查看: 1974|回复: 5
收起左侧

[讨论] 被忽视的防火墙。

[复制链接]
jone_jys
头像被屏蔽
发表于 2020-6-28 21:06:08 | 显示全部楼层 |阅读模式

现在防火墙的地位似乎没那么明显了,但是该显身手的时候从不会掉链子。

--------------------
以下日志,都是防火墙在后台静默拦截的日志:

1 内置的GTI拦截规则:
时间:         06/28/2020 04:17:02 下午
事件:  流量
IP 地址:  ff02:0000:0000:0000:0000:0000:0000:00fb
说明:  PDDBROWSER
路径:  C:\Users\YuanSheng\AppData\Local\tools\pinduoduo\pddbrowser\pddwebworkbench.exe
消息:      Blocked Outgoing UDP  -  源  fe80:0000:0000:0000:b478:015b:c265:8f0e :  (5353)   目标  ff02:0000:0000:0000:0000:0000:0000:00fb :  (5353)
匹配的规则:  GTI Rule - UDP - Out

时间:         06/28/2020 04:17:02 下午
事件:  流量
IP 地址:  224.0.0.251
说明:  PDDBROWSER
路径:  C:\Users\YuanSheng\AppData\Local\tools\pinduoduo\pddbrowser\pddwebworkbench.exe
消息:      Blocked Outgoing UDP  -  源  192.168.2.101 :  (5353)   目标  224.0.0.251 :  (5353)
匹配的规则:  GTI Rule - UDP - Out


2 即便手动设置了拦截规则,GTI也会“根据评级”进行自动化处理:
如,下面这条规则,原本已经手动设置了HTTP出战规则了,限制了访问80和443端口,用edge访问某些网站依然会自动截停流量。
时间:         06/28/2020 05:33:38 下午
事件:  流量
IP 地址:  116.211.169.137
说明:  MICROSOFT EDGE
路径:  C:\Users\YuanSheng\AppData\Local\Microsoft\Edge Dev\Application\msedge.exe
消息:      Blocked Outgoing TCP  -  源  192.168.2.101 :  (58676)   目标  116.211.169.137 : http (80)
匹配的规则:  GTI Rule - TCP - Out
3 手动设置的端口规则:(参考上一条规则对比)
时间:         06/28/2020 08:52:29 下午
事件:  流量
IP 地址:  219.133.60.246
说明:  软件下载器-软件下载
路径:  C:\Users\YuanSheng\Downloads\QQSoftDownloader_v1.1_webnew_1841@.exe
消息:      Blocked Outgoing TCP  -  源  192.168.2.101 :  (50840)   目标  219.133.60.246 : http (80)
匹配的规则:  禁止HTTP通信



4 手动设置的规则:
时间:         06/28/2020 07:50:18 上午
事件:  流量
IP 地址:  192.168.2.106
说明:  
路径:  
消息:      Blocked Incoming ICMP  -  源  192.168.2.106 :  (2048)   目标  192.168.2.101 :  (0)
匹配的规则:  禁止Ping入


顺一张图吧:


规则很少,基本上就是将VSE的几条内置的端口规则给移植过来了。
----------------------

PS:早些年很钟爱VSE系的产品,从第一次接触的8.0i(当时的维金病毒,第一时间有且只有这货能彻底清除修复),一直持续用到8.8,从未间断;
       当时就在想要是能集合一下防火墙那该多好呀,现在MES10.X系列终于如愿以偿了,还主打了“自适应防护”功能。惊喜!

最后:MES系列的小bug还不少,性能问题有待进一步优化。以美系的尿性,慢慢等吧。。。。。。。。。。。。。。。。。。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
柯林 + 1 赞一个!
小小龙 + 1 加分鼓励,高深的规则

查看全部评分

jone_jys
头像被屏蔽
 楼主| 发表于 2020-6-28 21:27:59 | 显示全部楼层
自己占个楼。

针对上述的 第2点日志,估计有人看不懂。这里提出来说一下吧!
从图中可以看见一条规则:允许HTTP通讯。
这里面其实已经排除了msedge.exe的,否则浏览器就彻底歇菜了。

既然已经排除了,为啥还要拦截日志呢?这就是GTI的功劳了,在线评级。根据收集的大数据“信誉评级”自动判断是否放行。

所以,用MES的童鞋,尽量还是打开GTI功能吧!虽然多少会影响一些网速的。(默认是关闭的)
上面两项勾选即可;下面的阈值,自己根据需求吧!
如果级别调高了有不能访问的站点,还可以排除哦!自己找找吧。。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
fswen1234
发表于 2020-6-28 21:31:40 | 显示全部楼层
感谢提醒,顺手改了设置
klinxun
发表于 2020-6-28 23:25:42 | 显示全部楼层
企业版啊……
想起了个人版,默认吧入侵检测给关了的……
ly910326
发表于 2020-7-2 15:49:19 | 显示全部楼层
虽然有时不太痛快,但这个必须有、
cracknew
发表于 2020-7-4 10:12:42 | 显示全部楼层
如果是生产服务器,防御攻击得防火墙+WAF
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:16 , Processed in 0.122142 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表