搜索
查看: 3637|回复: 15
收起左侧

[讨论] 根据SEP防火墙规则改到火绒IP协议控制规则里,不知道合适不?

[复制链接]
w99308702
发表于 2017-6-20 19:29:10 | 显示全部楼层 |阅读模式
本帖最后由 w99308702 于 2017-6-20 19:30 编辑

@@jxfaiu 根据jxfaiu的Symantec Endpoint Protection 11至12最新版都可以导入的防火墙规则http://bbs.kafan.cn/forum.php?mo ... peid%26typeid%3D292

jxfaiu的SEP防火墙原始规则:
1,禁止特定IP传入,禁止此通信;主机:IP地址:10.0.0.0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255,192.254.0.0-192.254.255.255,224.0.0.0-239.255.255.255,255.255.255.255,端口和协议:所有IP,方向:传入;

2,禁止特定IP通信通信,禁止此通信;主机:IP地址:
0.0.0.0,36.249.126.142,95.163.88.209,119.188.9.48,110.75.0.0-110.76.255.255,112.95.139.0-112.95.139.255,113.207.0.0-113.207.255.255,224.0.0.0-224.0.255.255,端口和协议:所有IP,方向:两者;

3,禁止TCP本地端口,禁止此通信;主机:所有主机,端口和协议:TCP,本地端口:0-1030,1033,1042,1045,1057,1090,1095,1097,1098,1099,1158,1170,1234,1243,1245,1345,1349,1433,1434,1492,1521,1524,1560,1600,1807,1831,1981,1999,2000,2001,2002,2003,2004,2005,2023,2100,2115,2140,2565,2583,2701,2702,2703,2704,2773,2774,2800,2801,2869,3000,3024,3128,3129,3150,3389,3700,4092,4267,4567,4590,4899,5000,5001,5168,5321,5333,5357,5358,5400,5401,5402,5151,5550,5554,5555,5556,5557,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,6939,6969,6970,7000,7001,7080,7215,7300,7301,7306,7307,7308,7410,7597,7626,7789,8080,8081,9080,9090,9400,9401,9402,9408,9535,9872,9873,9874,9875,9898,9989,10067,10167,10168,10520,10528,10607,11000,11051,11223,12076,12223,12345,12346,12348,12349,12361,12362,12363,12631,13000,14500,14501,14502,14503,15000,15094,15382,16484,16772,16969,17027,17072,17166,17569,19191,19864,20000,20001,20002,20023,20034,21544,22222,23005,23006,23023,23032,23456,23476,23477,25685,25686,25982,26274,27374,29104,30001,30003,30029,30100,30101,30102,30103,30133,30303,30947,30999,31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,32100,32418,33333,33577,33777,33911,34324,34555,35555,40421,40422,40423,40424,40425,40426,41337,41666,43210,44445,47262,49301,50130,50505,50766,51996,53001,54283,54320,54321,55165,57341,58339,60000,60411,61348,61466,61603,63485,65000,65390,65432 远程端口:0-65535,方向:两者;

4,禁止UDP本地端口,禁止此通信;主机:所有主机,端口和协议:UDP,本地端口:0-67,69-1025,1027,1033,1042,1170,1234,1243,1245,1492,1561,1600,1807,1900,1981,1999,2000,2001,2023,2115,2140,2583,2701,2702,2703,2704,2801,2989,3129,3024,3072,3150,3333,3700,3996,4006,4011,4060,4092,4321,4500,4590,5000,5001,5168,5321,5355,5357,5358,5400,5401,5402,5550,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,7000,7028,7300,7301,7306,7307,7626,7789,8225,9400,9401,9402,9872,9873,9874,9875,9989,10067,10167,11000,11223,12076,12223,12345,12346,12361,16969,19191,20000,20001,20034,21554,22222,22226,23456,26274,27374,30100,30303,30999,31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,33333,33390,34324,34555,40412,40421,40422,40423,40425,40426,43210,44445,47262,50766,54320,54321,60000,61466,65000  
远程端口:0-65535,方向:两者;

5,禁止TCP远程端口,禁止此通信;主机:所有主机,端口和协议:TCP,远程端口:0-79,85-442,444-1030,1433,3702,5355,5535 本地端口:0-65535,方向:两者;

6,禁止UDP远程端口传出,禁止此通信;主机:所有主机,端口和协议:UDP,远程端口:0-52,54-66,68-1023,1025-1029,1433,3702,5355,5535  本地端口:0-65535,方向:两者;

7,禁止ICMP 3,4,5,8-18传入,禁止此通信;主机:所有主机,端口和协议:ICMP,方向:传入,勾选0,5,8-18,目标不可到达、源抑制、重定向、回显请求、路由器通告、路由器请求、数椐报超时、数椐报上的参数问题、时间戳请求、时间戳回复、信息请求、信息回复、地址掩码请求、地址掩码回复;方向:传入;

8,禁止ICMP  0,3,4,5,9-18传出,禁止此通信;主机:所有主机,端口和协议:ICMP,勾选0,3,4,5,9-18,回显回复、目标不可到达、源抑制、重定向、路由器通告、路由器请求、数椐报超时、数椐报上的参数问题、时间戳请求、时间戳回复、信息请求、信息回复、地址掩码请求、地址掩码回复;方向:传出;

9,Block 0xF0F0,禁止此通信;主机:所有主机,端口和协议:以太网:0xF0F0

10,允许bootp传出,允许此通信;主机:所有主机,端口和协议:UDP,本地端口:68,远程端口:67,方向:传出;应用程序:C:\WINDOWS\system32\svchost.exe

11,+允许DNS传出,允许此通信;主机:所有主机,端口和协议:UDP,本地端口:1024-1432,1434-3699,3703-5354,5356-5534,5536-65535,远程端口:53,1900方向:传出;应用程序:C:\WINDOWS\system32\svchost.exe

12,阻止系统进程通信,禁止此通信;主机:所有主机,端口和协议:所有IP;两者;应用程序:
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe

以上规则移至(允许 EAPOL 无线通信)之上

   删除现有规则:点第一条规则,按住shift键,点最后一条,待所有规则变成蓝色后,点删除。
   
   右键点显示框的导入浏览至规则文件夹一键导入。

WINDOWS XP中如何查网关的mac地址?
开始菜单 -> 运行 输入 cmd
输入arp -a回车,例如显示:00-27-19-A3-2A-F4
   
   

修改后的火绒IP协议控制规则:
1禁止特定IP传入
操作:阻止 ,方向:入站,协议:TCP,本地Ip:10.0.0.0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-19

2.168.255.255,192.254.0.0-192.254.255.255,224.0.0.0-239.255.255.255,255.255.255.255,本地端口:任意,远程Ip:任意,远程端口:任意

2禁止特定IP通信通信
操作:阻止,方向:所有,协议:TCP,本地Ip:0.0.0.0,36.249.126.142,95.163.88.209,119.188.9.48,110.75.0.0-110.76.255.255,112.95.139.0-112.95.139.255,113.207.0.0-113.207.255.255,224.0.0.0-224.0.255.255,本地端口:任意,远程Ip:任意,远程端口:任意

3禁止TCP本地端口1
操作:阻止,方向:所有,协议TCP,本地Ip:任意,本地端口:0-1030,1033,1042,1045,1057,1090,1095,1097,1098,1099,1158,1170,1234,1243,1245,1345,1349,1433,1434,1492,1521,1524,1560,1600,1807,1831,1981,1999,2000,2001,2002,2003,2004,2005,2023,2100,2115,2140,2565,2583,2701,2702,2703,2704,2773,2774,2800,2801,2869,3000
远程Ip;任意,远程端口:0-65535

3禁止TCP本地端口2
操作:阻止,方向:所有,协议TCP,本地Ip:任意,本地端口:0-3024,3128,3129,3150,3389,3700,4092,4267,4567,4590,4899,5000,5001,5168,5321,5333,5357,5358,5400,5401,5402,5151,5550,5554,5555,5556,5557,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,6939,6969,6970,7000,7001,7080,7215,7300,7301,7306,7307,7308,7410,7597
远程Ip;任意,远程端口:0-65535

3禁止TCP本地端口3
操作:阻止,方向:所有,协议TCP,本地Ip:任意,本地端口:0-7626,7789,8080,8081,9080,9090,9400,9401,9402,9408,9535,9872,9873,9874,9875,9898,9989,10067,10167,10168,10520,10528,10607,11000,11051,11223,12076,12223,12345,12346,12348,12349,12361,12362,12363,12631,13000,14500,14501,14502,14503,15000,15094,15382,16484
远程Ip;任意,远程端口:0-65535

3禁止TCP本地端口4
操作:阻止,方向:所有,协议TCP,本地Ip:任意,本地端口:16772,16969,17027,17072,17166,17569,19191,19864,20000,20001,20002,20023,20024,21544,22222,23005,23006,23023,23032,23456,23476,23477,25685,25686,25982,26274,27374,29104,30001,30003,30029,30100,30101,30102,30103,30133,30303,30947,30999
远程Ip;任意,远程端口:0-65535


3禁止TCP本地端口5
操作:阻止,方向:所有,协议TCP,本地Ip:任意,本地端口:31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,32100,32418,33333,33577,33777,33911,34324,34555,35555,40421,40422,40423,40424,40425,40426,41337,41666,43210,44445,47262,49301,50130,50505,50766,51996,53001,54283,54320,54321,55165,57341,58339
远程Ip;任意,远程端口:0-65535

3禁止TCP本地端口6
操作:阻止,方向:所有,协议TCP,本地Ip:任意,本地端口:60000,60411,61348,61466,61603,63485,65000,65390,65432
远程Ip;任意,远程端口:0-65535

4禁止UDP远程端口
操作:阻止,方向:所有,协议:UDP,本地Ip:任意,本地端口:0-65535,远程IP:任意,远程端口:0-52,54-66,68-1023,1025-1029,1433,3702,5355,5535

5禁止TCP远程端口
操作:阻止,方向:所有,协议:TCP,本地IP:任意,本地端口:0-65535,远程Ip:任意,远程端口:0-79,85-442,444-1030,1433,3702,5355,5535

6禁止UDP远程端口传出
操作:阻止,方向:所有,协议:UDP,本地IP:任意,本地端口:0-65535,远程Ip:任意,远程端口:0-52,54-66,68-1023,1025-1029,1433,3702,5355,5535


大神不知道这样用在win7旗舰32位系统的火绒里面合适不,里面好多端口我都看不懂
KK院长
发表于 2017-6-20 19:44:43 | 显示全部楼层
jxfaiu 有的规则 太过 臃肿, 一般 封端口 在10个左右,在网络协议上也要求实用精简, 如果封死了也没实际效果,不建议套用。
zongk
头像被屏蔽
发表于 2017-6-20 19:55:16 | 显示全部楼层
你先查查每条SEP规则的意思,好像有的是针对xp系统漏洞的,可能是SEP为了照顾广大仍然在用xp系统的企业用户
ELOHIM
发表于 2017-6-20 22:07:57 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-6-20 22:09 编辑

比如说这一条:0-79,85-442,444-1030,1433,3702,5355,5535

只允许了 80 443 1031-1432 1434-3701 3703-5354 5356-65535
这空挡也太大了吧。
另外不知道你的很多规则里面 5535 为什么要写两次。

如果是个人计算机,TCP远程端口给两个就可以:80 443  其他看情况临时开启。
(而80 ,443并不是不能被利用的。)

写死的规则才有被透过的可能,需要灵活运用并且不断调整。

适应自己计算机环境的才是最合适的。   
w99308702
 楼主| 发表于 2017-6-21 15:10:32 | 显示全部楼层
本帖最后由 w99308702 于 2017-6-21 15:15 编辑
ELOHIM 发表于 2017-6-20 22:07
比如说这一条:0-79,85-442,444-1030,1433,3702,5355,5535

只允许了 80 443 1031-1432 1434-3701 3703-5 ...

5535是复制的时候多复制
大神 端口我也不太懂啊 只是感觉之前jxfaiu 的规则很厉害样的,就套用了下 ,但是现在还没有启用,就是担心会不会有什么不妥,因为好多不能原版套到火绒里面

操作结果:自动【阻止】触犯网络协议控制的行为
项目名称:1禁止特定IP传入
侵犯动作:联入14.17.42.38:80

好像开启之后chrome不能联网
ELOHIM
发表于 2017-6-24 00:43:56 | 显示全部楼层
w99308702 发表于 2017-6-21 15:10
5535是复制的时候多复制
大神 端口我也不太懂啊 只是感觉之前jxfaiu 的规则很厉害样的,就套用了下 ,但 ...

前几天手机看你发帖了,没有时间上来。

是我看错了,5355,5535,两个端口。

防火墙规则需要经常调试,修改,经常查看是否有未经允许的规则通过非法方式添加。

防火墙,三方的都有学习功能吧。积累一段时间,将日常使用的软件运行一次,创建相关规则以后。
研究一下,然后固定下来。
就可以开启增强模式了。成功与否都让它写日志。以便后期查看。

chrome不能联网,这个IP印象中貌似是腾讯家的吧?
联入在火绒里面是入站吗?不清楚火绒设置。
你看一下是不是这个IP被阻止了呢?

召唤一下火绒官人!~
piouu
发表于 2017-6-24 01:26:49 | 显示全部楼层
zongk 发表于 2017-6-20 19:55
你先查查每条SEP规则的意思,好像有的是针对xp系统漏洞的,可能是SEP为了照顾广大仍然在用xp系统的企业用户

SEP不是不支持XP了吗?在下XP系统装了好久都装不进
諾言敵不過時間
发表于 2017-6-24 02:13:14 来自手机 | 显示全部楼层
本帖最后由 諾言敵不過時間 于 2017-6-25 19:42 编辑

幫你做了個出來,Chrome沒有不能連網第一條規則那如果是內網192.168.0.0-192.168.255.255這要修改一下
zongk
头像被屏蔽
发表于 2017-6-24 10:28:34 | 显示全部楼层
piouu 发表于 2017-6-24 01:26
SEP不是不支持XP了吗?在下XP系统装了好久都装不进

查了规则里某个端口,百度百科说xp漏洞。我就没有再查
piouu
发表于 2017-6-24 21:28:30 | 显示全部楼层
zongk 发表于 2017-6-24 10:28
查了规则里某个端口,百度百科说xp漏洞。我就没有再查

感谢解答
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-22 13:27 , Processed in 0.042651 second(s), 2 queries , MemCached On.

快速回复 返回顶部 返回列表