根据SEP防火墙规则改到火绒IP协议控制规则里，不知道合适不？

w99308702

@@jxfaiu 根据jxfaiu的Symantec Endpoint Protection 11至12最新版都可以导入的防火墙规则http://bbs.kafan.cn/forum.php?mo ... peid%26typeid%3D292，

jxfaiu的SEP防火墙原始规则：
1，禁止特定IP传入，禁止此通信；主机：IP地址：10.0.0.0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255,192.254.0.0-192.254.255.255,224.0.0.0-239.255.255.255,255.255.255.255，端口和协议：所有IP，方向：传入;

2，禁止特定IP通信通信，禁止此通信；主机：IP地址：
0.0.0.0,36.249.126.142,95.163.88.209,119.188.9.48,110.75.0.0-110.76.255.255,112.95.139.0-112.95.139.255,113.207.0.0-113.207.255.255,224.0.0.0-224.0.255.255，端口和协议：所有IP，方向：两者;

3，禁止TCP本地端口，禁止此通信；主机：所有主机，端口和协议：TCP，本地端口：0-1030,1033,1042,1045,1057,1090,1095,1097,1098,1099,1158,1170,1234,1243,1245,1345,1349,1433,1434,1492,1521,1524,1560,1600,1807,1831,1981,1999,2000,2001,2002,2003,2004,2005,2023,2100,2115,2140,2565,2583,2701,2702,2703,2704,2773,2774,2800,2801,2869,3000,3024,3128,3129,3150,3389,3700,4092,4267,4567,4590,4899,5000,5001,5168,5321,5333,5357,5358,5400,5401,5402,5151,5550,5554,5555,5556,5557,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,6939,6969,6970,7000,7001,7080,7215,7300,7301,7306,7307,7308,7410,7597,7626,7789,8080,8081,9080,9090,9400,9401,9402,9408,9535,9872,9873,9874,9875,9898,9989,10067,10167,10168,10520,10528,10607,11000,11051,11223,12076,12223,12345,12346,12348,12349,12361,12362,12363,12631,13000,14500,14501,14502,14503,15000,15094,15382,16484,16772,16969,17027,17072,17166,17569,19191,19864,20000,20001,20002,20023,20034,21544,22222,23005,23006,23023,23032,23456,23476,23477,25685,25686,25982,26274,27374,29104,30001,30003,30029,30100,30101,30102,30103,30133,30303,30947,30999,31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,32100,32418,33333,33577,33777,33911,34324,34555,35555,40421,40422,40423,40424,40425,40426,41337,41666,43210,44445,47262,49301,50130,50505,50766,51996,53001,54283,54320,54321,55165,57341,58339,60000,60411,61348,61466,61603,63485,65000,65390,65432 远程端口：0-65535,方向：两者;

4，禁止UDP本地端口，禁止此通信；主机：所有主机，端口和协议：UDP，本地端口：0-67,69-1025,1027,1033,1042,1170,1234,1243,1245,1492,1561,1600,1807,1900,1981,1999,2000,2001,2023,2115,2140,2583,2701,2702,2703,2704,2801,2989,3129,3024,3072,3150,3333,3700,3996,4006,4011,4060,4092,4321,4500,4590,5000,5001,5168,5321,5355,5357,5358,5400,5401,5402,5550,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,7000,7028,7300,7301,7306,7307,7626,7789,8225,9400,9401,9402,9872,9873,9874,9875,9989,10067,10167,11000,11223,12076,12223,12345,12346,12361,16969,19191,20000,20001,20034,21554,22222,22226,23456,26274,27374,30100,30303,30999,31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,33333,33390,34324,34555,40412,40421,40422,40423,40425,40426,43210,44445,47262,50766,54320,54321,60000,61466,65000  
远程端口：0-65535,方向：两者;

5，禁止TCP远程端口，禁止此通信；主机：所有主机，端口和协议：TCP，远程端口：0-79,85-442,444-1030,1433,3702,5355,5535 本地端口：0-65535,方向：两者;

6，禁止UDP远程端口传出，禁止此通信；主机：所有主机，端口和协议：UDP，远程端口：0-52,54-66,68-1023,1025-1029,1433,3702,5355,5535  本地端口：0-65535,方向：两者;

7，禁止ICMP 3,4,5,8-18传入，禁止此通信；主机：所有主机，端口和协议：ICMP，方向：传入，勾选0,5,8-18，目标不可到达、源抑制、重定向、回显请求、路由器通告、路由器请求、数椐报超时、数椐报上的参数问题、时间戳请求、时间戳回复、信息请求、信息回复、地址掩码请求、地址掩码回复；方向：传入;

8，禁止ICMP  0,3,4,5,9-18传出，禁止此通信；主机：所有主机，端口和协议：ICMP，勾选0,3,4,5,9-18，回显回复、目标不可到达、源抑制、重定向、路由器通告、路由器请求、数椐报超时、数椐报上的参数问题、时间戳请求、时间戳回复、信息请求、信息回复、地址掩码请求、地址掩码回复;方向：传出；

9，Block 0xF0F0，禁止此通信；主机：所有主机，端口和协议：以太网：0xF0F0

10，允许bootp传出，允许此通信；主机：所有主机，端口和协议：UDP，本地端口：68，远程端口：67，方向：传出；应用程序：C:\WINDOWS\system32\svchost.exe

11，+允许DNS传出，允许此通信；主机：所有主机，端口和协议：UDP，本地端口：1024-1432,1434-3699,3703-5354,5356-5534,5536-65535，远程端口：53,1900方向：传出；应用程序：C:\WINDOWS\system32\svchost.exe

12，阻止系统进程通信，禁止此通信；主机：所有主机，端口和协议：所有IP；两者；应用程序：
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe

以上规则移至(允许 EAPOL 无线通信)之上

   删除现有规则:点第一条规则，按住shift键，点最后一条，待所有规则变成蓝色后，点删除。
   
   右键点显示框的导入浏览至规则文件夹一键导入。

WINDOWS XP中如何查网关的mac地址？
开始菜单 -> 运行 输入 cmd
输入arp -a回车，例如显示：00-27-19-A3-2A-F4
   
   

修改后的火绒IP协议控制规则：
1禁止特定IP传入
操作：阻止 ，方向：入站，协议：TCP，本地Ip：10.0.0.0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-19

2.168.255.255,192.254.0.0-192.254.255.255,224.0.0.0-239.255.255.255,255.255.255.255，本地端口：任意，远程Ip：任意，远程端口：任意

2禁止特定IP通信通信
操作：阻止，方向：所有，协议：TCP，本地Ip：0.0.0.0,36.249.126.142,95.163.88.209,119.188.9.48,110.75.0.0-110.76.255.255,112.95.139.0-112.95.139.255,113.207.0.0-113.207.255.255,224.0.0.0-224.0.255.255，本地端口：任意，远程Ip：任意，远程端口：任意

3禁止TCP本地端口1
操作：阻止，方向：所有，协议TCP，本地Ip：任意，本地端口：0-1030,1033,1042,1045,1057,1090,1095,1097,1098,1099,1158,1170,1234,1243,1245,1345,1349,1433,1434,1492,1521,1524,1560,1600,1807,1831,1981,1999,2000,2001,2002,2003,2004,2005,2023,2100,2115,2140,2565,2583,2701,2702,2703,2704,2773,2774,2800,2801,2869,3000
远程Ip；任意，远程端口：0-65535

3禁止TCP本地端口2
操作：阻止，方向：所有，协议TCP，本地Ip：任意，本地端口：0-3024,3128,3129,3150,3389,3700,4092,4267,4567,4590,4899,5000,5001,5168,5321,5333,5357,5358,5400,5401,5402,5151,5550,5554,5555,5556,5557,5569,5742,6267,6400,6670,6671,6711,6771,6776,6883,6939,6969,6970,7000,7001,7080,7215,7300,7301,7306,7307,7308,7410,7597
远程Ip；任意，远程端口：0-65535

3禁止TCP本地端口3
操作：阻止，方向：所有，协议TCP，本地Ip：任意，本地端口：0-7626,7789,8080,8081,9080,9090,9400,9401,9402,9408,9535,9872,9873,9874,9875,9898,9989,10067,10167,10168,10520,10528,10607,11000,11051,11223,12076,12223,12345,12346,12348,12349,12361,12362,12363,12631,13000,14500,14501,14502,14503,15000,15094,15382,16484
远程Ip；任意，远程端口：0-65535

3禁止TCP本地端口4
操作：阻止，方向：所有，协议TCP，本地Ip：任意，本地端口：16772,16969,17027,17072,17166,17569,19191,19864,20000,20001,20002,20023,20024,21544,22222,23005,23006,23023,23032,23456,23476,23477,25685,25686,25982,26274,27374,29104,30001,30003,30029,30100,30101,30102,30103,30133,30303,30947,30999
远程Ip；任意，远程端口：0-65535


3禁止TCP本地端口5
操作：阻止，方向：所有，协议TCP，本地Ip：任意，本地端口：31337,31338,31339,31666,31785,31787,31788,31789,31791,31792,32100,32418,33333,33577,33777,33911,34324,34555,35555,40421,40422,40423,40424,40425,40426,41337,41666,43210,44445,47262,49301,50130,50505,50766,51996,53001,54283,54320,54321,55165,57341,58339
远程Ip；任意，远程端口：0-65535

3禁止TCP本地端口6
操作：阻止，方向：所有，协议TCP，本地Ip：任意，本地端口：60000,60411,61348,61466,61603,63485,65000,65390,65432
远程Ip；任意，远程端口：0-65535

4禁止UDP远程端口
操作：阻止，方向：所有，协议：UDP，本地Ip：任意，本地端口：0-65535，远程IP：任意，远程端口：0-52,54-66,68-1023,1025-1029,1433,3702,5355,5535

5禁止TCP远程端口
操作：阻止，方向：所有，协议：TCP，本地IP：任意，本地端口：0-65535，远程Ip：任意，远程端口：0-79,85-442,444-1030,1433,3702,5355,5535

6禁止UDP远程端口传出
操作：阻止，方向：所有，协议：UDP，本地IP：任意，本地端口：0-65535，远程Ip：任意，远程端口：0-52,54-66,68-1023,1025-1029,1433,3702,5355,5535

大神不知道这样用在win7旗舰32位系统的火绒里面合适不，里面好多端口我都看不懂

KK院长

jxfaiu 有的规则 太过 臃肿， 一般 封端口 在10个左右，在网络协议上也要求实用精简， 如果封死了也没实际效果，不建议套用。

zongk

你先查查每条SEP规则的意思，好像有的是针对xp系统漏洞的，可能是SEP为了照顾广大仍然在用xp系统的企业用户

ELOHIM

比如说这一条：0-79,85-442,444-1030,1433,3702,5355,5535

只允许了 80 443 1031-1432 1434-3701 3703-5354 5356-65535
这空挡也太大了吧。
另外不知道你的很多规则里面 5535 为什么要写两次。

如果是个人计算机，TCP远程端口给两个就可以：80 443  其他看情况临时开启。
（而80 ，443并不是不能被利用的。）

写死的规则才有被透过的可能，需要灵活运用并且不断调整。

适应自己计算机环境的才是最合适的。   

w99308702

ELOHIM 发表于 2017-6-20 22:07
比如说这一条：0-79,85-442,444-1030,1433,3702,5355,5535

只允许了 80 443 1031-1432 1434-3701 3703-5 ...

5535是复制的时候多复制
大神 端口我也不太懂啊 只是感觉之前jxfaiu 的规则很厉害样的，就套用了下 ，但是现在还没有启用，就是担心会不会有什么不妥，因为好多不能原版套到火绒里面

操作结果：自动【阻止】触犯网络协议控制的行为
项目名称：1禁止特定IP传入
侵犯动作：联入14.17.42.38:80

好像开启之后chrome不能联网

ELOHIM

w99308702 发表于 2017-6-21 15:10
5535是复制的时候多复制
大神 端口我也不太懂啊 只是感觉之前jxfaiu 的规则很厉害样的，就套用了下 ，但 ...

前几天手机看你发帖了，没有时间上来。

是我看错了，5355,5535，两个端口。

防火墙规则需要经常调试，修改，经常查看是否有未经允许的规则通过非法方式添加。

防火墙，三方的都有学习功能吧。积累一段时间，将日常使用的软件运行一次，创建相关规则以后。
研究一下，然后固定下来。
就可以开启增强模式了。成功与否都让它写日志。以便后期查看。

chrome不能联网，这个IP印象中貌似是腾讯家的吧？
联入在火绒里面是入站吗？不清楚火绒设置。
你看一下是不是这个IP被阻止了呢？

召唤一下火绒官人！~

piouu

zongk 发表于 2017-6-20 19:55
你先查查每条SEP规则的意思，好像有的是针对xp系统漏洞的，可能是SEP为了照顾广大仍然在用xp系统的企业用户

SEP不是不支持XP了吗？在下XP系统装了好久都装不进

諾言敵不過時間

幫你做了個出來，Chrome沒有不能連網第一條規則那如果是內網192.168.0.0-192.168.255.255這要修改一下

zongk

piouu 发表于 2017-6-24 01:26
SEP不是不支持XP了吗？在下XP系统装了好久都装不进

查了规则里某个端口，百度百科说xp漏洞。我就没有再查

piouu

zongk 发表于 2017-6-24 10:28
查了规则里某个端口，百度百科说xp漏洞。我就没有再查

感谢解答