国产防火墙 的伤痛！

ELOHIM

aquablue 发表于 2017-6-8 13:00
防火墙的技术已经成熟，差别就在于规则了。只要规则写得好，防护能力就强。

说的很有道理。
杀毒是技术对抗。
防火墙规则是经验积累。
默认情况下系统防火墙只能防外，不能防止内部外链。
并且不知道内部要到哪里去……用不用加密的方式去……

aquablue

ELOHIM 发表于 2017-6-8 21:06
说的很有道理。
杀毒是技术对抗。
防火墙规则是经验积累。

win7系统防火墙，我觉得还是非常好的，规则过滤很细致。如果规则设计得好，防护效果还是不错的。只是系统防火墙没有清理无效项的功能。这个功能，我觉得还是需要的。

柯林

ELOHIM 发表于 2017-6-8 21:06
说的很有道理。
杀毒是技术对抗。
防火墙规则是经验积累。

严格意义上来讲，防火墙比杀毒软件高级多，也有用多了
入侵检测防御系统，才是用户最需要的，防火墙只是它众多功能里面的一块

系统安全现在做得不怎么样，是微软的锅，比如人机交互的中介--explorer.exe，从安全角度讲，至少应该有两个（svchost.exe搞一大堆，explorer.exe弄两个不是很应该）：
一个explorer.exe就是现在这个大杂烩，什么都做，神马东东来了都可以插它，利用它；
另一个，就是专门负责权限与安全的东东，主管账户、密码、令牌、授权、区域……之类的东东，专职专干，只加载专用模块，拒绝插入，拒绝非法挂钩，拦截非法驱动入侵……（当然名字不一定叫explorer.exe）
诸如此类的思路，简单变一变，系统的安全防护等级，立马翻番！

ELOHIM

aquablue 发表于 2017-6-9 13:36
win7系统防火墙，我觉得还是非常好的，规则过滤很细致。如果规则设计得好，防护效果还是不错的。只是系统 ...

是的。
无效规则这个的确很难搞，很考验人的耐心。

所以，这里就体现了“二次数据库备份”（我自己给杜撰的名字）的重要性。

那条规则是针对哪个IP，PORT，做什么用的，一定要记录清楚。

做个有心人就好了……

ELOHIM

柯林 发表于 2017-6-9 14:13
严格意义上来讲，防火墙比杀毒软件高级多，也有用多了
入侵检测防御系统，才是用户最需要的，防火墙只是 ...

嗯。。
很不错的思路。
目前，我自己的系统墙规则针对 explorer.exe 主允许了两个IP地址。
但是 svchost.exe太难搞太难搞了……
控制不住。
往往就造成 Windows 更新失败。
微软更新服务器遍布全球，每次外链都非常任性，想从哪就从哪走………………

不过，需要更新的时候临时放开  svchost.exe 限制是我想到的最安全的方法了。

安全很不方便。

所以，如果增加限制，就会有天朝开发人员和用户吵嚷的“兼容性”的问题。
那么，照顾大众，有需要的人自然会想到方法来改变。

柯林

ELOHIM 发表于 2017-6-9 20:39
嗯。。
很不错的思路。
目前，我自己的系统墙规则针对 explorer.exe 主允许了两个IP地址。

反正吹毛求疵的角度看，现在的系统设计真的有问题---只有权限分级，而没有权限隔离，真的不安全！
就像一个国家，行政系统什么都管，呵呵，简直一团乱，至少要有两套系统：一套行政系统，杂七杂八的公共事务都管，大众化事业；一套安全系统，负责情报收集与安全保卫，别说一般人进不去，就连行政首长也非请莫入。这样子才真的安全。

可是，看看现在的windows，随便一个程序进来，一加驱动，一装钩子，一搞注入，立马最高权限，夺取了系统控制权，这种白痴设计，真的无语了---你叫随便一个州长秘书去接管NSA或CIA试试，有这么白痴的措施？！

ELOHIM

柯林 发表于 2017-6-9 21:14
反正吹毛求疵的角度看，现在的系统设计真的有问题---只有权限分级，而没有权限隔离，真的不安全！
就像 ...

所以，你的假设是：随便一个程序进来。

那，程序进来以后，提提权，做做被UAC拦截了的假样子，骗骗用户或者分析人员都不是问题了。
只要能想到的话。。

把小白的 exe 关联成 记事本，他们没准就要重装系统了……
对了，今天一个客户联系我，说系统出问题，弹了一个什么窗让他重启（他没截图也不懂），重启以后ERP打不开了。

我说你中毒了吧。
他讲没有。
然后我打开我给他安装的 SCEP，里面被拦截了一个 tmp。

假设恶意文件已经进来，这个可能大概有70%吧。。

haohaoge

当年的天网防火墙还是很不错的。

piouu

用XP自带墙的路过，

aquablue

柯林 发表于 2017-6-9 14:13
严格意义上来讲，防火墙比杀毒软件高级多，也有用多了
入侵检测防御系统，才是用户最需要的，防火墙只是 ...

非常有道理。现在微软对安全也不怎么上心。如果操作系统安全做的好，用户就轻松很多。