请问防火墙规则方面是不是看到微软的就可以无脑放行？

maximum331

RT，安装的是eset smart security，因为感觉太安静了，缺少存在感，就把防火墙规则改为了交互。但是我个人其实又对电脑不太在行，判断“允许”“拒绝”的依据就是看第二栏的“公司”，如果是一些需要联网的软件公司，比如百度云管家，网易云音乐这些，我就统统创建规则允许他们联网，而对于一些不需要联网的，比如potplay这些本地视频播放软件，感觉我也不需要它们更新什么，我就拦下来。但是个人感觉询问的最多的还是公司为“Microsoft Corporation”的进出站通讯许可，我也不懂这些应用程序具体是做什么用的，或者为什么这个时候弹出来它需要联网，或者它连接的这个远程计算机，本地端口又是什么意思，反正只要是微软的我就无脑放行。


次数多了心里不禁有点担心，心想我这样不用eset来分析，自己这么擅作主张创建规则对不对？请教一下卡饭的各位高手？我这种看公司放行的判断方式安全吗？会不会病毒木马什么的通过什么伪装啊，劫持啊什么高科技手段，借着“Microsoft Corporation”这个通行证在我眼皮下畅行无阻？
谢谢大家，静候各位电脑大手的回复

fireherman

主要看的是【远程计算机】和【本地端口】（IP地址）这两栏。

很多恶意程序是通过【调用系统程序】联网下载（指向特定网址下载有害程序），然后再进行本地调用运行的。

所以（ESET的）FireWall和HIPS是一对密不可分的好基友，一个对外（防火墙），一个对内（HIPS）；适当的设置……适当的设置……适当的设置……，再配合ESET本身强大的启发引擎；对比起BD，卡巴，SEP这些大杀器是毫不逊色。

cloud01

红的阻止啊！

fireherman

而且楼主你这个是【入站】请求，因此必须要看清楚；（出站/入站 体现在谁是主动连接，谁是被动链接；而不是上传/下载 的意思；上传同样可以是出站，例如你用浏览器打开邮箱，通过附件功能上传文件，就是出站，而非入站）

入站：远程计算机主动要求和你链接；一定要搞清楚对方（IP）是不是可信的。

fireherman

cloud01 发表于 2017-10-9 21:30
红的阻止啊！

入站都是红色的，出站则全是蓝色；不能这样判断是否危险。

例如使用（正规的）P2P软件，例如eMule，如果开交互模式（且没有设置相应的防火墙规则），那么就会有入站请求（别人请求和你链接，下载你本地的数据）；但这并不（一定）危险。

eMule的P2P共享：

cloud01

fireherman 发表于 2017-10-9 21:29
主要看的是【远程计算机】和【本地端口】（IP地址）这两栏。

很多恶意程序是通过【调用系统程序】联 ...

加个系统常用程序白名单，先防注入和高危调用，再防对系统程序入站，次防莫名程序出站 ，这是比较粗糙的想法。。。

cloud01

fireherman 发表于 2017-10-9 21:36
入站都是红色的，出站则全是蓝色；不能这样判断是否危险。

例如使用（正规的）P2P软件，例如eMule ...

我都忘了这个，楼主这个入站有点危险吧

fireherman

cloud01 发表于 2017-10-9 21:44
我都忘了这个，楼主这个入站有点危险吧

看IP地址段啊：192.168.xxx.xxx [192.168.0.0-192.168.255.255]

本地IP段，DHCP服务，端口：UDP 53（DNS剖析）

如果选择拒绝的话，直接无法访问网站。

maximum331

fireherman 发表于 2017-10-9 21:36
入站都是红色的，出站则全是蓝色；不能这样判断是否危险。

例如使用（正规的）P2P软件，例如eMule ...

啊？我以前不懂，无脑允许了好多关于公司是微软的出站入站的，请问我现在把规则全删了，然后把防火墙改回自动模式，能亡羊补牢吗？

maximum331

看来我还是太连清啊，这个交互模式不适合我，我还是乖乖去玩自动吧，把这些端口啊，IP啊是否危险交给eset来判断