有必要为程序定制严谨的防火墙规则吗？

paink

毛豆网络防火墙是有一个基于信誉签名的“安全模式”，这样对于小白用户也可以有最起码的网络安全保护。但是，对于系统中的软件较多，种类繁杂，电脑用户不太固定，网络环境较为复杂的用户，又该怎么处理网络方面的防护呢？

论坛里经常看到有大佬会说：

系统自带的就可以、毛豆默认的就够；
对于真正的病毒防火墙作用不大，或者真正的黑客，用防火墙防不住；
或者有的说，现代的病毒用防火墙去防没有意义……




无论是病毒木马，还是日常程序、少见程序，是否有必要去定制合适的规则？

不要求特别细致，但应具有最起码的针对性（针对该（类）程序的网络行为特点），这样的规则，也没有意义了吗？

换句话说，如果需要防火墙规则的话，应该定制到什么程度为止？

柯林

paink 发表于 2019-5-30 20:08
谢谢耐心回复，这个情况其实也是大致清楚的。

这些东西真是说得清，也说不清。如果你是当年的一票墙友，在木马猖獗的年代（什么灰鸽子、远控啥的），防火墙确实是被众多玩家，拿来当作了防御木马的一大工具，希望“在中马的情况下，切断木马的网络活动，让它最后失效”。这大约就是用墙的终极目的。那防火墙之所以兴起在计算机上，一开始是作为“防止外部攻击与入侵”的有力工具进行使用，对程序制定详细的管控规则，从内部进行防御，兼顾防内的作用，都是木马兴起的事了。

要说墙，就要说到网络通信机制——协议与七层通信模型。数据之所以可以在网上传输，都是基于各种各样的协议。对于万维网（因特网）来说，最重要的协议是TCP/IP协议，各种数据到了最后，离开计算机，冲出网卡，在网上进行传输，都是被封装成IP数据包，一个包跟着一个包的进行传递与投送，目标计算机收到包，需要进行解包，一层层地往下解，到传输层分解为TCP或UDP数据包之类，转交给程序进行处理。那么根据TCP/IP协议，计算机上可用的TCP端口有0-65535个，UDP端口也有0-65535个，每个端口都有专门的用途。通常来说，0-1023端口，是特殊端口，给约定的特殊服务用，本机进行网络活动时，只能使用1024-65535范围内的动态端口，这是客户端的情况（客户端负责发起对外的连接，只是连出）；像网站、服务器等以提供服务为目的的计算机，用的是固定的端口，比如常见的HTTP用80端口，HTTPS用443端口，（服务端负责接纳对内的连接，管的是连入）。绝大数程序，比如浏览器、办公软件、小程序神马的，基本上都是按照客户端的模型进行设计的，它们一般只须要连出就可以；而有些程序，在客户端的基础上，外加一个服务端，像P2P类软件如迅雷、QQ、微信、支付宝甚至某些网络游戏等，它们除了连出，还有连入，切断了就会受一定程度的影响。所以要说究竟有多大差别，那就得看程序怎么设计的，普通的客户端型的程序，放行连出就可以，普通上个网，浏览个网页，连上网站或服务器的TCP80与443端口就可以（有的网站使用代{过}{滤}理，你还得加上1080、8080、3280或8888之类的代{过}{滤}理端口，具体看代{过}{滤}理设置；甚至有的网站重新定义了端口号，不是用80端口与443端口来提供HTTP服务，比如82端口、83端口甚至更怪异的端口号，如果你不允许，相关网页就打不开）；它要客户端服务端一起来，你自然也得给予相应的方便，除非你就要跟它对着干或者跟自己对着干。

问题涉及的另一个方面，就是“详细的设置，究竟能带来多大的安全”，这可真说不清。除非你搭建测试平台，上抓包软件，进行一定时间段的抓包测试，否则都是空口无凭，仅仅陷入“无端的担忧与心理上的忧虑”。然而，即使你做了测试，考虑到实情——从运营商到你再到服务器之间，那么多的路由器，每个环节都可能陷入劫持与监听，那么你最终又能得到多大安全，这可真说不清。加上网络泄密，网站“留痕”之类，所谓安全，只是相对。抛开这些因素不说，单从防火墙规则来看，那你全部允许与“吝啬规定”，究竟有多大区别？一般情况下，没多大区别。它就只有那些动作，只做那些事情，你“全允许它”，它也不是“什么都做”；你专门定制，规定细致一些，它还是做那些事情，你说差别何在？有效的差别，就是在特殊规定的情况下，可以从日志与拦截来发现一些问题或避免一些问题，而这都是建立在机子已中毒或程序太特么不老实的基础上，否则没意义没差别。所以有时候换种角度与眼光来看，防火墙问题，其实就是——准不准联网的问题，至于准多准少，可能差别不大。

真正有差别的是防火墙全局IP规则设定，不当的设置会破坏机子隐身模式，会招致网上的小白扫描攻击。至于说到程序规则，具体、细致乃至苛刻的设定下，是不是安全等级就提高，真不好说。也许真的过滤或阻止掉了一些东西，也许未见得有用或有区别。而说到安全与防御，当然就不只是防火墙，还有一大堆联动，总之一句话，机子不中毒，拒毒于门外，就是好的。至于在有限玩具的基础上捣腾得扎实一点，是不是就保证了计算机在网络世界中的“安全”，牵涉东西太多，无法确定的因素太多，真是“说不准的事”，只能让使用者得到“我觉得安全”。

补充两句：除了端口与协议，地址当然也很重要。比如说，你放行svchost.exe外出连接TCP80端口与443端口，那它当然就什么网站都可以去连一连（理论上），假设你来个规定，允许访问的地址只是“微软更新服务器地址”，那么得，除了windows更新服务器，它啥也连不上，那么万一有一天，有神马病毒进入你的机子，注入了svchost.exe，指令它去连接病毒服务器就会失败，而你正好从日志里抓到这个鬼，一番手动杀杀杀，把漏掉的鬼给抓到，那就是你折腾一番规则的最高奖励。指定或限定地址，可以过滤或屏蔽一堆或一大堆地址，比如以IP网段进行的“封堵”设定，如果病毒网站或挂马网页正好在你屏蔽的网段内，你的浏览器无论如何是遇不上的，这也是额外的防毒措施。所以认真来说，简单允许，与详细规定，当然是有差别的。问题的最后，只是你的需要与爱好，因为对一般人来说，官方默认设定，基本上不出啥问题。顺便插一句，浏览器可能还会涉及FTP下载等内容（如果你使用FTP模式的话），并不是简单的允许或拒绝80端口与443端口就完事，都得看具体的需要与应用。

kfunname

起码
①不需要联网工作的软件禁止联网；
②浏览器之类的，套上预设的规则；
③端口防御（勒索、远程之类的特殊端口）；
④等等。

BBCALL

系统自带的就可以、毛豆默认的就够

提出此论，但好像也一直提出规则的强化，但默认的真的很够用。

对于真正的病毒防火墙作用不大，或者真正的黑客，用防火墙防不住

防火墙防不防不住，不是一般用户级别的问题，默认下，一个入沙的毒想出墙，还是要你同意，就算又下载了毒，还是得乖乖在沙盘里。

或者有的说，现代的病毒用防火墙去防没有意义……

奇怪的言论一堆，那么也可以说防毒是不必要的。

paink

BBCALL 发表于 2019-5-30 15:50
提出此论，但好像也一直提出规则的强化，但默认的真的很够用。

默认的真的很够用

1. 默认似乎是“安全模式”，不会针对任何已知的可信（仅就签名证书）程序。
2. 入沙的，除了毒，也会有正常程序。反过来，不入沙的也可能会有病毒、木马，一些相当可恨的流氓。

网络里奇怪言论很多，重要的是这类言论背后反映的问题，我有疑惑的，也只是1楼最后的三个问题。

con16

paink 发表于 2019-5-30 17:32
默认似乎是“安全模式”，不会针对任何已知的可信（仅就签名证书）程序。

防火牆預設規則
你把瀏覽器入沙還是會問你是否要放行這個已知的瀏覽器連線

毛豆防火牆其實本意就是預設拒絕，只是現在走智能
像CIS組態可能直接放不跳出來，防火牆設定裡面要取消默認不跳出通知
組態改proactive security就是全部跳給你決定

paink

很不错的回复，但有一点没有说透彻：

①不需要联网工作的软件禁止联网；

这首先限定了要使用自定义模式，但这个模式下需要为几乎所有的程序定制规则，即使是一个简单的允许/阻止规则。这么做意义在何处呢？

②浏览器之类的，套上预设的规则；

既然浏览器之类的需要套用预设规则，那么其他类型的软件呢？
不针对某一具体程序，而是针对一类程序定制一套规则。问题是：有没有必要，意义是什么？


说真的，我用了很久的毛豆，有时候会“为了防御而防御”，目的都变得模糊了。特别是毛豆防火墙的这种“假智能模式”，使用起来未必有想象中的那么趁手。只能被迫的开启自定义模式，那么自定义模式的边界在哪？
是可信（用户层的可信）程序使用简略、宽松的规则（例如单纯的允许），不太可信的用严谨、细致规则？
估计大多数豆油都是这样的吧，那么这样能防住什么？防的又是什么？

paink

con16 发表于 2019-5-30 17:45
防火牆預設規則
你把瀏覽器入沙還是會問你是否要放行這個已知的瀏覽器連線

前提在于“瀏覽器入沙”。不入沙是不行的。也就是说，这里的防火墙和沙盒进行联动，安全模式不会针对入沙程序，然而，你能把所有“不是十分确定为安全”的程序都入沙？

paink

con16 发表于 2019-5-30 17:45
防火牆預設規則
你把瀏覽器入沙還是會問你是否要放行這個已知的瀏覽器連線

我能理解你的意思为：

用毛豆墙应该使用自定义模式，默认全局阻止，为允许的程序定制最简单的“允许”规则。

是这样的意思吗？

柯林

paink 发表于 2019-5-30 17:57
很不错的回复，但有一点没有说透彻：这首先限定了要使用自定义模式，但这个模式下需要为几乎所有的程序定制 ...

很难有完美的防御或可以彻底的较真，所有问题到最后，都是策略。从防毒的角度说，用正版的软件与系统，不下乱七八糟的软件，不用流氓或可疑程序，及时更新软件与系统补丁，那么中毒的可能性是极小的，平常基本上机子处于“干净状态”，防御或不防御，实际区别不大。所以防毒的最高境界，不是防御，而是干净与单纯，以及良好的习惯与安全意识，能够真正做到彻底干净、时时干净的话，防毒软件与厂家都要下岗了。

默认只管威胁，不管安全，确实够用（你要装流氓什么的那是你的事）。好比国家安全机关与警察部门，盯住可疑分子与坏分子就够了，如果每一个人都要盯防，哪来那么多的精力与资源？这就是默认只管威胁的策略够一般人日常应用的原因。

当然说到折腾，每个折腾户都想尽可能地安全到家，尽可能地细化。以你举例的浏览器来说，假设你有装N多浏览器，其中一个用来专用，比如说，只上卡饭，其它一概联不通，那你当然就会详细打磨——首先，查证卡饭的IP地址，为它制定防火墙规则，只允许TCP出站，目标地址卡饭IP地址，其它全拦截；如果没有集中使用svchost作域名解析，那么你还得为它再定一条，允许UDP出站，目标地址为域名解析服务器IP例如114.114.114.114；搞定防火墙，你还不放心，心想万一这货被病毒木马给注入了呢？于是你打开HIPS规则编辑，为它制定自保规则，只允许指定的安全可靠程序访问它的内存、给它发消息、结束它的进程、把某个钩子文件安装到它身上；然后你还不放心，心想万一这货发疯了给我乱整，破坏俺的机子怎么办？于是你噼里啪啦又弄一堆HIPS规则，规定它这也不能干，那也不能碰……………………结果呢，实际使用当中，在机子未中毒的情况下，以及这货的厂商没有背后搞鬼来个云端下发指令的情况下，这货啥也没干，一大堆规则与设定，全是空闲状态，这跟用默认，乃至于作死型用户的裸奔，效果一样的（至少短时期内暂时一样），这该怎么评判和平衡自己的心理呢？

所以道理有时候真的说不清，关键看你的需要与角度。你要觉得有这必要，就要从这方面考虑，那就“下定决心，排除万难”，不管别人怎么说，我就要这么做，而且做好，尽可能地做到尽善尽美，也就是了，关别人什么事也扯不上的，你要，故你在！

雪拥蓝关

有没有必要，是看具体个人的。绝大多数用户是不需要的，只要用个系统墙加杀毒，上网和下载及移动存储用品时注意点，也是很安全。所以HIPS没落了。而确定有必要的，是想对电脑的掌控，防流氓防毒，以致力于尽可能高的安全系数，自己喜欢就好。但是综合来说，学习成本和使用效率及体验的方便性，是不如不用的舒服，只是严格仔细地使用HIPS和防火墙在安全性上是提高了。