everchong进来，教你设置sep防火墙！

albertmars

看到everchong说不会设置sep的防火墙，sep过不了测试，于是自己实验了一下，我用的是赛门铁克在线安全检测和pc flank，确实都通不过，因为赛门铁克在线安全检测我是在昨天测试的，所以具体是哪里通不过记不太清了，而现在怎么都无法完成测试，所以无法验证，只记得一个是rpc，一个是什么密码的，而pc flank是135端口打开，查了一下，135端口就是rpc服务用到的端口，所以，sep通不过赛门铁克在线安全检测和pc flank测试，说白了就是135端口打开和什么密码，因为现在无法完成赛门铁克在线安全检测，所以我只对135端口进行了研究。

首先，我用的是sep的最新版本，把我防火墙的设置说一下，如附件中的1，2，3。然后就来看看防火墙规则了，首先，按照http://bbs.kafan.cn/viewthread.php?tid=222608&;extra=page%3D7的方法，把防内问题做好，把c:\windows\system32\ntoskrnl.exe，c:\windows\system32\svchost.exe，c:\windows\system32\drivers\ipnat.sys这3个系统文件加入到允许访问中，然后在规则中新键规则，如附件中的4，5，6，7。新键的Block 135 ports规则放到最上面，如附件中的8。然后去pc flank测试把，肯定能通过了！


其实135端口曾引起过冲击波，微软曾出过补丁，但是我是全新的xp sp2系统，一个补丁都没打，所以有135端口问题，如果系统的补丁都打了，好象不用甚至135端口，也可以过pc flank测试的，补丁都打了的朋友可以实验一下：不加这个规则，是不是也可以过pc flank测试？

everchong说去哪测试都是DANGER，我去赛门铁克在线安全检测和pc flank，f-secure在线检测（http://support.f-secure.com/enu/ ... ces/fshc/front.html）检测过，其中f-secure在线检测不加135规则也能通过，而赛门铁克在线安全检测和pc flank，都可以用给系统打补丁的方式来通过，看样子，sep的防火墙并不差！


还有，svchost.exe本来是设成可以通过网络的，但是把135规则加上后，可以通过日志发现，有的svchost.exe可以通过网络，而有的则不行了，看样子加入135规则很成功！

[ 本帖最后由 albertmars 于 2008-4-29 18:43 编辑 ]

aa11qq26

标题还真专一，哈

everchong

楼主可能误会我了~我说的是把WINDOWS的防火墙关闭。。只用SEP的默认规则。。PCFLANK确实是DANGER~
而且不止如此。。本机的80端口等危险端口。都是开放的！所以我才怀疑。。SEP是否根本没有内部的规则。。必须手动添加才行~可添加了禁止规则后。。玩街头篮球等Point To Point类游戏。。会出现掉线情况。而且很频繁！所以从用户易用和安全角度来说。。还是用其他防火墙更好

其实试想一下。。SEP根本就是为大型网络里的端点所设计。。。防外网的规则自然在服务器端。。SEP默认规则根本不需要有防外网的

而我所做发的帖子。。只是想让用SEP默认规则的兄弟们重视起来。提高警惕！

[ 本帖最后由 everchong 于 2008-4-29 21:17 编辑 ]

albertmars

因为我第一次用PCFLANK测试，防内的规则我已经建好了，所以不太清楚，（PCFLANK够垃圾的，现在PCFLANK网页都打不开了）所以我现在无法作出测试，但是我建立的防内规则应该对PCFLANK的第二个测试，好象是防木马把，有关，第一个是对防黑客攻击的测试，也就是你说的防外网，但是没有设置135端口的时候，防外只有一个135是DANGER~而135端口可以通过windows升级补丁来解决，所以sep防外没问题，不是你说的SEP默认规则根本不需要有防外网的，而是sep默认规则防外网就已经通过PCFLANK了！

对于防内，sep也不是传统的阻拦，而是好象是一种行为判断，这个我不太懂，好象是木马联网都有某种行为，而一般的程序是没有的，sep发现了木马行为，才阻止，比如说，我们用emule下东西，sep认为emule没问题，所以放行，也不询问，要是你把emule升级了，emule.exe改变了，同样的位置的同名文件，前后的md5不一样，都要求联网，sep就认为这个可能是木马行为，这个时候就会弹出对话框，问你是否让emule.exe访问网络！不信你可以实验一下，这个情况我就遇到过！
所以说sep也有防内的，但是大家都对这样的方式感到不安全，不是吗？万一有个木马的行为sep没判断出来怎么办？所以大家才说sep防内不好，才有了我说的防内的规则的！

至于你说的街头篮球等Point To Point类游戏，会出现掉线情况，这应该是sep还不完善的表现，象sep第一个版本，玩魔兽争霸也常出现掉线情况，但是我现在玩，一点都没事。

不知道你用过sep的老版本没有，sep的第一个版本只有3条规则，但是现在有6条，在逐渐增加，因为sep刚刚出来不久，难免要逐渐成熟的，规则也会越来越多，你说的用户易用和安全角度，易用是肯定的，象这种对内的防护策略，很对企业的，毕竟企业中懂电脑的不是很多，你让他们判断哪个该联网？因为我们懂的多一点，又不是特别懂，所以感到安全度不够，易用性也不够，不是吗？

我装了comodo，用PCFLANK检测，第一个测试也是因为135端口没过，现在你知道怎么回事了把

everchong

谢谢了。。问了那么久。。就你最热心了。哈哈。。忠心感谢。。。目前我加了规则。。BLOCK掉TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。还有HTTP的80.。FTP的21.23.。。。然后没有加全禁止规则。。。因为加了街头篮球没法玩。。。按说SEP应该有内置的防攻击吧。。不过如你所说。。PCFLANK打不开了。。。

另外。。你的ANTI MAC SPOOFING 是打开的。。我是ADSL。应该不需要开吧。。
还有 stealth setting里的3个选项具体起什么作用呢？？反正如果打开stealth mode WEB browsing。。某些论坛就一直提示我登陆。。。

[ 本帖最后由 everchong 于 2008-4-29 22:50 编辑 ]

albertmars

加全禁止规则,街头篮球没法玩？加全禁止规则后，看日志啊，看玩街头篮球的时候，那些街头篮球的文件被禁止了，被禁止就加入到如许中，应该就没事了把，要是总掉线的话，就等sep以后版本把。

ANTI MAC SPOOFING，ADSL用户不用打开，我是看着好玩才打开的。。。
stealth setting里的3个选项：
1.Enable stealth mode Web browsing启用隐蔽模式的浏览，启用该功能，您的计算机将在任何网络中不可见。建议开启增加安全系数。。。我没遇到论坛一直提示我登陆的情况，好象老程序的论坛有兼容性问题，较新都没有了！
2.Enable TCP resequencing启用TCP重新排序反IP欺骗功能，可以防止系统指纹欺骗和IP欺骗，但是打开和关闭都会导致现有连接全部中断。。。别开来关去就行。。。
3.Enable OS fingerprint masquerading启用操作系统指纹伪装，这个功能需要和上面的反IP欺骗功能一起开启，能防止你的操作系统不被其他机器识别出来。。。

everchong

恩。全禁止规则确实会导致经常掉线。。可能是版本问题吧。。。只能期待新版本了~~哈哈。谢谢你了~如果我是版主肯定给你加分。嘿嘿

aa11qq26

是个不错的加分建议

everchong

哈哈。版主也来了。。原来加上分了啊~~没看到~~其实这个帖子可以放到SEP问题汇总里了。。我想应该有挺多人不明白的~不过标题好像该改下。哈哈。。否则我可出名了。。。

albertmars

谢谢了。。问了那么久。。就你最热心了。哈哈。。忠心感谢。。。目前我加了规则。。BLOCK掉TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。还有HTTP的80.。FTP的21.23.。。。

对于端口，我不怎么懂，我加了全部禁止规则和135规则后，用赛门铁克在线安全检测检测了一下，你说的那些端口基本都是关闭的，根本就不用那些规则的，做了无用功了！测试的结果看附件：