Widows Operatin System的规则问题

hlytg

        看了看坛子里有很多规则把Widows Operatin System设为拦截，神器NPE出现灾难性错误提示除了与下载不完整有关外，还与运行NPE后拦截ICMP协议进入有关，解决办法：以comodo为例，允许在Widows Operatin System中增加一条规则：

        允许ICMP入 源地址任意 目的地址本机IP icmp细节 icmp需要分片

这样看来把Widows Operatin System设为拦截也会带来一些问题。

zhangkun0214

学习了

slm513

回复 1楼 hlytg 的帖子

win7下想ping通的话，还需要给Windows Operating System加一条允许ping的规则

柯林

回复 1楼 hlytg 的帖子

还是优先级关系吧
Widows Operatin System应该列在所有系统程序之后，该允许的系统程序的网络行为都允许了，再拦截Widows Operatin System应该就不出问题

全局规则不要做太死，以入站来说，过了全局才到应用程序规则，之后才会被内置的扫尾规则处理

伯夷叔齐

ICMP属于网络层的东西，因此程序网络规则部分过滤有点勉为其难，经常看到××程序ICMP连出，其实消息都是回显请求，程序部分，对于ICMP协议更多的消息类型，程序网络规则部分是无法控制的，且网络层的全局规则也不能完全控制和过滤ICMP协议，否则不会有全局规则里的那么多的ICMP规则(设置过滤规则与SPI过滤是有区别的，半自动和全自动的区别)；

而Widows Operatin System这个包含了防火墙无法识别的所有程序或服务，反正非请自来的数据包就拦截，而不显示，也显示不出来具体程序或服务；只有符合的数据包才在传输层解包，再和具体程序对号入座。

基于上面两点，建议仅针对Widows Operatin System设置阻止出站规则，而不要刻意去设置阻止或允许Widows Operatin System的入站规则，让防火墙自己过滤。如果因某程序的网络访问不正常而在Widows Operatin System添加允许规则，如消息是分片，反倒降低了安全性。

hlytg

回复 5楼 伯夷叔齐 的帖子

感谢分享，对Widows Operatin System又有些了解了！

slm513

回复 4楼 柯林 的帖子

应该不是优先级的问题，我前两天刚刚试验的ping的规则，即使设置了ping.exe的规则允许ping，而把Windows Operating System放最后拦截的话依然ping不通的

柯林

回复 7楼 slm513 的帖子

记不得以前的设置了，印象中对这个做过拦截规则，可能xp系统没事

伯夷叔齐

hlytg 发表于 2010-11-26 23:43
回复 5楼 伯夷叔齐 的帖子

感谢分享，对Widows Operatin System又有些了解了！

你最好验证一下。

hlytg

回复 9楼 伯夷叔齐 的帖子

验证，不会呀！偶想还是把Windows Operating System设为拦截吧，大家都这样做，只是少数软件如NPE才会要求放行，如果今后再遇到类似问题，直接转到默认规则下测测就知道了。