被忽视的防火墙。

jone_jys

现在防火墙的地位似乎没那么明显了，但是该显身手的时候从不会掉链子。

--------------------
以下日志，都是防火墙在后台静默拦截的日志：

1 内置的GTI拦截规则：

时间:         06/28/2020 04:17:02 下午
事件:  流量
IP 地址:  ff02:0000:0000:0000:0000:0000:0000:00fb
说明:  PDDBROWSER
路径:  C:\Users\YuanSheng\AppData\Local\tools\pinduoduo\pddbrowser\pddwebworkbench.exe
消息:      Blocked Outgoing UDP  -  源  fe80:0000:0000:0000:b478:015b:c265:8f0e :  (5353)   目标  ff02:0000:0000:0000:0000:0000:0000:00fb :  (5353)
匹配的规则:  GTI Rule - UDP - Out

时间:         06/28/2020 04:17:02 下午
事件:  流量
IP 地址:  224.0.0.251
说明:  PDDBROWSER
路径:  C:\Users\YuanSheng\AppData\Local\tools\pinduoduo\pddbrowser\pddwebworkbench.exe
消息:      Blocked Outgoing UDP  -  源  192.168.2.101 :  (5353)   目标  224.0.0.251 :  (5353)
匹配的规则:  GTI Rule - UDP - Out

2 即便手动设置了拦截规则，GTI也会“根据评级”进行自动化处理：
如，下面这条规则，原本已经手动设置了HTTP出战规则了，限制了访问80和443端口，用edge访问某些网站依然会自动截停流量。

时间:         06/28/2020 05:33:38 下午
事件:  流量
IP 地址:  116.211.169.137
说明:  MICROSOFT EDGE
路径:  C:\Users\YuanSheng\AppData\Local\Microsoft\Edge Dev\Application\msedge.exe
消息:      Blocked Outgoing TCP  -  源  192.168.2.101 :  (58676)   目标  116.211.169.137 : http (80)
匹配的规则:  GTI Rule - TCP - Out

3 手动设置的端口规则：（参考上一条规则对比）

时间:         06/28/2020 08:52:29 下午
事件:  流量
IP 地址:  219.133.60.246
说明:  软件下载器-软件下载
路径:  C:\Users\YuanSheng\Downloads\QQSoftDownloader_v1.1_webnew_1841@.exe
消息:      Blocked Outgoing TCP  -  源  192.168.2.101 :  (50840)   目标  219.133.60.246 : http (80)
匹配的规则:  禁止HTTP通信

4 手动设置的规则：

时间:         06/28/2020 07:50:18 上午
事件:  流量
IP 地址:  192.168.2.106
说明:  
路径:  
消息:      Blocked Incoming ICMP  -  源  192.168.2.106 :  (2048)   目标  192.168.2.101 :  (0)
匹配的规则:  禁止Ping入

顺一张图吧：


规则很少，基本上就是将VSE的几条内置的端口规则给移植过来了。
----------------------

PS：早些年很钟爱VSE系的产品，从第一次接触的8.0i(当时的维金病毒，第一时间有且只有这货能彻底清除修复)，一直持续用到8.8，从未间断；
       当时就在想要是能集合一下防火墙那该多好呀，现在MES10.X系列终于如愿以偿了，还主打了“自适应防护”功能。惊喜！

最后：MES系列的小bug还不少，性能问题有待进一步优化。以美系的尿性，慢慢等吧。。。。。。。。。。。。。。。。。。

jone_jys

自己占个楼。

针对上述的 第2点日志，估计有人看不懂。这里提出来说一下吧！
从图中可以看见一条规则：允许HTTP通讯。
这里面其实已经排除了msedge.exe的，否则浏览器就彻底歇菜了。

既然已经排除了，为啥还要拦截日志呢？这就是GTI的功劳了，在线评级。根据收集的大数据“信誉评级”自动判断是否放行。

所以，用MES的童鞋，尽量还是打开GTI功能吧！虽然多少会影响一些网速的。（默认是关闭的）
上面两项勾选即可；下面的阈值，自己根据需求吧！
如果级别调高了有不能访问的站点，还可以排除哦！自己找找吧。。

fswen1234

感谢提醒，顺手改了设置

klinxun

企业版啊……
想起了个人版，默认吧入侵检测给关了的……

ly910326

虽然有时不太痛快，但这个必须有、

cracknew

如果是生产服务器，防御攻击得防火墙+WAF