McAfee HIP 8.0 的新功能之一——McAfee TrustedSource（附开启方法和注意事项）

gwwhite

sandyyangjie 发表于 2010-12-31 22:47
这段时间解决了之前发现的许多小问题，目前还剩的问题是有时候CPU过高，还有学习模式比较疯狂，其他还好了 ...

我这个开启防火墙不能上网的问题有解了？？？？

大猫熊

gwwhite 发表于 2010-12-31 22:47
我这个开启防火墙不能上网的问题有解了？？？？

没有。。。。我复现不了这个问题。。。。

gwwhite

sandyyangjie 发表于 2010-12-31 23:12
没有。。。。我复现不了这个问题。。。。

我的是32的win7，可能xp或64位没有这个问题

大猫熊

gwwhite 发表于 2010-12-31 23:15
我的是32的win7，可能xp或64位没有这个问题

按理说，阻止所有通讯这条规则应该启用，首先是阻断所有的连接，然后按规则放行合理的连接。你导入了http://bbs.kafan.cn/thread-874469-1-1.html这个帖子中的“ePO默认-受信任程序保护列表+IPS保护程序保护列表+防火墙规则注册文件”这个配置吗？里面建了一些基本的白名单。你试试看，然后把日志截图贴上来大家分析分析，到底是不能连什么地址。

另外，我发现了禁用任何一条规则的方法，就是修改注册表值。比如：

[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\Config\Firewall\Rules\0]
@="1,706b3f5d-963a-4a74-9a24-4c159ddeee33,,允许所有出站,true,true,false,1293326289,1293326289"
"RuleData"="false,false,false,false,false,false,false,false,1,1"

只要把规则名称后面第一个true改成false就可以禁用了。我自己就禁用了允许所有出站这个规则。

gwwhite

sandyyangjie 发表于 2010-12-31 23:32
按理说，阻止所有通讯这条规则应该启用，首先是阻断所有的连接，然后按规则放行合理的连接。你导入了http ...

我把整个firewall的注册表项目全部删除了，然后整个导入“ePO默认-受信任程序保护列表+IPS保护程序保护列表+防火墙规则注册文件”，但是还是一开firewall就不能上网。

开启防火墙后日志如下：问题很明显，红色部分，所有入站均被封杀



McAfee Host Intrusion Prevention 日志
2010年12月31日 星期五 23:45:40

时间:         2010/12/31 星期五 23:45:22
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:22
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:22
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:23
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:23
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:23
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:23
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:23
事件:         通讯
IP 地址/用户:         
消息:         已允许 出站 非 IP 协议: 未知
匹配的规则:         Allow all outgoing traffic

时间:         2010/12/31 星期五 23:45:23
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:23
事件:         通讯
IP 地址/用户:         
消息:         已允许 出站 非 IP 协议: 未知
匹配的规则:         Allow all outgoing traffic

时间:         2010/12/31 星期五 23:45:24
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:24
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:24
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:24
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:25
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:25
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:25
事件:         通讯
IP 地址/用户:         
消息:         已允许 出站 非 IP 协议: 未知
匹配的规则:         Allow all outgoing traffic

时间:         2010/12/31 星期五 23:45:25
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:25
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:25
事件:         通讯
IP 地址/用户:         ***.***.**.***
说明:        Firefox (firefox)
路径:         D:\firefox\firefox.exe
消息:         已允许 出站  - 源***.**.***.***: (49202) 目标 ***.***.***.***:  (80)
匹配的规则:         Allow all outgoing traffic

时间:         2010/12/31 星期五 23:45:26
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:26
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:26
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

时间:         2010/12/31 星期五 23:45:27
事件:         通讯
IP 地址/用户:         
消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

大猫熊

gwwhite 发表于 2010-12-31 23:47
我把整个firewall的注册表项目全部删除了，然后整个导入“ePO默认-受信任程序保护列表+IPS保护程序保护列 ...

开了适应模式吗？
把允许出站那条，注册表值改一下，规则名后面第一个true改成false。然后开适应模式看看能否生成规则。

另外，可否把规则那一页贴下截图。以下是我的

gwwhite

sandyyangjie 发表于 2010-12-31 23:51
开了适应模式吗？
把允许出站那条，注册表值改一下，规则名后面第一个true改成false。然后开适应模式看看 ...

现在的问题是出站它允许了，入站就全部over了  

消息:         已阻止 入站 非 IP 协议: 未知
匹配的规则:         阻止所有通讯

消息:         已允许 出站  - 源***.**.***.***: (49202) 目标 ***.***.***.***:  (80)
匹配的规则:         Allow all outgoing traffic
就是入站的问题，出站没问题，图我明天放上，谢谢帮忙

大猫熊

gwwhite 发表于 2011-1-1 00:05
现在的问题是出站它允许了，入站就全部over了  

消息:         已阻止 入站 非 IP 协议: 未知

我有很多入站也是拦住了，不过上网没啥问题。似乎默认那些规则里面就有允许特殊的入站规则。anyway~新年快乐～

1007

不是可以本地安装虚拟机，在虚拟机里用EPO管理本地主机。

dhping

没用过，了解一下