防火墙规则疑问？

felixgod

1.在全局规则下已经设置了 IP out/in from any to any where protocol is any
那还有必要在每个程序下自己设置吗？

2.我看很多人的规则在每个网络程序里都加了连DNS的53端口，但是我让comodo在学习模式下提取精细规则时发现这些程序都从来没自己去用过53口。用53口的貌似只有svchost嘛。那这个口还有必要给每个网络程序开？

3.本地回环地址有益于网络健壮性，需要每个程序都加吗？

望知者解答，谢谢。

[ 本帖最后由 felixgod 于 2008-4-30 10:50 编辑 ]

某某猫

需要
包括应用程序控制和包过滤，两层过滤
所以都需要设置

felixgod

就是说应用程序控制里的规则就算和全局规则同名也是不一样的。是状态监控式？

某某猫

全局规则放行了，应用程序规则没有放行，数据一样进不来出不去
好比两堵墙的关系

felixgod

谢谢猫猫的回答啊，后面两个问题呢？

伯夷叔齐

1.在全局规则下已经设置了 IP out/in from any to any where protocol is any
1.那还有必要在每个程序下自己设置吗？

2.我看很多人的规则在每个网络程序里都加了连DNS的53端口，但是我让comodo在学习模式下提取精细规则时发现这些程序都从来没自己去用过53口。用53口的貌似只有svchost嘛。那这个口还有必要给每个网络程序开？

3.本地回环地址有益于网络健壮性，需要每个程序都加吗？

1、看情况，木马泄漏防御暂不说，就拿中国现在很大部分应用软件，比如QQ，迅雷，（据说这两个流氓有收购案，真是臭味相投）手段非常流氓，防火墙也不是万能，都是“正常程序”，你可以在D+部分阻止，D+属于HIPS，对程序的行为动作进行触发报警，更多是依靠用户通过触发一个行为报警后，用户自己判断，由于广大普通用户的疏忽，（包括我）一旦允许，这个外连行为就进入防火墙部分，在你这样的默认规则下，不允许外连是不可能的，都允许了，还拦截和过滤吗（过滤更多是针对入站对非请自来的数据包，出站部分，是靠程序HIPS部分对程序动作行为的拦截）？！所以对于这样的软件，就需要用到规则，根据自己的需要而设置。相信很大部分还不至于流氓到跳转外连（但据我所知，迅雷已有此行为）。。如果遇到这样的情况，程序网络规则做得细，且最下面那条程序网络规则是阻止一切进出，那么当出现跳转到其他端口外连，防火墙也会阻止，如果程序最下面那个规则没有BLOCK ANY IP OUT FROM IP ANY TO IP ANY WHERE PROTOCOL IS ANY，那么对于这样的跳转出站，防火墙也会触发报警，让你判断。

2、很多人设置了DNS53端口是因为他们的这些程序在D+的程序行为中阻止了DNS客户端服务一项，也就是我们看到的0.0.0.0连出到127.0.0.1，那么不能通过SVCHOST.EXE的递归网络去解析DNS，当然程序只有直接去连接不同电信用户指定的，或程序指定的DNS服务器的53端口了。规则只有适合自己的才是最好。

3、（1）回环网络就是本机组件的通讯，127.0.0.1代表本机。当然允许访问回环网络也会产生目标地址为127.0.0.1的虚拟网络地址，本机的程序要通讯的话，可以通过 127.0.0.1，数据是在本机发送和接收，不会连接外部网络。不过，当本机有一个本地代理服务器，并且具有访问外部网络的权限的话，允许访问 127.0.0.1 代理服务器监听端口，也就可以访问外部网络。访问回环网络会造成攻击者采用回环通道攻击，利用TCP/UDP协议请求造成系统IP堆的破坏和系统的崩溃，从而造成系统溢出；（2）允许DNS客户端服务，也会产生127.0.0.1回环地址，如果程序有漏洞，会造成DNS递归攻击，（DDOS分布式拒绝服务攻击的一种）恶意攻击会制造上千的欺骗请求，如果程序有漏洞，或者运行环境恶劣，就可能被木马或黑客利用到。

[ 本帖最后由 伯夷叔齐 于 2008-5-5 01:59 编辑 ]

wlbol

嗯，同意楼上说法，象迅雷和QQ之类的程序我也是全局放行，要不然麻烦太多，国内环境险恶，FW和D+只用来挡陌生程序了～～

悠然的风

有些地方不太懂，学习了