» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 请教下大家。。。   作者: 标题: 请教下大家。。。 932356023 中级用户 积分 309 发帖 307 注册 2010-8-28 来自 福建省福州市 #1  请教下大家。。。 今天下载到很多微点防火墙规则包，里面有一个“乌鸦”写的防火墙规则，我觉得不错。不过他自己也有疑问，以下是原文，希望大家帮忙解读下，以便我完善这个规则包。当然，我不知道“乌鸦”是否在微点论坛问过此问题，如果有的话，能不能给个链接呢？还有，微点做活动获奖的防火墙规则包在本论坛有没有帖子有下载链接呢？能不能也给个链接？ 附原文： “乌鸦的特别说明： 此防火墙是在微点自带防火墙规则5上加上了些防木马的策略，可以阻挡80%的木马。 全部由本人一人收集资料，核对考虑再三后完成。 以下端口没有阻挡因为我不太缺定。望广大点饭指点 1024-1025端口 1025 端口以后Windows动态分配的监听端口（listen port）。匿名接入该端口后，就可获取Windows网络的服务器信息与用户信息等。可匿名获取用户名与服务器信息就意味着入侵者可以轻松地获得攻击服务器的信息。以前人们知道可以通过SMB（139、445端口）获得同样的信息，而能够通过其他端口获取这些信息的Windows配置还是第一次发现。更何况如果能够猜出口令，不用匿名而是伪装成正式用户进行连接的话，就有可能执行任意命令。 111端口 端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。 端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者远程或本地获取root权限。 端口：113 服务：Authentication Service 说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 143端口 　　端口说明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP），和POP3一样，是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下，知道信件的内容，方便管理服务器中的电子邮件。不过，相对于POP3协议要负责一些。如今，大部分主流的电子邮件客户端软件都支持该协议。 　端口漏洞：同POP3协议的110端口一样，IMAP使用的143端口也存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。 　　操作建议：如果不是使用IMAP服务器操作，应该将该端口关闭。 乌鸦版的规则中有以下几条可能有问题 666端口规则    （此规则下可能ID公司的毁灭战士不能联网 ） 1010和1012端口规则  （此规则下某些打印机不能用） 添加阻挡1080端口(其他代理端口未阻挡) 原因如下 端口漏洞：著名的代理服务器软件WinGate默认的端口就是1080，通过该端口来实现局域网内计算机的共享上网。不过，如 Worm.Bugbear.B（怪物II）、Worm.Novarg.B（SCO炸弹变种B）等蠕虫病毒也会在本地系统监听1080端口，给计算机的安全带来不利。 操作建议：除了经常使用WinGate来共享上网外，那么其他的建议关闭该端口” ※ ※ ※ 本文纯属【932356023】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-10-20 21:02 jackybaby 中级用户 积分 330 发帖 321 注册 2006-12-31 来自 sz #2   不用这么麻烦，规则5的最后一条是精华。 ※ ※ ※ 本文纯属【jackybaby】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 微点+组策略，不知毒滋味。 2010-10-20 22:25 932356023 中级用户 积分 309 发帖 307 注册 2010-8-28 来自 福建省福州市 #3     Quote: Originally posted by jackybaby at 2010-10-20 22:25: 不用这么麻烦，规则5的最后一条是精华。 你的意思是，这个“乌鸦”的规则包唯一的不同就是把规则５里最后一条那些无法匹配自动禁止的其中一部分端口明令禁止，剩下的还是自动禁止。其实根本就是和规则５没区别么？ ※ ※ ※ 本文纯属【932356023】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2010-10-20 23:01 jackybaby 中级用户 积分 330 发帖 321 注册 2006-12-31 来自 sz #4   黑名单没有白名单严格吧。 ※ ※ ※ 本文纯属【jackybaby】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 微点+组策略，不知毒滋味。 2010-10-21 08:53 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号