查看: 2002|回复: 7
收起左侧

[求助] 防火墙规则疑问?

[复制链接]
felixgod
发表于 2008-4-30 10:44:57 | 显示全部楼层 |阅读模式
1.在全局规则下已经设置了 IP out/in from any to any where protocol is any
那还有必要在每个程序下自己设置吗?

2.我看很多人的规则在每个网络程序里都加了连DNS的53端口,但是我让comodo在学习模式下提取精细规则时发现这些程序都从来没自己去用过53口。用53口的貌似只有svchost嘛。那这个口还有必要给每个网络程序开?

3.本地回环地址有益于网络健壮性,需要每个程序都加吗?

望知者解答,谢谢。

[ 本帖最后由 felixgod 于 2008-4-30 10:50 编辑 ]
某某猫
发表于 2008-4-30 10:48:06 | 显示全部楼层
需要
包括应用程序控制和包过滤,两层过滤
所以都需要设置
felixgod
 楼主| 发表于 2008-4-30 10:55:37 | 显示全部楼层
就是说应用程序控制里的规则就算和全局规则同名也是不一样的。是状态监控式?
某某猫
发表于 2008-4-30 10:58:35 | 显示全部楼层

回复 3楼 felixgod 的帖子

全局规则放行了,应用程序规则没有放行,数据一样进不来出不去
好比两堵墙的关系
felixgod
 楼主| 发表于 2008-4-30 14:04:11 | 显示全部楼层
谢谢猫猫的回答啊,后面两个问题呢?
伯夷叔齐
发表于 2008-4-30 18:26:57 | 显示全部楼层
1.在全局规则下已经设置了 IP out/in from any to any where protocol is any
1.那还有必要在每个程序下自己设置吗?

2.我看很多人的规则在每个网络程序里都加了连DNS的53端口,但是我让comodo在学习模式下提取精细规则时发现这些程序都从来没自己去用过53口。用53口的貌似只有svchost嘛。那这个口还有必要给每个网络程序开?

3.本地回环地址有益于网络健壮性,需要每个程序都加吗?

1、看情况,木马泄漏防御暂不说,就拿中国现在很大部分应用软件,比如QQ,迅雷,(据说这两个流氓有收购案,真是臭味相投)手段非常流氓,防火墙也不是万能,都是“正常程序”,你可以在D+部分阻止,D+属于HIPS,对程序的行为动作进行触发报警,更多是依靠用户通过触发一个行为报警后,用户自己判断,由于广大普通用户的疏忽,(包括我)一旦允许,这个外连行为就进入防火墙部分,在你这样的默认规则下,不允许外连是不可能的,都允许了,还拦截和过滤吗(过滤更多是针对入站对非请自来的数据包,出站部分,是靠程序HIPS部分对程序动作行为的拦截)?!所以对于这样的软件,就需要用到规则,根据自己的需要而设置。相信很大部分还不至于流氓到跳转外连(但据我所知,迅雷已有此行为)。。如果遇到这样的情况,程序网络规则做得细,且最下面那条程序网络规则是阻止一切进出,那么当出现跳转到其他端口外连,防火墙也会阻止,如果程序最下面那个规则没有BLOCK ANY IP OUT FROM IP ANY TO IP ANY WHERE PROTOCOL IS ANY,那么对于这样的跳转出站,防火墙也会触发报警,让你判断。

2、很多人设置了DNS53端口是因为他们的这些程序在D+的程序行为中阻止了DNS客户端服务一项,也就是我们看到的0.0.0.0连出到127.0.0.1,那么不能通过SVCHOST.EXE的递归网络去解析DNS,当然程序只有直接去连接不同电信用户指定的,或程序指定的DNS服务器的53端口了。规则只有适合自己的才是最好。

3、(1)回环网络就是本机组件的通讯,127.0.0.1代表本机。当然允许访问回环网络也会产生目标地址为127.0.0.1的虚拟网络地址,本机的程序要通讯的话,可以通过 127.0.0.1,数据是在本机发送和接收,不会连接外部网络。不过,当本机有一个本地代理服务器,并且具有访问外部网络的权限的话,允许访问 127.0.0.1 代理服务器监听端口,也就可以访问外部网络。访问回环网络会造成攻击者采用回环通道攻击,利用TCP/UDP协议请求造成系统IP堆的破坏和系统的崩溃,从而造成系统溢出;(2)允许DNS客户端服务,也会产生127.0.0.1回环地址,如果程序有漏洞,会造成DNS递归攻击,(DDOS分布式拒绝服务攻击的一种)恶意攻击会制造上千的欺骗请求,如果程序有漏洞,或者运行环境恶劣,就可能被木马或黑客利用到。

[ 本帖最后由 伯夷叔齐 于 2008-5-5 01:59 编辑 ]

评分

参与人数 1经验 +6 收起 理由
某某猫 + 6 感谢解答: )

查看全部评分

wlbol
发表于 2008-4-30 19:30:35 | 显示全部楼层
嗯,同意楼上说法,象迅雷和QQ之类的程序我也是全局放行,要不然麻烦太多,国内环境险恶,FW和D+只用来挡陌生程序了~~
悠然的风
发表于 2008-5-2 09:36:40 | 显示全部楼层
有些地方不太懂,学习了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-2 10:24 , Processed in 0.126713 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表