搜索
查看: 15966|回复: 54
收起左侧

[讨论] 【愚人节版】SEP14中文防火墙入门设置

  [复制链接]
KK院长
发表于 2017-4-1 13:10:04 | 显示全部楼层 |阅读模式
本帖最后由 KK院长 于 2017-8-28 15:42 编辑

    SEP14中文防火墙是比较好防火墙带IPS, 稳定,可以自定义安装,免费。

今天我们就来讲它的设置,简单一点。

我们分2部分讲, 入门  与 提高。



        防火墙简单入门

01

01



02

02



03

03


04

04


05

05


06

06


07

07




08

08


09

09


10

10



有一些东西可以跟自己的习惯设置,好了,一个简单的入门设置就可以了,比瑞星防火墙强吧。

如果会了可以学下面的提高篇。


提高篇
                 

Sept14防火墙的网络协议比较多,当你打开防火墙规则中就可以看到,有一些我们用不到, 但它是什么呢?有一些大牛设置防火墙规则往网上一放就走了,人然后自己下还是看不懂的天书, 让我们来学习吧,都是中文应该懂了吧。




1.禁止 IPv6 (以太网类型 0x86dd)



IPv6的以太网类型是0x86DD,IPv4的以太网类型是0x8000






禁止 IPv6 over IPv4 (Teredo) 远程 UDP 端口 3544


Teredo 是一项 IPv6/IPv4 转换技术,能够实现在处于单个或者多个 IPv4 NAT 后的主机之间的 IPv6 自动隧道。来自 Teredo 主机的 IPv6 数据流能够通过 NAT,因为它是以 IPv4 UDP 数据格式发

送的。如果 NAT 支持 UDP 端口解析,那么它就支持 Teredo 。
位于NAT后的IPv6节点采用一般的隧道技术(IPv6-over-IPv4)是不能和NAT域外的IPv6节点进行通信的,因为目前的NAT一般不支持协议类型为41(也就是IPv6-over-IPv4)的数据包。Teredo隧道有别

于一般的IPv6-over-IPv4隧道,确切地讲,它是一种IPv6-over-UDP隧道,数据包通过被封装在UDP载荷中的方式穿过NAT。它使用UDP 3544端口侦听Teredo通信。





Block IPv6 over IPv4 (ISATAP)

ISATAP隧道技术
ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)是一种自动隧道技术,同时也可以进行地址自动配置。





Allow common ICMPv6 traffic


允许 EAPOL 无线通信

EAPOl的由来是基于802.1x网络访问认证技术:

802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议, 制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接

入局域网控制 设备 (如LANS witch) ,就可以访问局域网中的设备或资源。



Allow BOOTP protocol


BOOTP(Bootstrap Protocol,引导程序协议)是一种引导协议,基于IP/UDP协议,也称自举协议,是DHCP协议的前身。BOOTP用于无盘工作站的局域网中,可以让无盘工作站从一个中心服务器上获得

IP地址。通过BOOTP协议可以为局域网中的无盘工作站分配动态IP地址,这样就不需要管理员去为每个用户去设置静态IP地址。







Allow UPnP Discovery from private IP addresses


Block UPnP Discovery

UPnP是通用即插即用(Universal Plug and Play)的缩写,主要用于设备的智能互联互通,使用UPnP协议不需要设备驱动程序,它可以运行在目前几乎所有的操作系统平台上,使得在办公室、家庭和

其他公共场所方便地构建设备互联互通成为可能。
本文介绍了UPnP所定义的基本协议(如SSDP、GENA、SOAP等)

UPnP协议结构最底层的TCP/IP协议是UPnP协议结构的基础。IP层用于数据的发送与接收。对于需要可靠传送的信息,使用TCP进行传送,反之则使用UDP。UPnP对网络的底层没有要求,可以是以太网、

WIFI、IEEE1394等等,只需支持IP协议即可。
构建在TCP/IP协议之上的是HTTP协议及其变种,这一部分是UPnP的核心,所有UPnP消息都被封装在HTTP协议及其变种中。HTTP协议的变种是HTTPU和HTTPMU,这些协议的格式沿袭了HTTP协议,只不过与

HTTP不同的是他们通过UDP而非TCP来承载的,并且可用于组播进行通信。


A1

A1

A2

A2

A3

A3



Allow Web Service requests from private IP addresses part A



允许来自私有IP地址的web服务请求


Allow Web Service requests from private IP addresses part B


Block Web Service requests part A


Block Web Service requests part B





Allow Ipv4 LLMNR from private IP addresses

Block Ipv4 LLMNR

Allow Ipv6 LLMNR

在DNS 服务器不可用时,DNS 客户端计算机可以使用本地链路多播名称解析 (LLMNR—Link-Local Multicast Name Resolution)(也称为多播 DNS 或 mDNS)来解析本地网段上的名称。


Allow Web Services Discovery from private IP addresses
允许从私有IP地址发现web服务
Block Web Services Discovery

Allow SSDP from private IP addresses

Block SSDP


SSDP协议
简单服务发现协议(Simple Service Discovery Protocol:SSDP),是内建在HTTPU/HTTPMU里,定义如何让网络上有的服务被发现的协议。具体包括控制点如何发现网络上有哪些服务,以及这些服务

的资讯,还有控制点本身宣告他提供哪些服务。该协议运用在UPnP工作流程的设备发现部分。


Allow IGMP traffic

IGMP(Internet组管理协议)报文


Allow USB over IEEE802 (Ethernet type 0x892e)




Allow Bonjour traffic Part A

也称为零配置联网,能自动发现IP网络上的电脑、设备和服务。Bonjour 使用工业标准的 IP 协议来允许设备自动发现彼此,而不需输入IP 地址或配置DNS 服务器。
Allow Bonjour traffic Part B


........................................................................................................................................................................................



好了,网络的协议都讲完了, 应该知道怎么设置了吧, 自定义设置端口 我不做要求,但 起码可以看的懂天书了吧,有些像WEB的协议等 我们不需要的可以干掉。
希望学到些什么。




提高篇见     qftest  的34楼补充,谢了。










评分

参与人数 1人气 +1 收起 理由
ericdj + 1 赞一个!

查看全部评分

qftest
发表于 2017-8-26 14:01:22 | 显示全部楼层
本帖最后由 qftest 于 2017-8-28 08:23 编辑

加强一下:
+取消勾选SEP默认规则中的 Allow Ipv6 LLMNR
+《全局》IP黑名单   方向:二者   操作:拒绝   协议:所有   远端:95.163.88.209 所有端口   本地:所有
+《全局》TCP端口黑名单   方向:二者   操作:拒绝   协议:TCP   远端:所有地址 所有端口   本地:23,25,515,593,1433,1755,9100
+《全局》UDP端口黑名单   方向:二者   操作:拒绝   协议:UDP   远端:所有地址 所有端口   本地:23,25,69,161,1755
+《全局》禁止RDP远程登录本机  阻止  进站  TCP  本地3389  远端 所有


+《全局》联网黑名单   方向:二者   操作:拒绝   协议:所有   远端:所有地址 所有端口   本地:所有

C:\Windows\System32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\System32\wscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\cscript.exe
C:\Windows\Syswow64\cscript.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\System32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\hh.exe
C:\Windows\SysWOW64\hh.exe
C:\Windows\winhlp32.exe
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe
C:\Windows\System32\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\System32\taskhost.exe
C:\Windows\System32\wsqmcons.exe
c:\Windows\System32\taskeng.exe
C:\Windows\SysWOW64\taskeng.exe
c:\windows\system32\consent.exe
C:\Windows\explorer.exe(w8+可放行)
C:\Windows\SysWOW64\explorer.exe(w8+可放行)

可考虑放行C:\Windows\System32\lsass.exe



评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 很给力!

查看全部评分

aquablue
发表于 2017-4-1 13:35:17 | 显示全部楼层
学习一下默认配置,谢谢
boyving
发表于 2017-4-1 15:02:05 | 显示全部楼层
哈哈,愚人节不愚人。
nonote
发表于 2017-4-1 16:37:38 | 显示全部楼层
太麻烦,整天去手写一些规则什么的,那还不如直接用科莫多的墙
KK院长
 楼主| 发表于 2017-4-1 16:40:46 | 显示全部楼层
nonote 发表于 2017-4-1 16:37
太麻烦,整天去手写一些规则什么的,那还不如直接用科莫多的墙


不是所有人都合适用毛豆的, 有肉吃同样也可以吃青菜吧。
zzha
发表于 2017-4-1 22:18:46 | 显示全部楼层
呵呵,谢谢分享哦
adminh
发表于 2017-4-2 11:50:30 | 显示全部楼层
膜拜大佬
freesoft00
发表于 2017-4-2 16:28:22 | 显示全部楼层
支持科普,谢谢分享。
qazxsw2
发表于 2017-4-4 13:06:06 | 显示全部楼层
院长,这个如果不装入侵防护可以么,只装墙,会怎么样,有什么问题
sbdk007
发表于 2017-4-4 17:59:45 | 显示全部楼层
虽然没用,但也顶一个
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-25 04:21 , Processed in 0.054729 second(s), 7 queries , MemCached On.

快速回复 返回顶部 返回列表