SEP11Mr4防火墙设置再讨论

陈衍茗

前两天电脑开机后从欢迎画面到启动完需要将近3分钟，误以为是NIS2009的问题，结果卸载后发现不是这个引起的问题。想把NIS2009OEM版再装回去，发现已经提示过期，于是又返回到SEP11.
    昨天晚上到今天中午之前把论坛上介绍SEP11防火墙的帖子全看了，实践其来发现有很多不满意，在装了又卸，卸了又装无数次后，终于找到了合理的设置方法。见下面的图一、图二、图三
图一
图二
图三

    今天我用另外一个方式来介绍，那就是不介绍设置内打勾的，而是阐述一下没有勾上的，见图四
图四
    什么是令牌环通信？搜索得到了一些答案：令牌环网是IBM公司于80年代中期推出的环形网，采用屏蔽或无双绞线作为传输介质，传输速率为4Mbps或16Mbps。令牌环网符合IEEE 802.5标准，采用了一种无冲突的介质访问控制协议，环中第一个加电激活的站点将成为活监督站，由它发布一个特殊的数据帧，称之为“令牌”，令牌在环上顺次传送。当某个站点抓到这个令牌，就有了“通行证”，可以在一个特定的时间内发送数据。当数据发送完或令牌指定时间到期之后，这个发送节点就必须放弃令牌，然后，令牌继续向下依次传递。除了发送节点以外，环上各节点一旦接收到令牌或数据帧都要转发，直到数据帧返回到发送节点后，再由发送节点删除数据帧并发出令牌。当前光纤网大多数采用令牌环标准。例如，FDDI（光纤分布数字接口）标准就采用令牌环方法，但它允许环上有多个令牌在传递，在100km范围内可接500个工作站，传输速率达100Mbpa。最新的光纤网技术传输速率能达到Gbps数量级。也就是说在光纤网上你可以使用这个，个人的ADSL不推荐使用。
    允许IP通信，这点在前面很多文章上都有介绍，无非就是不好的地方很多，不安全啦什么的，其实也不竟然是那么一回事，监控肯定还是有的，具体详见帮助文档《关于 Symantec Endpoint Protection 防火墙》。
    第三项我个人认为还是不用勾起，好处坏处大家也是知道，无非就是有的网站图片不能正常显示等等之类的。

    再来看看防火墙规则配置

    之前我用了论坛上的方法，就是添加全部允许和全部禁止两个规则，两个字形容“繁琐”，像我这样喜欢玩网络游戏和软件测试的人，需要在全部允许里面添加很多主程序和升级程序，就光“黄金岛”和“QQ游戏”这两个，添加起来那才叫累啊。于是放弃，找来了comobo2.4版本的规则，见下图。添加进去后，所有提示都消失了，还时不时弹出很烦

人的对话框，就是我们常见的那两个系统因为某些通信被阻止了，设置了允许之后还是会弹对话框。于是又卸载放弃。最安静最保险的设置就是图一、图二和图三那样的设置，就像NIS2009一样，只要一次点击“是”或“否”来决定程序的访问。设置完以后你也可以看看防火墙日志，它是很安全的不骚扰人的设置。

陈衍茗

对于3楼的问题，我也很纳闷，贴一个软件，这个软件是我用来看网络电影和电视的，必须取消掉“启用网络应用程序监控”这一项才能访问网络，而且访问网络的时候防火墙不会弹出允许“是”和“否”的对话框，可以在“查看网络活动”里面看到程序，但是貌似没有监控什么。

[ 本帖最后由 陈衍茗 于 2009-4-13 15:20 编辑 ]

qhfls

觉得SEP的墙对个人用户还是有点
按你“图一、图二”设置的话有的通讯不能发出
http://bbs.kafan.cn/thread-432299-1-1.html
此贴中，段版指出一种情况
“
还有一个特例，就是如果你的这个应用程序不是直接触发网络连接的，而是基于某种协议间接连接（例如一些基于ICMP的软件，直接调用icmp.dll中的API访问网络），就不属于应用程序级别了，基于应用程序的访问拦截失效
”
如有这种情况，按你的设置就不会弹出提示。
比如我用Tagrename这个Mp3编辑软件，当用它查询freedb数据的时候就没有提示，显示解析主机失败，看日志，是被禁止了。

最后我还是没有用SEP的墙。。。

[ 本帖最后由 qhfls 于 2009-4-13 14:16 编辑 ]

qhfls

补充：个人觉得SEP应该有默认规则的，最好能有详细的默认规则，再添加自己需要的就可以了。

song-ci

保持默认的规则加良好的上网习惯

liyang3230

閱。。

陈衍茗

原帖由 qhfls 于 2009-4-13 14:14 发表
觉得SEP的墙对个人用户还是有点
按你“图一、图二”设置的话有的通讯不能发出
http://bbs.kafan.cn/thread-432299-1-1.html
此贴中，段版指出一种情况
“
还有一个特例，就是如果你的这个应用程序不是直 ...

对于某些软件可能会有不提示的拦截或直接放行，但是添加某些规则发现兼容性又不是很好，到底该怎么添加一些防护规则，添加的规则是不是适应SEP11，从我的经历来说，我宁愿选择现在的这种规则。我也有一款软件，必须取消掉“启用网络应用程序监控”这一项才能访问网络，勾上则不能访问，就算在规则允许里面信任并且允许它随意访问IP地址都还是不能访问网络，所以说我也有点烦躁。

qhfls

呵呵，现在感觉杀毒软件个人版和企业版差别不是太大。
防火墙差异就比较大了。
建议个人用户还是选用个人版的防火墙。

foxlay

启用TCP重新循序这个我的机器不能开
开了之后taobao就会上不去
vista u

千江月

我是懒人，所以我用NIS。