查看: 3462|回复: 2
收起左侧

[讨论] 新版MES防火墙规则可能需要自行打制

[复制链接]
柯林
发表于 2018-6-26 10:06:22 | 显示全部楼层 |阅读模式
都说新版MES强大,以前试用过两次,印象不佳——装上,网都不通啊,老司机翻车了,囧

因为是外网,宽带用户,直接拨号上网的,用前也没去看下说明,用上不通真尬了,所以很快卸了

昨晚心血来潮,又试用一下—这次装的10.5版本,没装web组件(跟这个没关系),再仔细找了找设置,找到原因。

MES默认是为内网设计的,自带规则两部(一部“Mcafee核心网络”;一部“默认”),都是给内网配的,外网用不了。外网用户需要在“用户定义”里自己定制。如果勾选“启用适用性模式自动在客户端上创建规则”,通是能通,而这墙也就等于废了——允许所有协议自由进出!

宽带用户,添加pppoe拨号支持,就可以拨通网络,进一步的规则,还得自己打造——如果只添加这个,规则转向下面的“默认”(允许远程登录本机,允许所有ICMP协议,允许所有协议出站),这个也太“宽松”了!

一个外网用户,大概需要添加这样一些规则:
阻止高危端口入站
允许pppoe
允许域名解析
允许DHCP
允许网络对时
允许设备发现
允许安全的ICMP消息
允许GRE协议
如果用无线网之类,还得允许相关协议
允许出站HTTP访问
允许UDP高端口通信
阻止其它所有的IP协议

一个懒人用的外网规则,至此可以算基本完成。如果要进一步控制,还得加上程序规则(在“允许出站HTTP访问”里添加允许程序,比如浏览器、各种上网软件、系统更新程序、麦咖啡程序;在”允许UDP高端口通信”里添加程序,比如QQ、迅雷);然后还得补上一条“阻止所有程序IP双向连接的规则”【相应的麻烦也就是得不断排除】。如果懒,就用上述所说懒人规则,或许勾选“Mcafee GTI网络信誉”,“阻止所有不受信任的可执行文件(访问网络?)”可以自行阻止有问题的程序?
柯林
 楼主| 发表于 2018-6-26 12:09:23 | 显示全部楼层
本帖最后由 柯林 于 2018-6-26 15:24 编辑

冒险坐个沙发,外网防火墙规则貌似可以这样弄:

对于宽带上网用户(不管是ADSL还是光纤,只要是拨号上网),需要单独设置防火墙规则,否则网都不通(默认规则是给局域环境使用的)。

如果选择“调整选项”里的“启用适用性模式自动在客户端上创建规则”,网是能通,但也完蛋了——相当于废墙一个:允许所有通信!

所以,得自行设置。(如果选择了“启用适用性模式自动在客户端上创建规则”,请点击设置画面上的“重置为默认值”)

(一)、选项设置
“保护选项”,可以勾选“启动防火墙服务前仅允许出站通信”
“Mcafee GTI网络信誉”,或许可以勾选“阻止所有不受信任的可执行文件(访问网络?)”【实验证明,勾选这条,百度网盘登录失败!不知道能否拦截流氓推广、全家桶?】
“阻止阈值”,先默认吧,(有兴趣可以设置下看看)【设了阻止高风险入站、出站,暂时没发现影响】

(二)、规则设置
默认自带的Mcafee核心网络,大概是给部署有麦咖啡管理中心的局域网用的;
“默认”是个奇怪的混合,类型好像更适合局域网(公司内网)使用。
对于直接连接外网(互联网)的计算机而言,自带那两部规则就不管它了,自己在“用户定义”里面做一部适合外网的新规则。(注意,MSE的防火墙规则,IP规则与应用程序规则,可以同时写在一起,规则的优先级调整——直接拖动整条规则上下移动即可)

1、添加pppoe拨号规则
允许PPPOE发现(允许,双向,非IP协议,从列表中选择Ether Type:(8863)PPPOE发现协议)
允许PPPOE会话(允许,双向,非IP协议,从列表中选择Ether Type:(8864)PPPOE会话协议)

2、拦截高危端口入站(外网用户可以封堵一些高危端口)
拦截高危端口入站(阻止,记录匹配通信,入站,IP协议(IPV4+IPV6),传输协议TCP,本地端口23,135,137,139,445,3389)

3、ICMP协议
允许ping出(允许,出站,IP协议,传输协议ICMP,消息类型:回显请求)
允许回应ping消息入站(允许,入站,IP协议,传输协议ICMP,消息类型:回显回复)
允许返回目标不可达(允许,入站,IP协议,传输协议ICMP,消息类型:目标不可访问)
允许返回超时消息(允许,入站,IP协议,传输协议ICMP,消息类型:超时)
【ICMP规则,一般用这4条就可以了,能够达到很好的隐身效果,非局域网用户千万不要允许ping入;如果使用IPV6协议,再写一遍ICMPv6的规则即可】

4、允许DHCP服务
允许BOOTP出站(允许,出站,UDP协议,本地端口68,远程端口67)
允许DHCPv6出站(允许,出站,UDP协议,本地端口546,远程端口547)

5、允许IKE入站
允许IKE入站(允许,入站,(IPV4+IPV6)UDP协议,本地端口500)

6、允许设备发现
允许UPnP出站(允许,出站,UDP协议,远程端口1900,目标地址-远程网络239.255.255.250)
这条可能放行入站好,因为高端口出站第11条已经允许,改为(允许入站,本地端口1900,地址,远程127.0.0.1,本地地址239.255.255.250,绑定系统程序C:\Windows\system32\svchost.exe)

7、允许网络时间同步
允许网络对时(允许,双向,UDP协议,本地端口123,远程端口123)

8、允许GRE协议
允许GRE协议(允许,双向,(IPv4+IPv6),传输协议:GRE)

9、允许域名解析服务
允许域名解析(允许,出站,(IPv4+IPv6),UDP协议,本地端口1024-65535,远程端口53,应用程序C:\Windows\system32\svchost.exe(如果不指定程序,应该就是允许所有程序使用))

10、允许出站HTTP访问
允许HTTP出站(允许,出站,(IPv4+IPv6),TCP协议,本地端口1024-65535,远程端口80,443,1080,8080)

11、允许UDP高端口通信
允许UDP高端口(允许,双向,(IPv4+IPv6),UDP协议,本地端口1024-65535,远程端口1024-65535)这条值得斟酌,不了解麦咖啡究竟是什么样的运作体系,改为允许UDP高端口出站,至于迅雷等P2P软件需要入站放行,再单独制定一个允许指定程序高端口(最好是指定端口)入站的规则好了(如果影响BT之类下载,可能还得加一条允许指定程序使用TCP专用端口入站)

12、阻止所有IP通信
阻止所有的IP协议(阻止,记录匹配通信,双向,(IPv4+IPv6),传输协议:全部协议)

最后一条(12)收尾规则阻止IP协议,能不能写成阻止所有协议?可以尝试,如果不影响地址解析ARP协议,应该可以。

设置结果如图:



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
freesoft00 + 1
小小龙 + 1 有配图就更好了,加分鼓励

查看全部评分

ELOHIM
发表于 2018-6-26 15:25:29 | 显示全部楼层
GRE协议是什么作用啊?

直接关掉不行吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 14:26 , Processed in 0.132553 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表