新版MES防火墙规则可能需要自行打制

柯林

都说新版MES强大，以前试用过两次，印象不佳——装上，网都不通啊，老司机翻车了，囧

因为是外网，宽带用户，直接拨号上网的，用前也没去看下说明，用上不通真尬了，所以很快卸了

昨晚心血来潮，又试用一下—这次装的10.5版本，没装web组件（跟这个没关系），再仔细找了找设置，找到原因。

MES默认是为内网设计的，自带规则两部（一部“Mcafee核心网络”；一部“默认”），都是给内网配的，外网用不了。外网用户需要在“用户定义”里自己定制。如果勾选“启用适用性模式自动在客户端上创建规则”，通是能通，而这墙也就等于废了——允许所有协议自由进出！

宽带用户，添加pppoe拨号支持，就可以拨通网络，进一步的规则，还得自己打造——如果只添加这个，规则转向下面的“默认”（允许远程登录本机，允许所有ICMP协议，允许所有协议出站），这个也太“宽松”了！

一个外网用户，大概需要添加这样一些规则：
阻止高危端口入站
允许pppoe
允许域名解析
允许DHCP
允许网络对时
允许设备发现
允许安全的ICMP消息
允许GRE协议
如果用无线网之类，还得允许相关协议
允许出站HTTP访问
允许UDP高端口通信
阻止其它所有的IP协议

一个懒人用的外网规则，至此可以算基本完成。如果要进一步控制，还得加上程序规则（在“允许出站HTTP访问”里添加允许程序，比如浏览器、各种上网软件、系统更新程序、麦咖啡程序；在”允许UDP高端口通信”里添加程序，比如QQ、迅雷）；然后还得补上一条“阻止所有程序IP双向连接的规则”【相应的麻烦也就是得不断排除】。如果懒，就用上述所说懒人规则，或许勾选“Mcafee GTI网络信誉”，“阻止所有不受信任的可执行文件（访问网络？）”可以自行阻止有问题的程序？

柯林

冒险坐个沙发，外网防火墙规则貌似可以这样弄：

对于宽带上网用户（不管是ADSL还是光纤，只要是拨号上网），需要单独设置防火墙规则，否则网都不通（默认规则是给局域环境使用的）。

如果选择“调整选项”里的“启用适用性模式自动在客户端上创建规则”，网是能通，但也完蛋了——相当于废墙一个：允许所有通信！

所以，得自行设置。（如果选择了“启用适用性模式自动在客户端上创建规则”，请点击设置画面上的“重置为默认值”）

（一）、选项设置
“保护选项”，可以勾选“启动防火墙服务前仅允许出站通信”
“Mcafee GTI网络信誉”，或许可以勾选“阻止所有不受信任的可执行文件（访问网络？）”【实验证明，勾选这条，百度网盘登录失败！不知道能否拦截流氓推广、全家桶？】
“阻止阈值”，先默认吧，（有兴趣可以设置下看看）【设了阻止高风险入站、出站，暂时没发现影响】

（二）、规则设置
默认自带的Mcafee核心网络，大概是给部署有麦咖啡管理中心的局域网用的；
“默认”是个奇怪的混合，类型好像更适合局域网（公司内网）使用。
对于直接连接外网（互联网）的计算机而言，自带那两部规则就不管它了，自己在“用户定义”里面做一部适合外网的新规则。（注意，MSE的防火墙规则，IP规则与应用程序规则，可以同时写在一起，规则的优先级调整——直接拖动整条规则上下移动即可）

1、添加pppoe拨号规则
允许PPPOE发现（允许，双向，非IP协议，从列表中选择Ether Type：（8863）PPPOE发现协议）
允许PPPOE会话（允许，双向，非IP协议，从列表中选择Ether Type：（8864）PPPOE会话协议）

2、拦截高危端口入站（外网用户可以封堵一些高危端口）
拦截高危端口入站（阻止，记录匹配通信，入站，IP协议（IPV4+IPV6）,传输协议TCP，本地端口23,135,137,139,445,3389）

3、ICMP协议
允许ping出（允许，出站，IP协议，传输协议ICMP，消息类型：回显请求）
允许回应ping消息入站（允许，入站，IP协议，传输协议ICMP，消息类型：回显回复）
允许返回目标不可达（允许，入站，IP协议，传输协议ICMP，消息类型：目标不可访问）
允许返回超时消息（允许，入站，IP协议，传输协议ICMP，消息类型：超时）
【ICMP规则，一般用这4条就可以了，能够达到很好的隐身效果，非局域网用户千万不要允许ping入；如果使用IPV6协议，再写一遍ICMPv6的规则即可】

4、允许DHCP服务
允许BOOTP出站（允许，出站，UDP协议，本地端口68，远程端口67）
允许DHCPv6出站（允许，出站，UDP协议，本地端口546，远程端口547）

5、允许IKE入站
允许IKE入站（允许，入站，（IPV4+IPV6）UDP协议，本地端口500）

6、允许设备发现
允许UPnP出站（允许，出站，UDP协议，远程端口1900，目标地址-远程网络239.255.255.250）
这条可能放行入站好，因为高端口出站第11条已经允许，改为（允许入站，本地端口1900，地址，远程127.0.0.1，本地地址239.255.255.250，绑定系统程序C:\Windows\system32\svchost.exe）

7、允许网络时间同步
允许网络对时（允许，双向，UDP协议，本地端口123，远程端口123）

8、允许GRE协议
允许GRE协议（允许，双向，(IPv4+IPv6），传输协议：GRE）

9、允许域名解析服务
允许域名解析（允许，出站，(IPv4+IPv6），UDP协议，本地端口1024-65535，远程端口53，应用程序C:\Windows\system32\svchost.exe（如果不指定程序，应该就是允许所有程序使用））

10、允许出站HTTP访问
允许HTTP出站（允许，出站，(IPv4+IPv6），TCP协议，本地端口1024-65535，远程端口80,443,1080,8080）

11、允许UDP高端口通信
允许UDP高端口（允许，双向，(IPv4+IPv6），UDP协议，本地端口1024-65535，远程端口1024-65535）这条值得斟酌，不了解麦咖啡究竟是什么样的运作体系，改为允许UDP高端口出站，至于迅雷等P2P软件需要入站放行，再单独制定一个允许指定程序高端口（最好是指定端口）入站的规则好了（如果影响BT之类下载，可能还得加一条允许指定程序使用TCP专用端口入站）

12、阻止所有IP通信
阻止所有的IP协议（阻止，记录匹配通信，双向，(IPv4+IPv6），传输协议：全部协议）

最后一条（12）收尾规则阻止IP协议，能不能写成阻止所有协议？可以尝试，如果不影响地址解析ARP协议，应该可以。

设置结果如图：

ELOHIM

GRE协议是什么作用啊？

直接关掉不行吗？