es ... st/ess_nt32_enu.msi 备用连接：ess_nt32_enu.msi (78.87 MB) 既然是《网络防护》，那么文中所提到的ESET版本自然是带有【防火墙】的ESS版 版本号：ESET Smart Security (TM)  8.0.319.1 这是ess 8最后一个版本，也是最稳定的版本。之所以不使用ess 9，还是那句： ESET个人版逃不过奇数版本蛋疼的法则，4.2、6、8、甚至即将上场的10都有机会成为经典版本。 而9版本……听得最多的是：卡开机、卡网页、卡……

ESET的网络防护模块包含【网络】和【Web 和电子邮件】两部分，其中： 【网络】：主要是个人防火墙 【Web 和电子邮件】：主要使用Web访问保护/协议过滤 主面板： 高级设置： 那么下面就以这两部分开始基础教程吧。

qftest

fireherman 发表于 2016-10-8 18:51
快给我看看写的内容是否有错，方便我尽快修改。

我没玩过ESET的防火墙啊
最多只能给你几条规则丰富下教程内容好装x：

禁访ip 95.163.88.209

联网黑名单
阻止
C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\Syswow64\cscript.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\hh.exe
C:\Windows\SysWOW64\hh.exe
C:\Windows\winhlp32.exe
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
C:\Windows\System32\lsass.exe
C:\Windows\System32\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\System32\taskhost.exe
C:\Windows\System32\wsqmcons.exe
C:\Windows\explorer.exe
C:\Windows\SysWOW64\explorer.exe

fireherman

目录一

（一）个人防火墙：相关术语

对于一个ESET（及其他防火墙的）初用者来说，最困难的莫过于打开防火墙的页面，看着一堆莫名其妙的“专业名词”，什么协议、什么端口、什么IP地址等等，这些东西到底是干什么的？如何设置这些东西呢？ 实际上，现在的软件讲求的是易用性、可见性，就好比现在的Visual C++、Visual Basic都提供了“可视化界面（UI）”，而不需要像年代久远的Quick Basic，Turbo C 那样，人手一行一行来编写。 同样地，ESET的防火墙（规则）也提供了可视化的界面，当然……该手动填写的还是需要填写，这样也方便自己的管理。 和HIPS（规则）一样，起码要知道什么是AD，FD，RD规则；要学会设置防火墙，必须要搞清楚一些术语和概念。 【卡饭】有防火墙专区，大家可以去看看：http://bbs.kafan.cn/forum-19-1.html ESET防火墙规则界面：

ESET防火墙规则定义界面术语 方向（图1） 图1 包括[出站][入站][两者]，就是谁向谁发送连接请求。 出站：你的系统向外发送连接请求（例如使用FireFox浏览器访问卡饭，就是你的电脑向卡饭的服务器发送连接请求） 入站：外网的设备向你的系统发送连接请求（除非是信任连接，否则是高危行为） 两者：两者相互发送连接请求（远程协助就需要这种“双向互相请求连接”，不信任的连接同样是高危行为） 正常情况下只应该有[出站]请求，除非是特殊且已信任的程序（例如P2P），否则不应该有[入站]请求。 操作（图1） 包括[拒绝][允许][询问] 和ESET的HIPS一样，对于同一个规则，优先级是 拒绝（不弹窗）>允许（不弹窗）>询问（弹窗） 这种优先级是为了提升用户的体验，避免过多的弹窗，但同时……由于[允许]高于[询问]，所以必要时先选择[拒绝]，可避免受到攻击。 协议（图1） 下拉菜单会显示很多协议；但最常用的协议只有3个：TCP/UDP/IPv6 协议内容可自行百科：https://zh.wikipedia.org/wiki/TCP/IP协议族 协议+端口 就组成应用传输，见下面的【端口】 应用程序（图2） 图2 该规则所对应的程序，一个程序可以建立（应用）多条规则，但一条规则只能对应一个程序。如果留空，则该规则对应所有程序。（注：和HIPS不同，此处不支持任何通配符） 端口（图2 和 图3） 图3 简单来说，这里说指的端口是端口号，总共65356个（十进制表达式：0-65355；十六进制表达式：0000-FFFF） 协议+端口 就组成应用传输方式，常用： HTTP(TCP协议+80端口) HTTPS(TCP协议+443端口) FTP（TCP协议+21端口）等等 因此，有时某人说，为什么我打开浏览器无法打开网页，但QQ却可以正常通信，原因就是他们分别使用了不同的协议和端口，因为网路、软件设置等导致HTTP/HTTPS被封锁，但QQ使用的UPD协议却能通信。 地址（图2 和 图3） 就是远程计算机的IP，每台计算机的每一个网络都分配一个IP，大致上分公网IP（HighID）和内网IP（LowID）两种，公网IP可以直接和远程计算机（例如网站服务器）通信，内网IP无法直接访问外网的IP（例如一条网线通过路由器分配给多台电脑使用，那么每台电脑只能分配到路由器给的内网IP），必须要通过各种方式（例如映射）才能“出海”傲游网络世界。 理论上可以通过拒绝本地程序访问（出站）远程计算机/服务器 IP（或者IP段） 达到屏蔽某个网址的目的，但由于ESET的防火墙规则只支持数字IP地址，而不支持域名地址（例如卡饭的域名地址：http://bbs.kafan.cn），故而此方法不如另外一个模块（Web防护模块）那么简单易用，下面Web地址防护会说到。 但其有针对性的IP地址（段）屏蔽方式，可以达到局部屏蔽的目的（例如QQ的弹窗），这点又是Web防护做不到的。

（二）个人防火墙：相关设置

随着Windows版本的更新替代，微软在防火墙方面加大了设计力度，从Windows7开始，Windows自带的防火墙摆脱了XP（及其以前版本的）防火墙是个花瓶（摆设）的恶名，向专业安全递进。甚至有人说，其他防火墙都要被扫地出门了。 这点我不敢苟同，如果说微软（Windows7开始）自带的防火墙是因为和系统的极度契合而放弃其他防火墙，无疑有失偏颇。 微软自带的防火墙兼容性最高是毋庸置疑的（因为人家有其【源代码】，哪家杀软公司都不及微软对自身防火墙的了解更深入），但同样地，任何一家杀软自带的防火墙都没有（包括微软在内的）那么兼容自身的杀毒/防护模块；同样的道理：因为人家有其杀软自身的【源代码】。 ESET自带的防火墙也一样：没有任何一家的防火墙和ESET自身的杀毒/防护兼容性最高，因为人家有其杀软自身的【源代码】。 ESET自身的防护/杀毒模块 + ESET自身的HIPS + ESET自身的防火墙 只要设置得当，而用户不作死（随便添加信任，随便下载未知的软件，随便双击可疑的文件），基本上可以达到非常高的防护能力。 ESET高级设置：个人防火墙 界面： 过滤模式[设置优先级] 说明：该模式让用户使用默认方式来处理未定义规则的通信行为 （规则包括ESET内部定义规则和用户自定义规则） 自动模式 规则 > 默认允许 交互模式 规则 > 默认询问 (在没创建自定义规则前使用该模式，会出现非常多的弹窗，此时可以下拉其弹窗手动创建规则) 基于策略的模式 规则 > 默认拒绝 学习模式 规则 > 允许并创建其通信规则 防火墙用户配置文件 留空即可，如果想设置类似分组的处理，可自行定义。 高级防护功能 两个都要勾选上，且默认值也是勾选的。 ESET高级设置：个人防火墙[规则与区域] 界面： 信任区域 包含本机IP和已经设置了的DNS地址IP等，ESET会自动加载，如果是多台电脑共享一个IP，点击进入配置 区域和规则编辑器 ESET个人防火墙设置的重中之重，本机所有（程序的）网络通信均可在此处进行编辑（就是所谓的写规则）；【学习模式】所创建的规则也在此处。 4楼会有实例说明：本贴4楼 规则编辑器显示的信息 该选项不影响规则的内容和执行，只是给用户提供不同的显示方式而已；在规则编辑器内可打开右键菜单修改。 ESET高级设置：个人防火墙[IDS和高级选项] 这里采用ESET默认设置即可，就说说其中两个选项 允许桥接通信 默认不勾选（除非特殊用途，否则也不应该勾选） 简单来说就是把两台计算机直接通过网桥串联起来互通，天朝的特色：连电信营运商自己都搞流氓（DNS污染），你敢直连？ 记录所有被阻止的连接 如果在主页面的[日志]太多，如使用ADSL时，会不停地在[日志]里刷DNS投毒，可以去掉此勾选 说明：该选项的优先级低于规则里设置的日志，所以一般情况下可以去掉勾选，而在规则里独立勾选日志。 ESET高级设置：个人防火墙[IDS例外] 可以留空，让规则去完成；也可以设置检测，天朝的网络……你懂的。 ESET高级设置：个人防火墙[学习模式] 默认即可 ESET高级设置：个人防火墙[应用程序修改检测] 除非有特殊需求，否则留空（不添加排除的程序） ESET高级设置：个人防火墙[系统集成] 选择[启动所有功能] ESET会接管系统的防火墙 ESET高级设置：连接视图 主面板的视图，可在主面板右键菜单里随时修改

fireherman

目录二

（三）Web 和电子邮件：Web访问保护

先简单说一下【电子邮件客户端防护】 现在使用电子邮件客户端（如Windows的OutLook）已经很少，多数情况下是通过浏览器开启电子邮箱账户，在浏览器（http/https协议）内进行电邮通信。 所以这里的设置用默认值即可，如果是使用[电子邮件客户端]的，主要是设置[ThreatSense引擎参数]。 注：[ThreatSense引擎]被ESET多个模块调用（实时防护，手动扫描，电子邮件客户端等），每一个模块可以设置不同的参数。

ESET高级设置：Web访问保护 这里主要设置[ThreatSense引擎参数] 因应个人需求进行设置即可，例如是否需要脱壳扫描。 ESET高级设置：Web访问保护[HTTP, HTTPS] 就是常说的【流量扫描】 例如正在下载的一个文件，被ESET扫描出有病毒木马，ESET就会中断其连接。 ESET高级设置：Web访问保护[URL 地址管理] 设置网址的白名单和黑名单 这里所设置的网址只能使用域名地址[如http://www.baidu.com/或者*.baidu.com/*]，如果使用前置通配符，则包含所有协议，不能使用IP地址[如123.123.123.123]或者数字地址[如3444888] 此功能对“著名大户”（的屏蔽）特别有效，因为其域名本身就有很高的品牌价值，不会随便更改（例如四位数字.com，差321.com）；可作为广告屏蔽软件的手段。 但对小众网站就比较乏力（特别是钓鱼网站），因为其会随时转换域名地址；因此要屏蔽较为小众的网站，使用防火墙规则更有效。（更改IP地址通常都需要更换服务器，犯罪成本会增加）

（四）Web 和电子邮件：协议过滤

这里只说一下SSL协议检查。

简单来说，如果不是选择[不扫描SSL协议]，ESET就会进行SSL协议（证书）的扫描和排除。 现在的浏览器（如FireFox和Chrome）自身就有验证证书的功能，如果开启ESET的SSL扫描，就算浏览器通过证书（可访问网站），而ESET未排除的话；网站的内容一样会被阻止（无法浏览），此时可通过添加信任来进行排除。

详细的证书说明请自行百科：https://zh.wikipedia.org/wiki/电子证书

fireherman

目录三

（五）ESET个人防火墙应用：实例篇[自定义规则]

以下用3个比较实用的程序来进行实例说明： 当你每天打开（启动）电脑后，会做什么事？别告诉我就是挂着电脑什么都不干，小学生都不信。 现在已经属于高速网络数据时代，即大数据时代；那么我们使用电脑毫无疑问就需要使用网络，而使用网络就需要使用工具，说白了，我们都需要软件（程序）来实现对外的通信，畅游网际。 而（ESET的）防火墙又是如何对网络进行防护呢？ 以下示例里，ESET的个人防火墙均选择【交互模式】 实例1：使用浏览器 使用的浏览器为FireFox（其他浏览器也差不多） 当打开浏览器的一刻，其实已经需要【出站】通信（特别是设置了带有同步功能的浏览器）。 浏览网站（网址），通常需要使用3种协议方式： HTTP / HTTPS / FTP（相对较少） 那么就设置一条【针对FireFox】的规则： 规则为： [常规项] 方向：出站（本机访问外网） 操作：允许（允许通信，不弹窗） 协议：TCP（http/https/ftp 都需要此协议） 日志：不勾选（不会有通信记录出现在主面板的日志记录里） [本地项] 本地端口：留空（全部端口） 应用程序：填写FireFox的本地位置（不可使用通配符进行多个程序的匹配） [远程项] 远程端口：留空（全部端口） 远程地址：留空（包含万维网的所有IP地址） 以上这条规则就可以保障FireFox能网上冲浪（浏览网页、收发电邮等） 如果需要观看（使用Flash）的视频在线网站，需要额外调用Flash，由于Flash是Abedo的私有财产，并未开源；因此FireFox的Shockwave Flash插件只是调用，而非FireFox自身引入视频流（HTML5则是自身引入，FireFox是原生支持HTML5，不需要额外使用插件），所以当观看这类Flash视频网站时，会提示Flash的出站请求。 无论如何，都要啰嗦一次：正常的网站访问（浏览网页），是本机向远程计算机（服务器）发出连接请求[出站请求]，服务器收到请求后，如果允许就会通过协议发送数据到本机（此处并不是对本机的[入站]请求）。 例如使用FireFox浏览器向卡饭论坛发送连接请求，卡饭得到回应，允许连接，然后把数据（论坛上的图片、文字等）传送回本机供用户浏览其内容（如看帖子）；此处包括使用网页下载（http/https/ftp）文件，都应该只有[出站]请求。 正常的情况下，网站是不会向用户发送连接（入站）请求的，如果当你在浏览网页时，它向你发送[入站]请求，就要小心了；例如一些 钓鱼/挂马 的网站，通过js脚本向用户发送[入站]请求，在不清楚的情况下，应当[拒绝][入站]。 这里也显露出【自动模式】的弊端（漏洞）：在没有定义规则的情况下默认允许[出站/入站]；当然这只是个提醒，其实并没有想像的那么恐怖（除了你非得去访问一些暗网），良好上网习惯是防护的第一步，也是重要一步。 可以通过增加一条规则来进行网页浏览防护。 注：勾选[日志]方便排查和分析。 建立这条规则后需要再建立一条[允许][入站]的规则，因为FireFox需要进行本地连接数据返回： [常规项] 方向：入站 操作：允许 协议：TCP & UDP [本地项] 除[应用程序]外，全部留空 [远程项] 远程地址：127.0.0.1 （这条规则由于属于【局部规则（明确的IP地址）】，因此其优先级高于上面的【全局拒绝入站】规则） 实例2：使用P2P软件进行数据共享 真正的P2P软件（非吸血驴）其实并非【下载工具】，而是【数据共享工具】，只不过一众吸血驴为了不开源而强词夺理地称自己的软件是【下载工具】而已。 浏览器是其中一种网络通信工具，他（们）已经能实现网上冲浪的很多功能。 但现时浏览器毕竟不能替代所有功能，例如大数据（大型文件，如视频文件等），就需要借助其他工具来完成（可断点续转）。 本例使用的P2P工具为 uTorrent 2.0.4 顾名思义：Peer to Peer，点对点共享；也就是说，你的电脑向别人的电脑发送连接请求，下载自己所需要的数据……的同时……别人也在做同样的事。 那么防火墙的通信就必定会同时出现[出站]和[入站]的请求，由于uTorrent是基于GNU通用公共许可证的P2P（开源）软件，且其可见的共享方式限制，所以这种[入站]请求是得到允许的（你从别人那里下载了需要的数据，根据共享精神，也应该提供别人需要的数据嘛）。 设置一条对应uTorrent 204的规则 和上面FireFox浏览器大致相同，所不同的是： [常规项] 方向：两者（你可以设置2条规则，一条出站，一条入站，也可以这样设置两者） 操作：允许（允许通信，不弹窗） 协议：TCP & UDP（P2P软件不但需要TCP协议，还需要UDP协议，因为并非每个用户是都公网IP的，UDP提供了内网IP穿透的能力） 通过[ESET主页面] - [工具] - [网络连接] 可以查看其通信详情。 鉴于吸血驴（如迅雷、QQ旋风等）的共享方式不清不楚 （你完全不知道它们在上传你的什么数据[入站]） 可对其设置一条规则，让它们变成完完全全的吸血驴 （只下载，不上传，包括不会上传给其相同的客户端） 实例3：使用ESET的防火墙实现网络防护（远控木马、盗号、勒索等） 现在的病毒木马变化多样，防不胜防，一下只通过文字来阐述ESET的防火墙防护 案例1： 一个病毒软件（abc.exe），它躲过了ESET的扫描（病毒库未更新，或者未入库），当用户双击运行它后。 abc.exe开始访问用户的私隐文件（例如浏览器的Cookie等），然后把其数据以UDP协议方式发送到指定的邮件[出站请求]。 案例2： 一个勒索软件（abc.exe），它躲过了ESET的扫描（病毒库未更新，或者未入库），当用户双击运行它后。 abc.exe开始访问指定网站，并下载有害的木马文件[出站请求]到用户电脑里，再调用这些有害文件（所谓的白+黑）对用户电脑里的文件进行加密。 案例3： 一个远控木马（abc.exe），它躲过了ESET的扫描（病毒库未更新，或者未入库），当用户双击运行它后。 abc.exe开始访问指定网站[出站请求]，且该网站含有的脚本向用户电脑发送连接，并指定运行某个程序[入站请求]。 以上行为可以使用： 基于策略的模式（拒绝，不弹窗） 交互模式（询问，弹窗） 建立一条针对abc.exe的[拒绝][出站][入站]通信规则（勾选日志排查） 必要时，可配合HIPS规则阻止恶意程序运行（因为不排除abc.exe会通过层层调用，操控其他程序进行联网[出站]下载有害文件。（如系统主服务进程Svchost.exe）） 参考资料 ESET使用指南1——基本知识 @renyifei   ESET使用指南2——进阶知识 @renyifei   ESET hips语法初试与规则强化[官方反勒索规则] @qftest   【原创翻译】ESET的多重防护与效果 @猪头无双   卡饭防火墙专区

vanishtime

支持

恶意之爪

这就尴尬了,已入手三年的eav,不过还是要学习一下,说不定哪天要设置下自带防火墙,加油

qftest

几天不见，玩这么高端了啊

fireherman

qftest 发表于 2016-10-8 18:34
几天不见，玩这么高端了啊

写个使用教程而已，有多高端了？

qftest

fireherman 发表于 2016-10-8 18:36
写个使用教程而已，有多高端了？

反正我是写不出来

fireherman

qftest 发表于 2016-10-8 18:41
反正我是写不出来

快给我看看写的内容是否有错，方便我尽快修改。