KIS 8.0的HIPS、防火墙、隐身模式及其它强力设置（记得顶）

顶级男子

本文是《适应KIS 8.0程序监控方式的转变》一文的后续。那篇文章中谈的是现在威胁的趋势及卡8的应对思路，比较抽象。不少人还是认为卡8提供的防火墙设置太麻烦。本文具体谈谈卡8中的这些组件。

[比较懒，没截图，各位阅读的时候还麻烦打开卡8相应的窗口]

点击 程序过滤 旁的 设置 ，打开 规则设置 窗口。卡8中，HIPS和防火墙是高度整合的，体现为程序规则模块是共用的。在刚才找开的窗口中，有三个标签，程序、资源、设备。其中程序标签管的便是程序规则，我们可以看到程序列后有4列，前3列（操作系统、机密数据、权限）是标准的HIPS监控的对象，最后一列（网络）是标准的防火墙监控的对象。

程序规则中的程序是分为4组的，信任、低受限、高受限、不信任。注意，信任这一组只有三种可能，1、带有信任厂商的数字签名，数字签名正常就能够保证该文件的确是来自该厂商且中途未遭修改（为什么能保证将是另一篇文章了，有兴趣自己去Google）；2、在卡8的白名单中，只要你开启了卡巴的自我保护，这个白名单不可能遭到其它程序的修改；3、用户添加。其它程序，当它第一次启动或遭修改时，卡巴会自动打分，然后分到低受限、高受限和不信任组中去。在这几组中，程序稍有点危险的动作都会询问用户或干脆直接禁止。恶意程序在写入系统、窃取数据、发送数据，尤其是利用正常程序发送数据，每一环都会遭卡8拦截。好了，到这里，我们明确了两点：1、恶意程序不可能被分到信任组，除非用户自己添加；2、恶意程序难以利用正常程序发送数据。[卡饭论坛]

让我们回头看看传统防火墙在安全方面起的作用。防火墙有防外和防内两个功能，防外主要是Batch层次的规则，这个下面再谈；防内主要是靠程序层次的规则，一是防止恶意程序直接访问网络，这种恶意程序现已少见，而且卡8中非信任组的程序访问网络是要用户授权的，二是防止恶意程序利用正常程序访问网络，但传统防火墙这方面表现并不是非常好，防火墙这里可以使用详尽的规则来限制正常程序使用的端口，但现今的技术，恶意程序已能做到利用正常程序的正常端口而不影响正常程序自身使用这些端口，这对传统防火墙是一个巨大的挑战，而且编写这些规则很麻烦，而卡8中，严密的权限监控使得恶意程序想要利用正常程序几乎是不可能的，不管是是利用来访问网络还是干其它。好了，这里，我们明确了，传统防火墙防内的功能，卡8的权限、网络监控就能够完成，而且干得更好，何况还有文件、注册表监控。[Bluaze]

卡8中的主动防御其实就是卡6卡7中的程序活动分析，不过大大加强。这个和HIPS是相对独立的，HIPS是用规则来过滤程序的每一个动作，而PDM是监控程序的一系列动作，看其是否与可疑行为相匹配。有了以上这些，我们可以大声的说：放心的、不用大胆的（因为很安全）把信得过的软件扔信任组里面去吧，而且只需要简单的允许其访问网络就可以，不用编写复杂的网络规则，不用担心它被恶意程序利用。当然了，像酒精这类会访问网络检查注册码的，还是要右键BAN掉它的网络访问。

点击 防火墙 下面的 设置 ，也打开了一个规则设置窗口，初一看，和HIPS（程序过滤，下同）的规则设置很类似，有两个标签是相同的：程序、资源。但其实，只是程序标签是真的相同，刚才也说了，卡8中HIPS和防火墙是共用程序规则模块的，刚才设置的程序规则这里都能看得到，而且一模一样（不一样才怪）；而资源标签是不一样的，HIPS中，是用来设置要监控的文件和注册表的，防火墙中是用来设置协议、端口、IP地址的。在卡8中，创建网络规则时（你可以去网络包标签中打开一个规则看看），你不能直接指定协议、端口范围、IP地址范围，你要先把要用的协议、端口准备好，叫做网络服务，然后命个名，把要用的IP址范围准备好，叫做网络地址，然后命个名。当然，在设置规则的同时也可以添加这些，它们都将在资源标签里可以看得到。初看这样挺麻烦的，不过在设置这些网络资源时，遵循按类型来添加，如邮件、WEB（这些是网络服务的例子）、A部门、B部门（这些是网络地址的例子），在以后添加新规则的时候，非常具有复用性，非常方便。[卡饭论坛]

防火墙的规则设置窗口中第三个标签是网络包（或也有译为网络包规则的吧），很多人会觉得这里面太乱，最上面一组规则叫Packet rules，其实就是Batch层次的规则，然后下面密密麻麻是所有程序的规则。的确，直接在这里设置程序的网络规则太恐怖了，找个程序都难。可是，为什么要在这里设置程序的网络规则呢，在前面的程序标签里，双击一个程序，找到规则标签，然后设置，不是很好么。回忆一下卡7，里面的防火墙设置窗口，也有一个网络包的标签，但只有Batch层次的规则可查看修改，卡8里的把程序层次的规则也列在下面，但你完全没必要在这里查看修改，那纯粹是自虐。好了，到这里，我们可以说：卡8中防火墙设置依然方便，只是形式略有不同。同时，再强调一次：卡8中，大部分情况下，已没有必要设置这些麻烦的端口规则。[Bluaze]

卡8没有直接提供隐身模式了。想要打开隐身模式，在Batch rules里找到Any incoming TCP stream和Any incoming UDP stream，设置为拒绝就OK了。注意后面是有stream的，入站流不同于入站，只是其它机器发起的入站连接。所谓隐身模式，也就是，只接受本机发起的连接的入站数据，比如看网页，本机会先建立与服务器的连接，然后接收服务器发过来的数据，而像别人扫描你，连接是对方发起的，如果不理会的话，别人就不知道是你不理会还是这个地址真的没机器。卡8不直接提供隐身模式应该主要是考虑到现在越来越普及的P2P应用，在P2P应用中，很多入站数据是其它P2P客户端主动发起的。在Batch rules中，我们可以看到，如果接入公共网络，卡8会封掉若干危险的服务端口，像3389、135、137、138、139、445等，以及一些ICMP类型。再考虑到IPS，安全性应该是足够的。不过在我机器上，IPS似乎工作不正常，我也懒得找工具来测试。哪位感兴趣的测测吧。

[ 本帖最后由 顶级男子 于 2008-5-24 16:49 编辑 ]

暮色横飞

呵呵 抢个沙发
这个好像在绅博刚看到

303898443

一般就使用默认设置，懒得去设置。

yeshan

真是火星到姥姥家了，老早的帖子转来了

[ 本帖最后由 yeshan 于 2008-5-24 18:39 编辑 ]

尤金卡巴斯基

在哪看过啊

fhmarch666

呵呵。。。
支持一下

zbj9801

不管怎么样，支持一下

yahoo121

很枯燥啊！全是文字！
要是来点图片就更好了~
多谢楼主啊！

shsh86

很厉害吗，谢谢了，正在使用中

wzyzzu000000

顶~~学习了