有必要为程序定制严谨的防火墙规则吗？

paink

柯林 发表于 2019-5-30 18:43
很难有完美的防御或可以彻底的较真，所有问题到最后，都是策略。从防毒的角度说，用正版的软件与系统，不 ...

你这样的回复真是……

我自认习惯很好，现在用的很多软件都是往开源靠拢（毕竟用着也确实不错），其实，即使什么杀软也不装，我也有相当的把握半年之内不会碰到病毒。但是，按你的意思，那么现在卸下毛豆，脱了裤子开奔？

你写地最长那一段……我不算是那类人，只是想确定自订规则的边界在哪。
当然是一句：该允许的允许，该阻止的阻止。可是这么说就太软文鸡汤了。（并不是说你的回复是这样，而是有其他网友的回复类似如此）

paink

雪拥蓝关 发表于 2019-5-30 19:09
有没有必要，是看具体个人的。绝大多数用户是不需要的，只要用个系统墙加杀毒，上网和下载及移动存储用品时 ...

但是综合来说，学习成本和使用效率及体验的方便性，是不如不用的舒服，只是严格仔细地使用HIPS和防火墙在安全性上是提高了。

说的真好

但是防火墙应该用到什么程度呢？

zgj_lz

为已知类制定相应策略，加强对未知类的管控。

paink

zgj_lz 发表于 2019-5-30 19:33
为已知类制定相应策略，加强对未知类的管控。

未知类的用默认阻止就搞定，关键是“为已知类制定相应策略”。

这个策略是什么级别的？
1. 简单的允许/阻止？
2. 符合程序既定的网络行为的规则？
3. 或十分严格的模式？

雪拥蓝关

paink 发表于 2019-5-30 19:26
说的真好

但是防火墙应该用到什么程度呢？

那还是看你自己喜欢哪，可能默认三五年也中不了招，这看个人心理的吧，能接受麻烦一点的，就花点时间研究折腾一下，以办公一般上网为主的就粗略点。经常用外{过}{滤}挂的，那就谁都不敢保证了。

paink

雪拥蓝关 发表于 2019-5-30 19:42
那还是看你自己喜欢哪，可能默认三五年也中不了招，这看个人心理的吧，能接受麻烦一点的，就花点时间研究 ...

谢谢耐心回复，这个情况其实也是大致清楚的。


说点更细的东西，举个例子：

有一个常用的办公软件，评级为信任，但是几乎不联网，联网的话也是常见的更新、数据查询这样的行为。
使用单纯的允许似乎不太好，写一条规则的话就是允许80/443出。

疑惑在于，这样的“允许80/443出”规则能干什么？能防什么？
仅仅只是为了避免封杀导致的使用不方便，这样的规则从性质上来说并没有任何的安全属性，而且有很多类似性质的规则存在。即使对于用户不能完全确定为安全的程序，许多时候也要设置这样的规则，以保证基本的使用，这跟用户的知识水平、习惯、意志等毫无关系。

比较明显的是，这样的规则不算苛求和严格，足够“粗略”。在设置上，同样性质的规则还有很多，那么这些规则在防些什么？真的有安全意义？
加上卡饭高人对防火墙的种种质疑，这么用防火墙，感觉意义一片空白。

提炼一下问题：
上面提到的这种性质的规则，比起单纯的“允许”好在何处？
或者从反面来看，则是除了“允许80/443出”，一律禁止。那么反面的被禁掉的网络行为从性质、成分上看是怎么样的？

@柯林 请求回答一下这里的这个问题。

zgj_lz

安检通道。

paink

zgj_lz 发表于 2019-5-30 20:35
安检通道。

除了程序本身的不规范的网络行为，还会有其他性质和成分的吗？

如果真的需要“安检”的话，假设病毒利用此程序，或这个程序本身把数据包装成符合这种规则的网络行为（其实，这种80/443出的行为太过常见了），安检有什么意义？规则的性质就是允许出，也就无所谓检不检的了吧。
（这里接下去的话，有网友会说，被病毒感染利用或程序本身有问题，需要杀毒、hips、沙盒出面……的确是这样，那么防火墙呢？岂不是只能用一套禁止的规则才能保平安？）


ps：这一楼还是得和16楼联系起来，才能看出问题。

雪拥蓝关

从反泄漏的角度来说，病毒木马要过纯墙还是很容易的吧。带HIPS的墙才能有效控制好联网和隐私的泄漏。

paink

雪拥蓝关 发表于 2019-5-30 21:44
从反泄漏的角度来说，病毒木马要过纯墙还是很容易的吧。带HIPS的墙才能有效控制好联网和隐私的泄漏。

那么，防火墙对于内部程序，岂不是真的没用了。