了解ESET的网络防护体系和个人防火墙 无图

流星小语

今天，我将要谈到ESET的网络防护体系和个人防火墙。ESET的网络防护和个人防火墙都是3.0版本以后才有的新功能，很多人由于在曾经使用过3.0版本后，由于是新功能，可能ESS那时候做的还不够完善，于是很多人对ESS的网络防护和防火墙比较失望，因此弃而无视之，所以就有了此文，为ESS平反昭雪，希望各位稍安勿躁，耐心的听下去，而且此文不会枯燥，大家看过后，势必会对ESS的网络防护和个人防火墙有一个新的认识，不再会有误区了。切入正题。

ESS托盘如图：

[img=177,64]http:/[在论坛广告被屏蔽]/uploads/allimg/110202/1_110202141803_1.gif[/img]

ESS的网络防护主要分为两个模块，一是WEB访问保护，二是个人防火墙。由这两块构成了ESS的网络防护。下面就是对这两个模块的具体分析了。
ESS的WEB访问保护，如图1

[img=554,338]http:/[在论坛广告被屏蔽]/uploads/allimg/110202/1_110202141803_2.jpg[/img]

可以在ESS的主界面的防护状态中的统计的下拉列表的第四个找到，具体设置在高级设置中如图2：

[img=553,320]http:/[在论坛广告被屏蔽]/uploads/allimg/110202/1_110202141831_1.gif[/img]

通过图1，我们可以清楚的看到WEB访问保护所检查的正在浏览的网页的信息，一旦有威胁，将会跳出弹框，如图3

[img=505,324]http:/[在论坛广告被屏蔽]/uploads/allimg/110202/1_110202142016_1.JPG[/img]

[img=352,215]http:/[在论坛广告被屏蔽]/uploads/allimg/110202/1_110202142055_1.JPG[/img]

这是ESS在4.2版本以后作出的最大的改进，在4.2版本以前的3.0以及4.0时代，ESS对于网页动态病毒或木马的检测能力不强，这是由于在4.2版本以前，ESS坚持的是只有病毒实体下载到电脑eset才报警。所以，曾经ESS对于有病毒包的下载的网页并不报毒，而下完后的查杀率却很高，而卡巴等杀软却可以在网页下载前直接拦截的原因了。而4.2版本后ESS的防护机制做出了调整改变，加强了对网页动态病毒和木马的监控，虽然仍有所欠缺，但是很令人欣慰，因此强烈推荐4.2版本前的用户升级到4.2版本。

不过，有人会产生疑问了，ESS+网盾做组合使用的话，不论ESS是不是4.2版本，一般都是网盾先报啊，ESS还是安安静静的，于是就认为eset的网页防护形同虚设，防网页挂马很差。这个观点很错误。记得某人曾做了这样的一个比喻：“防护机制不同而已，说通俗点，网盾和eset就好像两个警察。对于网盾，只要是街上有行为异常可疑的人，管他有没有犯法，统统都抓。对于eset的网页防护，只有罪犯有犯罪行为时才下手，也就是说，只有病毒实体下载到电脑eset才报警。”

我个人认为，对于什么脚本代码、跨站点攻击，eset是不管的，但是只要病毒实体进入电脑，eset还是会报的，毕竟查杀率在哪里管着。

我曾今专门测试过，网盾很多报警的网页，单测eset，很多eset确实不报，不过用其他绿色杀软全盘扫描，却没有发现中毒。这就是网盾和eset的区别，机制不同，报警触发条件不同。

网盾可以反钓鱼网站、拦截代码，eset不管这些。还有就是，有些威胁网盾先拦截，eset也就不报了。

顺便，告诉大家一个网上流传了很久的是ESET有反广告功能的方法，其实方法很简单，高级设置---web访问保护---地址管理--右边的窗口下拉到“阻止地址/掩码名单”--添加--来自文件，这里面的文件是指用户自己找到的反广告的规则文本，使用方法如图，

[img=553,357]http:/[在论坛广告被屏蔽]/uploads/allimg/110202/1_110202142121_1.gif[/img]

关于ESET的WEB防护，这个是ESET自3.0版本以来声讨声最高的一个地方，ESET与多数不兼容的需联网软件的问题多出在这里，尤其是在教育网、DRCOM等专用拨号客户端上网。下面的原理引自B版，稍作改动。
Web 访问保护的原理就是ekrn随计算机启动建立一个本机的SOCKS 5代-理服务器，地址为127.0.0.1，端口为：30606，访问网络的程序会先连接到这个本机代-理服务器，再通过它来连接外网。

用IE来仔细描述一下：
现在IE要访问[url[在论坛广告被屏蔽][/url]，如果没有安装ESS，IE会直接连接到vc52，安装ESS后流程变为这样：
1、
IE提交请求给ekrn；
2、
Ekrn通过本机SOCKS 5代-理服务器将请求转发给[url[在论坛广告被屏蔽][/url]；
3、
[color=black[在论坛广告被屏蔽]将回复的数据返回给ekrn建立的本机SOCKS 5代-理服务器；
4、
Ekrn截获数据，进行扫描；
5、
如扫描无毒，则ekrn将数据提交给IE，IE得到这些数据，在屏幕上显示网页内容；
       6、
如扫描发现病毒，则ekrn终止和[url[在论坛广告被屏蔽][/url]的连接，并将自己生成的报警页面提交给IE，IE就只能显示这个报警页面了。

总结一下：网络程序提交/收取网络数据←→ekrn在中间转发并扫描这些网络数据←→网站

ESET的http防护，一直做的不到位，让人觉得不专业，此处定义了ESS的“HTTP过滤器”扫描哪些端口的数据，结合上边“3.2.1 POP3过滤器”，可以看出，ESS4.0和4.2默认仅对80、8080、3128这三个端口的传输数据进行扫描，换句话说，只要应用程序访问网站的这四个端口，那么ESS的ekrn就会提供扫描服务。如图：

[img=553,339]http:/[在论坛广告被屏蔽]/uploads/allimg/110202/1_110202142122_2.gif[/img]

3.0的一些版本开始，HTTP防护经常拦截某些中国特色软件如迅雷、QQ等访网，如果发现个别程序无法访网或很“卡”，请去HTTP防护内打X。
NOD32的HTTP防护同绝大多数杀软一样，是扫描器的HTTP防护，没有溢出防护，没有0day防御等。不过从4.0和4.2版本后，ESET对国内软件的本地化程度已经很高了，所以请大家放心使用。
关于主动模式，不多说了，大家看了他的说明自己就明白了。

官方对“主动模式”的说明

主动模式的有用之处在于它将传输的数据作为整体进行检查。如果未启用，则逐步按批监视应用程序的通信。这样会降低数据验证效率，但也为列出的应用程序提供了更高的兼容性。如果使用时未出现问题，建议您启用“主动模式”检查模式。

主动模式的工作方法：当受控的应用程序下载数据时，数据首先保存到由 ESET Smart Security 创建的一个临时文件。此时数据对给定应用程序不可用。一旦下载完成，即开始检查恶意代码。如果未发现渗透，则将数据发送给原来的应用程序。此过程能够完全控制受控应用程序的通信。如果启动了被动模式，数据被滴入原来的应用程序以避免超时。

我个人建议在迅雷，QQ和浏览器前打上对号，加强监控防护。

二、个人防火墙

ESS的防火墙一直被人称之为鸡肋，负责任的说，对于一个杀软来说这样的机制还行，但是用起来不行。所谓行是对设计的机制来说，杀软附带墙的水平都是中下等乃至再下，NOD32 3是他们第一次做墙，考虑的比较周到了，实际对一些攻击的拦截效果也还行。但是用起来不行，有些情况下，不稳定，要崩溃，“卡机子”，乃至不支持IPV6\VPN等逐渐常用或已常用的东西。详细测试：[url=http:/[在论坛广告被屏蔽]/pingce/5011.html]http:/[在论坛广告被屏蔽]/pingce/5011.html[/url]

多说一句废话，其实对于EAV用户来说，普通人如果不想接触安全太深，就不要忽视WINDOWS自带的东西，就是XP的防火墙，VISTA的防火墙，IPSEC端口策略（乃至组策略）。这些绝对不能说如看起来那样弱，就某些方面来说，甚至比起专业级别的墙来说也有得道之处。

总体就不多说了，我把网页防护的体系简单的通过一些浏览网页和部分顺序举例说下：
eg：某钓鱼网站---ESS的网络监控在电脑后台持续检查---分析网页---跳出弹窗，本地提醒---列入网络黑名单（此黑名单不是指用户本地电脑的黑名单，而是指其安全服务器上储存的）---禁止访问
但是，这个网页防护的原理基本就是这样：原理是浏览网页---监控和分析同时进行---扫描和提醒同时进行---列黑和禁访同时进行---over

其实更通俗的例子就比如说：
如果是一个浏览器想要链接到某网页，无ESS的话，就是直接链到此网页，不会检查是否安全。但是如果装了ESS的话将会变为刚刚的例子那样。

ESS的网页体系可简单的阐述为：
1.浏览，上网输入连接---服务器开始搜索---ESS开始启动搜索
2.检索，提出搜索任务后---ESS确定检查标志---自动找检索途径---选定途径判断是否挂马---查找
3.报告，如果安全则放行，继续浏览，不安全则报告。

嗯，就是这个样子，今天的分析和讲解就到这里，欢迎各位批评指正。

The EQs

你转的帖子里面有个错误，

是由于在4.2版本以前，ESS坚持的是只有病毒实体下载到电脑eset才报警

这句话明显有问题，只要勾选了主动模式的话，是预先检测的，根本不用下载后才报毒，而主动模式也不是4.2才有的

粉红色的小笨熊

图是不是都挂了？我怎么看不见？

吾与谁归

通过图1 图3.....然后没有图

吉祥如意MM

ESS的WEB访问保护，如图1

[img=554,338]http:/[在论坛广告被屏蔽]/uploads/allimg/110202/1_110202141803_2.jpg[/img]

图挂了。。

cxfc

只用EAV的飘过。。

梦幻舞步

学习了

久远寺有珠

接个图全挂了

rkka

在论坛广告被屏蔽

tomochan

支持ESET一直都是用ESETSS的