查看: 11800|回复: 16
收起左侧

[原创] everchong进来,教你设置sep防火墙!

[复制链接]
albertmars
发表于 2008-4-29 18:39:00 | 显示全部楼层 |阅读模式
看到everchong说不会设置sep的防火墙,sep过不了测试,于是自己实验了一下,我用的是赛门铁克在线安全检测和pc flank,确实都通不过,因为赛门铁克在线安全检测我是在昨天测试的,所以具体是哪里通不过记不太清了,而现在怎么都无法完成测试,所以无法验证,只记得一个是rpc,一个是什么密码的,而pc flank是135端口打开,查了一下,135端口就是rpc服务用到的端口,所以,sep通不过赛门铁克在线安全检测和pc flank测试,说白了就是135端口打开和什么密码,因为现在无法完成赛门铁克在线安全检测,所以我只对135端口进行了研究。

首先,我用的是sep的最新版本,把我防火墙的设置说一下,如附件中的1,2,3。然后就来看看防火墙规则了,首先,按照http://bbs.kafan.cn/viewthread.php?tid=222608&;extra=page%3D7的方法,把防内问题做好,把c:\windows\system32\ntoskrnl.exe,c:\windows\system32\svchost.exe,c:\windows\system32\drivers\ipnat.sys这3个系统文件加入到允许访问中,然后在规则中新键规则,如附件中的4,5,6,7。新键的Block 135 ports规则放到最上面,如附件中的8。然后去pc flank测试把,肯定能通过了!


其实135端口曾引起过冲击波,微软曾出过补丁,但是我是全新的xp sp2系统,一个补丁都没打,所以有135端口问题,如果系统的补丁都打了,好象不用甚至135端口,也可以过pc flank测试的,补丁都打了的朋友可以实验一下:不加这个规则,是不是也可以过pc flank测试?

everchong说去哪测试都是DANGER,我去赛门铁克在线安全检测和pc flank,f-secure在线检测(http://support.f-secure.com/enu/ ... ces/fshc/front.html)检测过,其中f-secure在线检测不加135规则也能通过,而赛门铁克在线安全检测和pc flank,都可以用给系统打补丁的方式来通过,看样子,sep的防火墙并不差!


还有,svchost.exe本来是设成可以通过网络的,但是把135规则加上后,可以通过日志发现,有的svchost.exe可以通过网络,而有的则不行了,看样子加入135规则很成功!

[ 本帖最后由 albertmars 于 2008-4-29 18:43 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +25 收起 理由
aa11qq26 + 25 谢谢,辛苦了

查看全部评分

aa11qq26
发表于 2008-4-29 19:59:27 | 显示全部楼层
标题还真专一,哈
everchong
发表于 2008-4-29 21:14:12 | 显示全部楼层
楼主可能误会我了~我说的是把WINDOWS的防火墙关闭。。只用SEP的默认规则。。PCFLANK确实是DANGER~
而且不止如此。。本机的80端口等危险端口。都是开放的!所以我才怀疑。。SEP是否根本没有内部的规则。。必须手动添加才行~可添加了禁止规则后。。玩街头篮球等Point To Point类游戏。。会出现掉线情况。而且很频繁!所以从用户易用和安全角度来说。。还是用其他防火墙更好

其实试想一下。。SEP根本就是为大型网络里的端点所设计。。。防外网的规则自然在服务器端。。SEP默认规则根本不需要有防外网的

而我所做发的帖子。。只是想让用SEP默认规则的兄弟们重视起来。提高警惕!

[ 本帖最后由 everchong 于 2008-4-29 21:17 编辑 ]
albertmars
 楼主| 发表于 2008-4-29 21:57:30 | 显示全部楼层
因为我第一次用PCFLANK测试,防内的规则我已经建好了,所以不太清楚,(PCFLANK够垃圾的,现在PCFLANK网页都打不开了)所以我现在无法作出测试,但是我建立的防内规则应该对PCFLANK的第二个测试,好象是防木马把,有关,第一个是对防黑客攻击的测试,也就是你说的防外网,但是没有设置135端口的时候,防外只有一个135是DANGER~而135端口可以通过windows升级补丁来解决,所以sep防外没问题,不是你说的SEP默认规则根本不需要有防外网的,而是sep默认规则防外网就已经通过PCFLANK了!

对于防内,sep也不是传统的阻拦,而是好象是一种行为判断,这个我不太懂,好象是木马联网都有某种行为,而一般的程序是没有的,sep发现了木马行为,才阻止,比如说,我们用emule下东西,sep认为emule没问题,所以放行,也不询问,要是你把emule升级了,emule.exe改变了,同样的位置的同名文件,前后的md5不一样,都要求联网,sep就认为这个可能是木马行为,这个时候就会弹出对话框,问你是否让emule.exe访问网络!不信你可以实验一下,这个情况我就遇到过!
所以说sep也有防内的,但是大家都对这样的方式感到不安全,不是吗?万一有个木马的行为sep没判断出来怎么办?所以大家才说sep防内不好,才有了我说的防内的规则的!

至于你说的街头篮球等Point To Point类游戏,会出现掉线情况,这应该是sep还不完善的表现,象sep第一个版本,玩魔兽争霸也常出现掉线情况,但是我现在玩,一点都没事。

不知道你用过sep的老版本没有,sep的第一个版本只有3条规则,但是现在有6条,在逐渐增加,因为sep刚刚出来不久,难免要逐渐成熟的,规则也会越来越多,你说的用户易用和安全角度,易用是肯定的,象这种对内的防护策略,很对企业的,毕竟企业中懂电脑的不是很多,你让他们判断哪个该联网?因为我们懂的多一点,又不是特别懂,所以感到安全度不够,易用性也不够,不是吗?

我装了comodo,用PCFLANK检测,第一个测试也是因为135端口没过,现在你知道怎么回事了把
everchong
发表于 2008-4-29 22:40:50 | 显示全部楼层
谢谢了。。问了那么久。。就你最热心了。哈哈。。忠心感谢。。。目前我加了规则。。BLOCK掉TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。还有HTTP的80.。FTP的21.23.。。。然后没有加全禁止规则。。。因为加了街头篮球没法玩。。。按说SEP应该有内置的防攻击吧。。不过如你所说。。PCFLANK打不开了。。。

另外。。你的ANTI MAC SPOOFING 是打开的。。我是ADSL。应该不需要开吧。。
还有 stealth setting里的3个选项具体起什么作用呢??反正如果打开stealth mode WEB browsing。。某些论坛就一直提示我登陆。。。

[ 本帖最后由 everchong 于 2008-4-29 22:50 编辑 ]
albertmars
 楼主| 发表于 2008-4-30 00:01:54 | 显示全部楼层
加全禁止规则,街头篮球没法玩?加全禁止规则后,看日志啊,看玩街头篮球的时候,那些街头篮球的文件被禁止了,被禁止就加入到如许中,应该就没事了把,要是总掉线的话,就等sep以后版本把。

ANTI MAC SPOOFING,ADSL用户不用打开,我是看着好玩才打开的。。。
stealth setting里的3个选项:
1.Enable stealth mode Web browsing启用隐蔽模式的浏览,启用该功能,您的计算机将在任何网络中不可见。建议开启增加安全系数。。。我没遇到论坛一直提示我登陆的情况,好象老程序的论坛有兼容性问题,较新都没有了!
2.Enable TCP resequencing启用TCP重新排序反IP欺骗功能,可以防止系统指纹欺骗和IP欺骗,但是打开和关闭都会导致现有连接全部中断。。。别开来关去就行。。。
3.Enable OS fingerprint masquerading启用操作系统指纹伪装,这个功能需要和上面的反IP欺骗功能一起开启,能防止你的操作系统不被其他机器识别出来。。。

评分

参与人数 1经验 +15 收起 理由
aa11qq26 + 15 谢谢热心帮助

查看全部评分

everchong
发表于 2008-4-30 08:58:24 | 显示全部楼层
恩。全禁止规则确实会导致经常掉线。。可能是版本问题吧。。。只能期待新版本了~~哈哈。谢谢你了~如果我是版主肯定给你加分。嘿嘿
aa11qq26
发表于 2008-4-30 10:52:07 | 显示全部楼层

回复 7楼 everchong 的帖子

是个不错的加分建议
everchong
发表于 2008-4-30 11:05:47 | 显示全部楼层
哈哈。版主也来了。。原来加上分了啊~~没看到~~其实这个帖子可以放到SEP问题汇总里了。。我想应该有挺多人不明白的~不过标题好像该改下。哈哈。。否则我可出名了。。。
albertmars
 楼主| 发表于 2008-4-30 14:39:50 | 显示全部楼层
谢谢了。。问了那么久。。就你最热心了。哈哈。。忠心感谢。。。目前我加了规则。。BLOCK掉TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。还有HTTP的80.。FTP的21.23.。。。


对于端口,我不怎么懂,我加了全部禁止规则和135规则后,用赛门铁克在线安全检测检测了一下,你说的那些端口基本都是关闭的,根本就不用那些规则的,做了无用功了!测试的结果看附件:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:33 , Processed in 0.128562 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表