Board logo

标题: 缺省处理选择“阻止”产生的一些问题。 [打印本页]
作者: ssnet     时间: 2009-7-24 12:09    标题: 缺省处理选择“阻止”产生的一些问题。

这个帖子本来发到防火墙版的,但是没人能解决,只好转到这里来。
=======================================

不管是默认规则,还是自定义规则,最后都有一条都是缺省处理(当没有规则可匹配时的处理),选择“阻止”还是“放行”,结果大不同。选择放行,上网基本上没有问题。如果选择“阻止”,首先FTP上传速度会降低,我是2M adsl,正常速度是530K,如果选择“阻止”,速度只有420K左右。浏览一些有大量AJAX代码的网页,反应速度非常慢,有时甚至打不开,关掉防火墙,速度立即快起来。
我知道,这是由于缺省处理是“阻止”后,一些有特殊连接请求的行为被阻止了,尽管这种请求是正常的,但我又不知道改怎么增加规则让这些请求被许可,所以只好选择缺省“放行”,但这又降低了安全性,很烦。

我是通过华硕的无线路由器上网,目前用的防火墙规则是在自带的局域网用户规则基础上自己修改的。不知道我的问题是不是和路由器有关,该怎么设置防火墙规则呢?
===========================

对Ajax的网页,选择阻止还是放行差别太明显了,选择放行,流畅执行;选择阻止,速度极慢,甚至打不开。ajax需要在非客户端请求的空闲时间在后台和数据库交换数据并返回到客户端,不知道是不是这个原因被防火墙阻止,不知道该开那些端口来解决这个问题。

我觉得适合路由器有关系的,我原来的tp-link就很正常,坏了,换华硕就这样。不仅和路由器有关,还和isp有关,在adsl连接的地方好些,ajax只是有些慢,到小区宽带的地方,ajax的网页根本打不开。但不管怎样,只要关闭微点防火墙,或者缺省处理选择“放行”,就一切正常。
作者: ssnet     时间: 2009-7-24 12:13
现在我搞明白了,规则三全是“允许”规则,如果将缺省规则设置为“放行”,等于就是关闭防火墙了。
作者: ssnet     时间: 2009-7-24 12:26
其实不局限于ajax的网页了,凡是要连接数据库的动态网页,多多少少都有些拖慢,纯静态页面完全没问题。
作者: Legend     时间: 2009-7-24 12:53
楼主可以根据自己的环境自定义规则来使用。

首先请您以前使用会造成FTP、Ajax慢的规则包另存为一个新的规则包,然后添加一条IP规则。
协议:ip;方向:双向;本地端口:所有端口;远端地址:所有地址;远端端口:所有端口;处理:拦截; 动作:记日志。
然后打开微点的【安全日志】>【传统防火墙日志】中记录的信息,从而找到是否被防火墙拦截,具体拦截的哪个端口?什么协议的数据包等信息?知道这些后您就可以自己手工加入允许这个协议的数据包通过这个端口的规则。
作者: ssnet     时间: 2009-7-24 12:55
谢谢斑竹,马上尝试。
作者: ssnet     时间: 2009-7-24 13:11
老大厉害。日志显示 我的网关(即无线路由器IP)连入的ICMP协议包被禁止,在放问所有网站的时候,都至少产生1~2条这样的记录,在打开我上面所说的那些特别慢的网站的时候,产生了十几条以上。于是想在规则包中增加一条允许我的网关IP的icmp协议连入,但不知道该选择什么类型,icmp协议那里有好多种类型。
作者: 心随风落     时间: 2009-7-24 13:23
上次我也是因为加速器的原因这样搞过,然后加速器就可以用了。

楼主应该把FTP那些什么的软件都用下,反正就是你以前使用中觉得慢的都用下!
作者: ssnet     时间: 2009-7-24 13:32
就是我在6楼说的那个原因,防火墙阻止了我的家用路由器发来的icmp报文,但我又不知道什么icmp类型,所以干脆增加了一条IP协议,凡是网关(路由器IP)发来的各种数据,一律接收,好了,这下都没问题了,日志里现在也显示网关发来的icmp都放行了。
不知道这样会不会有安全问题,有哪位高手知道该具体开放哪个icmp协议的类型吗?
作者: 心随风落     时间: 2009-7-24 13:43
不知道你在防火墙规则里是怎么设置的
作者: ssnet     时间: 2009-7-24 13:53
增加这条IP协议,允许网关发过来的所有数据包照单接收后,一切都正常了,访问各种网站速度都很快,但是这样是不是等于关闭防火墙了,有些怕怕。
作者: tustin     时间: 2009-7-24 15:00
我不开传统防火墙,智能防火墙够用了
作者: ssnet     时间: 2009-7-24 17:39
智能防火墙?在哪里开启和设置?
作者: liym_888     时间: 2009-7-25 13:55
智能防火墙默认是开启的!你可以去这看看!!!

作者: ssnet     时间: 2009-7-25 19:16
这个程序访问网络策略我当然是知道的,只是阻止一些位置应用程序访问网络而已,这不能算防火墙吧。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn