楼主: wsf123
收起左侧

[求助] 毛豆3 局域网防火墙规则安全吗

[复制链接]
wsf123
 楼主| 发表于 2008-6-13 08:26:09 | 显示全部楼层
原帖由 491866227 于 2008-6-12 22:40 发表
楼主还是直接贴图比较好一点。


刚好早上抓了个图,大家看下:(从我的活动连接看的view my active connections).
防火墙规则是默认的规则,下楼给出规则贴图。

[ 本帖最后由 wsf123 于 2008-6-13 08:28 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wsf123
 楼主| 发表于 2008-6-13 08:31:09 | 显示全部楼层
接上楼,贴出规则贴图:

[ 本帖最后由 wsf123 于 2008-6-13 08:33 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
周勃
发表于 2008-6-13 09:29:17 | 显示全部楼层
我也猫屁不通也,因为我从来就没有使用过局域网。
我只知道,如果毛豆都不安全了,那其它的防火墙就更不安全了。
我认为你应该把那张全局规则的图片帖完全,高手才好给你分析。
帮你顶一下。
周勃
发表于 2008-6-13 09:44:08 | 显示全部楼层
呵呵,刚我看到一位高人的回复分析,现在我把他的原话复制过来,不知道会对你有什么启发没有?
下面是他的原话:
1)COMODO防火墙V3的全局规则应该是使用NDIS技术而应用程序规则是应该使用TDI技术,入站的数据包当然是先通过全局规则再到应用程度规则,出站的数据包当然是先通过应用程序规则再到全居规则,
2)COMODO防火墙V3有TCP及UDP的SPI,所有关於这两个协议主动入站的数据包都应该会被拦截,理论上所有端囗都是隐藏的。
伯夷叔齐
发表于 2008-6-13 09:49:31 | 显示全部楼层
原帖由 周勃 于 2008-6-13 09:29 发表
我也猫屁不通也,因为我从来就没有使用过局域网。
我只知道,如果毛豆都不安全了,那其它的防火墙就更不安全了。
我认为你应该把那张全局规则的图片帖完全,高手才好给你分析。
帮你顶一下。
就COMODO的防火墙部分,你还真别那么肯定的说。COMODO让其他防火墙侧目的亮点主要是HIPS部分。尽管作为个人防火墙,这部分现实在PC上意义更大,但防火墙能力,一直没有最客观的证实其强大。。但SPI实现得相对完全,但趋近完全的实现也不代表强大。。还有就是其包过滤能力,始终处于争论阶段。


1)COMODO防火墙V3的全局规则应该是使用NDIS技术而应用程序规则是应该使用TDI技术,入站的数据包当然是先通过全局规则再到应用程度规则,出站的数据包当然是先通过应用程序规则再到全居规则,
2)COMODO防火墙V3有TCP及UDP的SPI,所有关於这两个协议主动入站的数据包都应该会被拦截,理论上所有端囗都是隐藏的。
我想,个人防火墙现在大部分都是采用NDIS和TDI技术的结合。程序网络部分,TDI驱动具有让用户更直观的优势。即使NDIS层过滤,也无法过滤出站数据,出站过滤无从谈起,更多依靠HIPS。

[ 本帖最后由 伯夷叔齐 于 2008-6-13 14:20 编辑 ]
wsf123
 楼主| 发表于 2008-6-13 09:56:16 | 显示全部楼层
原帖由 周勃 于 2008-6-13 09:44 发表
呵呵,刚我看到一位高人的回复分析,现在我把他的原话复制过来,不知道会对你有什么启发没有?
下面是他的原话:
1)COMODO防火墙V3的全局规则应该是使用NDIS技术而应用程序规则是应该使用TDI技术,入站的数据包当然 ...

非常感谢你的支持阿,我在家也用毛豆3的,家里由于不用局域网,所以从来没有什么入站的连接的,单位就不一样了,因为有时要用共享阿,只要我打开网上邻居,基本就会看到10.77.1.60:137连接到我的137端口了,不知道它是怎么连上的,因为我规则里只允许local area network 连接我的电脑阿,但我设置local area network 是我的固定IP10.77.1.235阿,又不是一个网段,如果是个网段的话10.77.1.60连接进入还可以理解,不知道它连接上之后是不是就很容易攻击了阿?
当我设置允许进入的blocked之后,就无法使用网上邻居了,看不到别人的计算机了,呵呵,看来还必须允许入站的。

至于全局规则基本全了,就是有一条不让PING出的没贴,就是局域网默认的3条。
周勃
发表于 2008-6-13 10:01:42 | 显示全部楼层

回复 15楼 伯夷叔齐 的帖子

那那个防火墙的排名,测的是什么东东?
2.4的时候,毛豆没有D+,我记得当时也是第一呀
你越讲我越不稳心了,看样子,我禁用了D+功能,还不如回去用PCT,至少它还有个深度数据包检测。
周勃
发表于 2008-6-13 10:05:17 | 显示全部楼层

回复 16楼 wsf123 的帖子

那你就改一下,将P2P模式改成隐身模式,隐身模式似乎要安全一点。
再将下面的规则加进去,我复制过来:局域网用户,需要首先检查和添加,信任局域网的规则。
然后添加规则:
阻止对本机 Privileged Ports[0-1024] 的访问,普通用户,不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止对本机 3389 端口的访问,由于前面开了 Terminal Service,在这里阻止远程协助端口,以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST

[ 本帖最后由 周勃 于 2008-6-13 10:10 编辑 ]
wsf123
 楼主| 发表于 2008-6-13 10:13:51 | 显示全部楼层
原帖由 周勃 于 2008-6-13 10:05 发表
那你就改一下,将P2P模式改成隐身模式,隐身模式似乎要安全一点。


恩,就是用的P2P友好模式,我没有开放什么信任的网段,我只能理解为那是系统必须的一个服务了,管他怎么进来的,
反正我不打开网上邻居就没有了,估计是关了网上邻居,端口就自动封闭了。

你说的那几条我加了也不行,因为先是允许的,后面的阻止就不起作用了 。

[ 本帖最后由 wsf123 于 2008-6-13 10:15 编辑 ]
伯夷叔齐
发表于 2008-6-13 10:15:38 | 显示全部楼层
原帖由 周勃 于 2008-6-13 10:01 发表
那那个防火墙的排名,测的是什么东东?
2.4的时候,毛豆没有D+,我记得当时也是第一呀
你越讲我越不稳心了,看样子,我禁用了D+功能,还不如回去用PCT,至少它还有个深度数据包检测。
看来我的话让你不安了。吓到你了,呵呵。你有一个说法在没有通过测试之前,不能说完全正确,至少也很有道理,那就是用COMODO的话,最好就开它的D+,防火墙部分,我相信还是很优秀的。呵呵。。

深度数据包检测先阶段你别太迷信,其实也仅仅是初步阶段,甚至有点噱头的感觉。说到深度包,我感觉COMODO的杂项里的包校验选项就有点这个意思。。还补充一下,可能个人防火墙现实意义上实现深度包,还有点难度。。不仅仅是COMODO。


那你就改一下,将P2P模式改成隐身模式,隐身模式似乎要安全一点。
再将下面的规则加进去,我复制过来:局域网用户,需要首先检查和添加,信任局域网的规则。
然后添加规则:
阻止对本机 Privileged Ports[0-1024] 的访问,普通用户,不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
阻止对本机 3389 端口的访问,由于前面开了 Terminal Service,在这里阻止远程协助端口,以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST
局域网要实现打印文件夹共享,就别阻止上面第二条规则。

[ 本帖最后由 伯夷叔齐 于 2008-6-13 18:04 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-3 05:46 , Processed in 0.095711 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表