SEP11防火墙规则研究

TomAnderson

注：以下讨论基于SEP11.0.2020.56，不保证其它版本情况完全相同。

SEP11中的防火墙可由三种方式设置：1、“网络威胁防护”- “更改设置”；2、“网络威胁防护”- “查看应用程序设置”（“查看网络活动”里面也一样改）；3、“网络威胁防护”- “配置防火墙规则”。本文讨论的是三种设置的相互关系（经多次实验后总结）：

1、“更改设置”里“允许所有IP通信”是最强的规则。一旦钩上，在“配置防火墙规则”里面怎么禁止都没有用。“IP通信前提示用户”也没有用了，因为已经全部允许了，SEP不再需要用户针对特定应用程序的网络通信作出选择。在日志里面查看，发现所有进出通信都被允许了。但是，“允许所有”并不代表防火墙不起作用，因为会不断弹出防御攻击的通知。（这时再看日志还是全部允许！）这说明SEP防火墙还是会根据自己的内置规则作出防御反应。这很可能是SEP11的一种适用于一般用户的简单设置（也是默认设置），在这种设置下，绝大多数程序的网络活动都将畅通无阻，SEP仅仅对典型的网络攻击作出反应。

2、如果去掉“允许所有IP通信”，在发现程序请求网络连接时，SEP将首先检查“配置防火墙规则”里的设置。如果发现可适用的规则，则按设定规则处理，不提示用户选择；如果没有，则检查“查看应用程序设置”里的规则；如果还没有，就取决于是否勾选了“允许IP通信前提示用户”：

已勾选——>让用户作出选择，如果用户选了“记住我的回答”，则将执行规则保存到“查看应用程序设置”；否则下次继续弹出提示；
未勾选——>SEP按自己的内置规则自动判断，一般情况下都会放行。

ygc123

这也算研究啊

louphier

这 lz发SCI 吧～～～

Magis

lz的帖数和积分是一大亮点 期待更多SEP MR3的防火墙研究

xiaocat85

呵呵，真够吓人的～～1贴201分

masonlynn

当年我写SEP11防火墙设置的时候也没楼主那么多分

ihaveaid

高分贴啊，厉害

popxl

原帖由 magiscoldeye 于 2008-10-4 19:38 发表
lz的帖数和积分是一大亮点 期待更多SEP MR3的防火墙研究

眼睛好贼啊！！！

quan2005

楼主好强！

winmap

楼主真是厉害,2个帖子就有那么多积分了.不过楼主的介绍还是可以的