CIS 防火墙如何限制全局联网，仅让白名单通过？

2437959

如题

我看防火墙的规则都是一对一的比较多，就算用了*.exe等通配符，也不能在下面添加允许联网的白名单……
然后看了坛子里面的解决方法是，一个个软件去配置通行规则。

我想问问，有没有懒一点的方法，先全局，在自定义白名单即可

qftest

可以啊，先到HIPS里面定制白名单文件组，然后切换到防火墙里面放行该组就可以了
但这样做有什么意义吗？
各个软件的功能不一样，访问的目标、收发的数据类型也不同，一股脑全局放行的防火墙还有什么用

2437959

qftest 发表于 2016-11-18 14:13
可以啊，先到HIPS里面定制白名单文件组，然后切换到防火墙里面放行该组就可以了
但这样做有什么意义吗？
...

因为单位没有那么多的adobe许可证，不是所有人都会comodo，所以想找个一劳永逸的方法，设定白名单，这样子就能保证不会被adobe发现了。
据说我们院长每周都收到各种软件的律师函

另外hips封堵的是com端口的那个吗？
我采用了半年，没有发觉那么高端的功能，还停留在简单的hips操作上面

qftest

2437959 发表于 2016-11-18 16:17
因为单位没有那么多的adobe许可证，不是所有人都会comodo，所以想找个一劳永逸的方法，设定白名 ...

我不是很清楚新版BUG豆的设置，win7实机只使用久经考验的512版本
不过我想应该没那么简单，象那种软件与操作系统的结合恐怕是很紧密的，而且必定有防破解设计，所以至少应该确保系统进程不被注入、以防被其“搭顺风车”联网通信，那么就得至少精确定位到每个dll文件，工作量不小啊
而且，即便能成功阻止所有adobe组件联网，此时adobe是否还能正常工作？这个问题恐怕也得考虑下

羽扇纶巾

毛豆限制奥多比很简单。防火墙禁止联网，HIPS那边拦截认证进程，更新进程。不是全局监控的话，不考虑FD接口。具体规则——注册表阻止自启动，服务项，重要键。受保护的文件目录阻止开始目录，第三方协议驱动，windows管理，重要的文件目录(默认）。com接口可以尝试全部阻止毛豆的默认保护。

2437959

羽扇纶巾 发表于 2016-11-19 10:26
毛豆限制奥多比很简单。防火墙禁止联网，HIPS那边拦截认证进程，更新进程。不是全局监控的话，不考虑FD接口 ...

我的个人电脑是全部拦截文件夹，然后必须的exe允许启动，但是防火墙会拦截，可是不知道如何判定没有被获取到使用盗版的信息……
我们收到的律师函是连几楼谁什么时间用的都标注在上面，非常夸张

羽扇纶巾

2437959 发表于 2016-11-19 11:08
我的个人电脑是全部拦截文件夹，然后必须的exe允许启动，但是防火墙会拦截，可是不知道如何判定没有被获 ...

说实话，你要解决这个问题，rd,fd,最好全局*保护。第一，系统进程禁止联网，仅仅svchost.exe允许外链。这样，就算奥多比注入系统进程也不怕。第二，仅仅允许奥多比访问自身内存，资源管理器内存，系统输入法进程内存。我一直用奥多比，绘绘，欧特克软件。没你说的这种情况。

补充：第一，奥多比必须触碰的，均不联网。比如系统进程，奥多比本身，音视频编码解码，系统及相关钩子，内存访问等等。这个要注意输入法。输入法不要联网。
           第二，你要联网的，域名解析，浏览器，QQ啥的，不让奥多比触碰。

2437959

羽扇纶巾 发表于 2016-11-19 11:46
说实话，你要解决这个问题，rd,fd,最好全局*保护。第一，系统进程禁止联网，仅仅svchost.exe允许外链。 ...

看来，要是这么设置，还不如直接把整个adobe文件夹进行防火隔断算了，用安装记录器看看到底安装了那些文件夹，然后这些文件夹禁止联网，接着在想办法让它只能读取自己的程序，其余全部拒绝

ljh210381

羽扇纶巾 发表于 2016-11-19 11:46
说实话，你要解决这个问题，rd,fd,最好全局*保护。第一，系统进程禁止联网，仅仅svchost.exe允许外链。 ...

这招不错，去搞搞

/tiao眼镜鱼

羽扇纶巾 发表于 2016-11-19 10:26
毛豆限制奥多比很简单。防火墙禁止联网，HIPS那边拦截认证进程，更新进程。不是全局监控的话，不考虑FD接口 ...

现在开始用毛豆哪个版本了？