有必要为程序定制严谨的防火墙规则吗？

柯林

paink 发表于 2019-5-30 20:08
谢谢耐心回复，这个情况其实也是大致清楚的。

这些东西真是说得清，也说不清。如果你是当年的一票墙友，在木马猖獗的年代（什么灰鸽子、远控啥的），防火墙确实是被众多玩家，拿来当作了防御木马的一大工具，希望“在中马的情况下，切断木马的网络活动，让它最后失效”。这大约就是用墙的终极目的。那防火墙之所以兴起在计算机上，一开始是作为“防止外部攻击与入侵”的有力工具进行使用，对程序制定详细的管控规则，从内部进行防御，兼顾防内的作用，都是木马兴起的事了。

要说墙，就要说到网络通信机制——协议与七层通信模型。数据之所以可以在网上传输，都是基于各种各样的协议。对于万维网（因特网）来说，最重要的协议是TCP/IP协议，各种数据到了最后，离开计算机，冲出网卡，在网上进行传输，都是被封装成IP数据包，一个包跟着一个包的进行传递与投送，目标计算机收到包，需要进行解包，一层层地往下解，到传输层分解为TCP或UDP数据包之类，转交给程序进行处理。那么根据TCP/IP协议，计算机上可用的TCP端口有0-65535个，UDP端口也有0-65535个，每个端口都有专门的用途。通常来说，0-1023端口，是特殊端口，给约定的特殊服务用，本机进行网络活动时，只能使用1024-65535范围内的动态端口，这是客户端的情况（客户端负责发起对外的连接，只是连出）；像网站、服务器等以提供服务为目的的计算机，用的是固定的端口，比如常见的HTTP用80端口，HTTPS用443端口，（服务端负责接纳对内的连接，管的是连入）。绝大数程序，比如浏览器、办公软件、小程序神马的，基本上都是按照客户端的模型进行设计的，它们一般只须要连出就可以；而有些程序，在客户端的基础上，外加一个服务端，像P2P类软件如迅雷、QQ、微信、支付宝甚至某些网络游戏等，它们除了连出，还有连入，切断了就会受一定程度的影响。所以要说究竟有多大差别，那就得看程序怎么设计的，普通的客户端型的程序，放行连出就可以，普通上个网，浏览个网页，连上网站或服务器的TCP80与443端口就可以（有的网站使用代{过}{滤}理，你还得加上1080、8080、3280或8888之类的代{过}{滤}理端口，具体看代{过}{滤}理设置；甚至有的网站重新定义了端口号，不是用80端口与443端口来提供HTTP服务，比如82端口、83端口甚至更怪异的端口号，如果你不允许，相关网页就打不开）；它要客户端服务端一起来，你自然也得给予相应的方便，除非你就要跟它对着干或者跟自己对着干。

问题涉及的另一个方面，就是“详细的设置，究竟能带来多大的安全”，这可真说不清。除非你搭建测试平台，上抓包软件，进行一定时间段的抓包测试，否则都是空口无凭，仅仅陷入“无端的担忧与心理上的忧虑”。然而，即使你做了测试，考虑到实情——从运营商到你再到服务器之间，那么多的路由器，每个环节都可能陷入劫持与监听，那么你最终又能得到多大安全，这可真说不清。加上网络泄密，网站“留痕”之类，所谓安全，只是相对。抛开这些因素不说，单从防火墙规则来看，那你全部允许与“吝啬规定”，究竟有多大区别？一般情况下，没多大区别。它就只有那些动作，只做那些事情，你“全允许它”，它也不是“什么都做”；你专门定制，规定细致一些，它还是做那些事情，你说差别何在？有效的差别，就是在特殊规定的情况下，可以从日志与拦截来发现一些问题或避免一些问题，而这都是建立在机子已中毒或程序太特么不老实的基础上，否则没意义没差别。所以有时候换种角度与眼光来看，防火墙问题，其实就是——准不准联网的问题，至于准多准少，可能差别不大。

真正有差别的是防火墙全局IP规则设定，不当的设置会破坏机子隐身模式，会招致网上的小白扫描攻击。至于说到程序规则，具体、细致乃至苛刻的设定下，是不是安全等级就提高，真不好说。也许真的过滤或阻止掉了一些东西，也许未见得有用或有区别。而说到安全与防御，当然就不只是防火墙，还有一大堆联动，总之一句话，机子不中毒，拒毒于门外，就是好的。至于在有限玩具的基础上捣腾得扎实一点，是不是就保证了计算机在网络世界中的“安全”，牵涉东西太多，无法确定的因素太多，真是“说不准的事”，只能让使用者得到“我觉得安全”。

补充两句：除了端口与协议，地址当然也很重要。比如说，你放行svchost.exe外出连接TCP80端口与443端口，那它当然就什么网站都可以去连一连（理论上），假设你来个规定，允许访问的地址只是“微软更新服务器地址”，那么得，除了windows更新服务器，它啥也连不上，那么万一有一天，有神马病毒进入你的机子，注入了svchost.exe，指令它去连接病毒服务器就会失败，而你正好从日志里抓到这个鬼，一番手动杀杀杀，把漏掉的鬼给抓到，那就是你折腾一番规则的最高奖励。指定或限定地址，可以过滤或屏蔽一堆或一大堆地址，比如以IP网段进行的“封堵”设定，如果病毒网站或挂马网页正好在你屏蔽的网段内，你的浏览器无论如何是遇不上的，这也是额外的防毒措施。所以认真来说，简单允许，与详细规定，当然是有差别的。问题的最后，只是你的需要与爱好，因为对一般人来说，官方默认设定，基本上不出啥问题。顺便插一句，浏览器可能还会涉及FTP下载等内容（如果你使用FTP模式的话），并不是简单的允许或拒绝80端口与443端口就完事，都得看具体的需要与应用。

156276449

看各位都很专业啊，不过。我们的电脑也没有什么机密啊，黑客没事不会黑我们的吧

A.Thousand.Suns

对于个人用户没什么必要，其实你自己也说了对真正的黑客防火墙防不住，除非说你是想折腾玩玩还是可以

paink

156276449 发表于 2019-5-31 09:14
看各位都很专业啊，不过。我们的电脑也没有什么机密啊，黑客没事不会黑我们的吧

也没什么技术含量，主要是讨论一些关于防火墙，在对内和对外防御上的一些看法、写规则的思路。

KK院长

不需要联网工作的软件禁止联网,必须连的如浏览器可以连, 即可.

网络方面的防护: 设置好HIPS 即可,如,CMD,  PS1 , 等.

基于信誉签名:  可以DIY ,

HEMM

喜欢定就定，不喜欢就不定。自由！作死的时候必须定，其余无所谓了，顶多中流氓

羽扇纶巾

说有必要的，4D监控*也不为过。说无必要的，CFW默认也未尝不可。边界在4D，程度在全局*与例外之间。有必要亦无必要，这才叫自定义。

kfunname

paink 发表于 2019-5-30 17:57
很不错的回复，但有一点没有说透彻：
这首先限定了要使用自定义模式，但这个模式下需要为几乎所有的程序定 ...

我更改一下，当时编辑的时候没有注意，其实我说②的时候，是想说意思就是，有专门的预设规则的软件类型都可以套上预设规则，比如浏览器对应的 网页浏览器规则、邮件客户端的 邮件客户端规则

然后①，不需要多少“自定义”，只要将那些不希望联网的放到一个文件组里，一个规则就行了，其它规则并不需要改动，防火墙组件依然可以用 安全模式，这可以减少一些软件的用户数据获取，比如有些软件的遥测、甚至悄悄地盗取用户的、不希望被获取的隐私数据；
②的必要性和意义，因为我看到你说的是

不要求特别细致，但应具有最起码的针对性（针对该（类）程序的网络行为特点）

我认为，这是比较省事，而且可以有基础防御的做法，毕竟预设的规则是Comodo官方经过测试以及多年考虑所定制的，具体的规则也是使软件在最基础的联网需求下正常使用。

最起码，禁止遥测、不明确的用户数据上传等等，这种我认为是必须禁止的，绝不是“为了防御而防御”至于预设的规则，类型也不多，可能确实不太适合，自己增加更有针对性的规则会更好，

paink

kfunname 发表于 2019-5-31 22:55
我更改一下，当时编辑的时候没有注意，其实我说②的时候，是想说意思就是，有专门的预设规则的软件类型都 ...

是啊，系统里某些流氓，灰色行为，对用户无用的网络行为，禁一下还是有些意义的。

paink

羽扇纶巾 发表于 2019-5-31 19:24
说有必要的，4D监控*也不为过。说无必要的，CFW默认也未尝不可。边界在4D，程度在全局*与例外之间。有必要 ...

正是因为自定义要求太高，在不断定制规则时，很容易就忘记了原来的目的。

不忘初心，方得永久。
初心是什么？安全？防御？
很多豆油都会这么反应吧，所谓的“为了防御而防御”不就是这样！

关键是定制什么样的规则才是在合理的防御，防到了什么……
弄清楚这些，才不会偏离使用毛豆的正确方向。