Board logo

标题: 关于IP防火墙5组自带规则的解析 [打印本页]
作者: 嘎子     时间: 2007-2-8 17:51    标题: 关于IP防火墙5组自带规则的解析

规则包(一):开放网络,不对进出数据包做任何限制。相当于“关闭IP防火墙”。
“微点的托盘图标右键菜单”的“启动\停止防火墙选项”也可以实现此功能。这两种实现方式是“逻辑与”的关系。

规则包(二):禁止网络,禁止任何数据包进出。相当于其他防火墙中的“断开网络”。“微点的托盘图标右键菜单”不能提供类似功能,但是如果“启动\停止防火墙选项”没有“对勾”时,是不能达到断网状态的。

规则包(三):开放本机连接共享,适用于局域网内部用户。
这组规则允许本机被共享、允许连接到别的共享主机、允许ping和被ping。允许浏览网页(80)、允许收发送邮件(25、110)、允许域名解析(53)、允许动态IP(67)、除此之外的所有网络操作将被禁止。
但需要特别注意的是“允许可识别程序通过”这条规则,它允许“可识别程序”使用被禁止的端口。例如使用“flashxp.exe”ftp文件的时候,尽管在规则包(三)中没有明确允许23端口通过,但如果在“程序访问网络策略”中设置flashxp.exe为“允许访问网络”,这样在flashxp.exe使用23端口的时候,ip防火墙会自动放行23端口,数据传输结束后自动关闭。这是一个方便的地方,但是也会带来一些问题,特别是在bt下栽的时候,bt作为可信程序自动放行了很多端口,如果此时做“网络安全性检测”的话,可能碰巧要检测的端口被bt打开,从而导致检测通不过。

规则包(四):普通用户规则。
这组规则屏蔽了135~445这几个高危的端口,禁止被ping,除此之外不做任何限制,当然这会导致局域网内的共享失败。

规则包(五):适用于使用互联网的用户。
这是一组比较严格的规则允许浏览网页(80)、允许收发送邮件(25、110)、允许域名解析(53)、允许动态IP(67),除此之外的所有网络操作将被禁止。
该组规则中也包含“允许可识别程序通过”这条规则,为了防止系统(可信程序)自动打开135~445这几个高危的端口,在这之前设置一条“禁止该主机被共享”的规则,可以阻止任何可信程序自动放行这几个端口。

[ Last edited by 嘎子 on 2007-2-8 at 17:52 ]
作者: lailai1     时间: 2007-2-10 08:45
学习中。。。。
规则包(五):适用于使用互联网的用户。
这是一组比较严格的规则允许浏览网页(80)、允许收发送邮件(25、110)、允许域名解析(53)、允许动态IP(67),除此之外的所有网络操作将被禁止。
该组规则中也包含“允许可识别程序通过”这条规则,为了防止系统(可信程序)自动打开135~445这几个高危的端口,在这之前设置一条“禁止该主机被共享”的规则,可以阻止任何可信程序自动放行这几个端口。

怎么设置一条“禁止。。。。。。”的规则啊?
作者: 八闽汀江子     时间: 2007-2-10 12:45
规则(五)现在就是这样的啊!不用再添加了。
作者: isbasic     时间: 2007-4-21 09:36
是仅仅使用微点的规则包测试的还是搭配了其他的安全工具?

我现在单单使用微点进行测试竟然是很不安全啊
作者: Legend     时间: 2007-4-21 09:44
请问 4楼 isbasic ,您测试时有哪些提示信息?您具体什么方式上网?
作者: isbasic     时间: 2007-4-21 10:21
我的测试比较简单,想来没什么准确性吧

http://www.pcflank.com/about.htm
  
仅仅是使用这个页面进行测试的

规则包使用的是规则包5基础上进行的改动

添加了三条规则是针对使用outlook和thunderbird邮件客户端收发gmail邮件的

分别是 TCP连接,接收,本地端口所有,远程地址所有,远程端口995

TCP连接,发送,本地端口所有,远程地址所有,远程端口587

TCP连接,发送,本地端口所有,远程地址所有,远程端口465

缺省处理仍是原来的双向阻止策略。

上网方式是电信ADSL

请问这样测试是不是没有说服力呢?

我本身也只是想测试一下微点防火墙本身的拦截能力

但是得到这样的结果还是让我有所担心的。

[ Last edited by isbasic on 2007-4-21 at 10:22 ]
作者: Legend     时间: 2007-4-21 10:35
请问 4楼 isbasic,您的ADSL猫是否开启路由?即您ADSL上网拨号时,是电脑拨号 ,还是猫自动拨号?
作者: isbasic     时间: 2007-4-21 10:59
我的ADSL猫并没有开启路由功能,上网方式是电脑拨号上网。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn