火绒的防火墙是认真的吗，BUG一大堆

yexo

最近安装了火绒，一开始发现其防火墙既能限速，还有优先级设置，非常欣喜，决定尝试一下，然后我就被深深的折服了

• 联网控制和IP协议控制互相冲突。
  

• 如果两者同时打开，在IP协议控制中设置好某程序的协议和端口访问规则，联网控制还是会无视IP协议控制中的规则，继续弹窗询问；然后问题来了，
• 如果联网控制中再次加入同一程序的放行规则，反而无法联网，也就是说联网控制和IP协议控制中有同一个程序的放行规则反而等同于阻止；
• 如果联网控制中不加入放行规则，每次弹窗点放行，则可以短暂联网，但过一会儿又会弹窗，联网控制好像压根就不认识IP协议控制中的已有规则一样;
• 有时联网控制压根也不弹窗，但是也无法联网，IP协议控制中的规则似乎失效了一样，好不容易一番折腾后似乎可以正常使用了，但联网控制和IP协议控制之间的隐性冲突是随机的，间歇性的，有时一重启，有时一导入导出，问题又回来了。
• 另外，关闭联网控制，只开IP协议控制，IP协议控制中的规则依然失效，程序依然无法联网
  

   2. 火绒防火墙似乎只能对网络流量做单纯方向上的判断，无法对网络连接的属性进行判断

• IP协议控制中出站就只是出站，并不包括外联发起后的返回连接，跟我用过的其他防火墙均不同，不知是本意如此，还是bug。
• 为保证联网，只好将方向设置为所有，但问题是，经过同一端口的入站新连接也照样放进来了。一般来说，入站方向的新连接都是默认阻止的，如果火绒对网络连接是New，Established还是Related都不做判断，一股脑全放进来，那网络防御是根本不存在的。举个例子，向外发起DNS请求然后返回查询结果，跟向本地发起DNS攻击，方向上都是入站，不区分怎么防御？如果阻止入站，那正常的DNS查询也无法进行。
  

   3. 火绒无法更新，总是提示无法连接到火绒升级服务器，一开始我以为是需要加入更新程序的放行规则，结果加了也还是无法更新。

   4. IPv6 貌似不支持？ICMPv6 协议在IP协议控制中找不到

官人能帮忙解答一下吗？谢谢

整数环

@火绒工程师

有孔虫2010

没有发现。

火绒工程师

您好, 您的反馈已收到, 麻烦您提供下火绒版本和系统版本信息, 并将您使用的IP协议控制规则和联网控制规则导出上传一下, 另外麻烦提供下规则进程所对应的软件安装程序或下载地址.如果方便的话, 最好能够提供下录屏文件~

整数环

火绒工程师 发表于 2021-1-12 10:01
您好, 您的反馈已收到, 麻烦您提供下火绒版本和系统版本信息, 并将您使用的IP协议控制规则和联网控制规则导 ...

操作进程：D:\lol\英雄联盟\Game\League of Legends.exe
命令行："d:/lol/英雄联盟/Game/League of Legends.exe" "125.39.13.41 5196 KkBEUchmMfh+AkgG7rR0OQ== 4028233859" "-PlayerID=4028233859" "-GameID=3992111113" "-GameBaseDir=d:/lol/英雄联盟/LeagueClient/../Game" "-Region=TENCENT" "-PlatformID=WT2_NEW" "-Locale=zh_CN" "-SkipBuild" "-UseNewX3D=1" "-UseNewX3DFramebuffers=1" "-RiotClientPort=50262" "-RiotClientAuthToken=Bm5NSRKHIgEJaKJZtkXu0A"
父进程：D:\lol\英雄联盟\LeagueClient\LeagueClient.exe
防护项目：系统目录
目标文件：C:\WINDOWS\system32\drivers\ACE-BASE.sys
操作结果：已允许
必须允许才能进入游戏

火绒工程师

整数环 发表于 2021-1-13 15:18
操作进程：D:\lol\英雄联盟\Game\League of Legends.exe
命令行："d:/lol/英雄联盟/Game/League of Lege ...

收到

yexo

火绒版本就是最新的5.0.56.2，系统 20H2，规则设置在卸载之前没备份，因为折腾了快一天实在受不了，只能卸载。而且，我提的这些，基本跟哪条规则还是什么程序的无关，因为一样的防火墙规则在Comodo，MES，SEP，Windows 防火墙等我都用过，没有问题。出入站如何判别，是否支持IPv6，更多的涉及软件本身。
另外，这些问题我在遇到时都搜索过，我发现有很多类似提问，至于想不想解决，只能取决于官方。

火绒工程师

yexo 发表于 2021-1-14 06:11
火绒版本就是最新的5.0.56.2，系统 20H2，规则设置在卸载之前没备份，因为折腾了快一天实在受不了，只能卸 ...

收到, 我们看下~

火绒工程师

您好, 关于您反馈的问题:
问题一:
IP协议控制和联网控制加入同一个程序的放行规则本地测试未复现不能联网的问题。
联网控制弹窗出现的时候网络连接是被阻断的，有的程序在收不到网络请求回复可能会直接返回请求超时的操作并且不再请求网络响应。
如果IP协议控制失效建议检查一下规则是否存在问题（因为之前的描述证明IP协议控制功能是有效的）

问题二:
1  “联网控制”和“IP协议控制”这两项功能是相互独立的。不管在那个功能中设置了放行规则，一旦另一个功能中有对应的阻止规则那么还是会阻止掉联网请求，优先级您可以理解为阻止＞放行。联网控制同一程序一直触发提示弹窗是因为，程序不断的发出联网请求所以就一直触发弹窗。联网控制不触发弹窗却连不了网络应该是您配置的规则为“自动阻止”所以不会触发弹窗。IP协议控制是支持配置IPv6的规则的。联网控制和IP协议控制给您带来的问题和疑惑深感抱歉，并且我们已有优化“联网控制”功能的计划。
2 ：因为您设置的是出站，那么规则就只对出站生效，设计如此。

问题三:
火绒无法升级的问题需要您看下网络的路由器和防火墙是否有阻止火绒升级域名的访问.

问题四:
ICMP协议不支持IPV6 的问题已经确认, 工程师正在跟进处理 感谢您的反馈~
[ 关联问题ID: 29592 ]

感谢您对火绒的支持~

yexo

火绒工程师 发表于 2021-1-15 18:43
您好, 关于您反馈的问题:
问题一:
IP协议控制和联网控制加入同一个程序的放行规则本地测试未复现不能联 ...

您好，感谢火绒在这么短的时间内就能给出详细回复，于是再次卸载已安装的防火墙，重新安装了火绒的最新版 sysdiag-full-5.0.56.2-20210115.exe，再次在不同电脑上进行测试，反馈如下：

问题一:

最新版在联网控制保持默认关闭的情况下，只开启IP协议控制，目前一切正常，IP协议控制中规则生效。

问题二:

1  其实在我最开始安装时，我就是试图只用IP协议控制来实现防火墙，但是发现规则无效，然后才去开启联网控制，而且当时采用的配置并非“自动阻止”，而是“询问我"。鉴于当前第二次测试中，问题一所描述的冲突似乎已得到解决，所以就不再赘述。另外，非常期待火绒下一步的优化工作。

2. 此处可能是我表述不清，导致彼此理解出现偏差：绝大多数防火墙中设置只允许出站规则，防火墙会自动分析并放行出站规则中外联请求所产生的对应入站连接，比如说，我设置允许本机向外发起 DNS 查询，方向出站 协议 UDP 端口 53，那么防火墙并不会阻挡 DNS 查询结果返回，相反，如果有人在局域网内向本机发起 DNS 入站连接，防火墙是会阻止的，因为规则设定只允许出站，我用过的几乎所有防火墙（COMODO, Windows 防火墙等等）也都是基于这种逻辑，防火墙中出站还是入站，一般判断的是第一次发起连接请求的方向，这也是Windows 防火墙会默认阻止所有入站请求但不会导致无法上网的原因。而我发现火绒的出站入站判定，似乎是基于每一次的连接方向，所以要想在火绒所在的系统中完成 DNS 查询，IP协议控制中必须同时允许出站和入站，不然防火墙会阻挡 DNS 查询结果返回本机，但这种规则下，局域网内的DNS入站攻击，也会被自动放行。其他端口也是类似。如果火绒的当前设计确实如此，那么就先这样好了，先保证现有功能的稳定性更重要，而且我搜索过，有类似困惑的在火绒论坛里也有出现过。

问题三:
我在两台电脑上进行测试，都是无法更新，路由器和防火墙并没有阻止火绒升级域名的访问，也尝试切换过多个DNS解析服务，我甚至在IP协议控制中额外添加规则放行火绒升级程序，依然无法升级，显示"网络错误: 7 HTTP响应: 0"。我暂时用重新下载最新安装包来覆盖升级解决好了。

请问火绒覆盖安装有什么需要注意的吗，频繁覆盖安装会不会导致火绒的设置，尤其是IP协议控制出现混乱？

问题四:
感谢跟进。

另外，基于最近的使用体验，我能否再提一个建议？

IP协议控制目前的设置界面实在太拥挤，而且无法最大化，所有信息都显示不全，能否考虑加入最大化功能？谢谢。

PS: 支持是必须的，火绒还是非常优秀的，小小的体积，却实现了杀毒，防火墙，类似收费软件NetLimiter/NetBalancer的限速和访问优先级设置，HIPS，还有最新的横向渗透防护（非常重要）。希望火绒，还有所有国产软件都能越来越好。