微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

作者:
标题: 说说论坛里那个几个获奖的微点规则包和微点防火墙
别里科夫
注册用户




积分 149
发帖 147
注册 2006-7-19
#1  说说论坛里那个几个获奖的微点规则包和微点防火墙

由于比较喜欢用各种防火墙软件,用微点也比较久了(貌似第一批预升级号的时候我就得到一个,不过当时好像用了个把月就仍了。。。),没事跑跑样本调一下规则包,这次就拿微点的防火墙和论坛里这几个获奖包来说说事。
按照http://bbs.micropoint.com.cn/showthread.asp?tid=8722这个帖子里提到的顺序来吧:
    “Blackfox”的:所做的修改意义不大,只是避免了通过邮件客户端将带毒邮件直接收到本地计算机的磁盘上,带毒邮件依然可以留存在邮箱服务商的服务器空间里等着你打开,当然前提是没有被邮件服务器的anti-spam或者anti-virus过滤掉(貌似国内的邮箱服务商用得多的是趋势和卡巴,趋势直接忽略,效果实在。。。过卡巴的方法也很多,所以。。。)。综合下来,既禁掉了邮件客户端的便利,又不能像所说的“通过邮件传播病毒的威胁就不存在了”,所以意义和效果微乎其微;
    “Rocket”的:有一定使用的意义,既在保持规则包5原有互联网应用的基础上,又开放了本地网络的共享,如果是校园的教育网的话,不太推荐使用这个规则包,太混乱,这里限定的本地网段过于宽泛。另外,开放共享的话,还是推荐在系统内新建一个用户专门用户共享,配置好权限,有必要的话加密码,还有,端口范围(135-139)沾染了微点规则包的“遗风”,后面会提到,如果都是2000及以上的Windows系统的话,tcp 445也有用得到的可能,应该也一并开放。(共享无罪,但要做好授权验证和权限控制);
    “Liuchao0365”的:太紧,没有发挥微点防火墙特有的“智能识别”的功能(允许可识别的程序通过),写得也有点问题:我不太推荐这种盲目的繁多的封本地端口的规则,那些端口针对的后门木马都是老古董,早已能查杀,现在的后门木马也没有固定的端口都是可配置的,这堆规则没意义;封本地UDP 1900不但防不到DDoS,反而会影响到系统和upnp设备的通讯;
    “绅博沙子”的:同样有些问题,有些严了,同liuchao0365。而且1024-5000段封得太密了我担心在Win2000/XP/2003下会遇到一些问题,如果是Vista下用这个包,倒无所谓(Vista下的本地随机端口选取范围改到了49152-65535)。开放本地25、80、110三个端口干什么?要做邮件和WEB服务器?共享不是只开TCP的那几个就行的,范围也有问题。倒数第二条规则也是多余的;
    “红豆”的:不错的一个规则包!重要的那几个都禁了,共享端口范围比较规整,但仍有点小瑕疵:共享不用UDP的135和445的;另外,远程的80、443、25、110端口还是应该开放,避免不识别的浏览器或者邮件客户端软件被误拦截;
    “auto”的:老问题,共享端口范围,1024以下的固定和动态端口不是十分确定非要封都不推荐去封它,微点已能很好的对这些类的攻击做防御保护,关键是担心和系统的某些应用产生影响;其他的固定端口封我是觉得没多大意思;其中有条规则名称叫“预防UDP欺骗”,后面的协议却是TCP。。。呵呵,而且我不太明白UDP 1900端口和“欺骗”有啥关系;
    “hrx0100”的:看着就显得很凌乱,前两条对浏览器和邮件客户端放行的规则也写的很草率,很多也都是错的:第1条端口范围草率太过宽泛外还写在了本地端口里、第2条除了继承第1条外收发邮件的本地端口不应做限制、恐怖的第3和第11把所有TCP/UDP都废了。。。(摆在这两条后面的放行规则都报销了)。。。完全失败不可用的一个规则包;
    “lotei”的:6和12可以并作一条;7里的代理端口应该再添加两个常用的3128和1080;8里的BT端口应根据实际的BT下载软件的监听端口来设定,现在很多用的都是10000以上的随机了,很少用6881-6889的了;11和12互相冲突,共享需对等开放;共享端口范围问题照旧;两条UDP的允许可识别,重复;ICMP的第1条类型错误,且与ICMP的第3条冲突;
    “反黑先锋”的:他的第一个规则包,共享端口范围问题、封远程固定端口意义甚微;第二个规则包,那几条关闭共享和本地特定端口的规则意义不大,既然要写这么严,推荐先直接先明确放行的,然后跟上TCP和UDP的两条可识别通过,最后来个默认阻止就行了;
    “twfy914”的:第4条本地端口范围问题、远程地址也太宽泛了,既然选择ftp作为文件交换方式,这一条建议直接删掉;第6和第8条多余,用最后的默认阻止就行了;第12条问题同第4条。这样一批下来,貌似又打回规则包5原型了,呵,但其思路“对指定ip开放telnet和ftp服务,开放局域网共享”还是可行的有实用意义的。

再补充些零碎的:
1、共享是OK的,但还应设定适当强度的口令和适当的权限;
2、135端口与共享无关,TCP 139可以关、UDP 137/138可以关,只开TCP 445就可以了,根据IP来访问;
3、封特定的本地、远程固定端口都无多大意义,一来是可通过配置更改,二来是冗余最后来一条默认阻止就行了,三是当心和一些应用冲突,确认需要这么做的例外;
4、正确的共享可能用到的端口应该是:UDP的137和138,TCP的139和445,不要跟着微点默认规则包里的写法一揽子135-139全干了,135是RPC服务的端口而且不会用到UDP(现在的系统补丁已经很好的对这个地方进行过修正,打上补丁,配合微点的行为监测,安全不是问题),136更是无辜的。
5、关于用了微点的规则包后,一些人在某些在线安全检测站点通过、一些人没通过的情况:如果你是公网IP,那么检测的就是你的电脑了(内网做了NAT多台共享出去的情况除外),结果所反应的就是你的电脑的真实状况了;如果你是内网IP,那么检测到的就是你的公网出口IP对应的设备,可能是网关计算机也可能是路由器,那么检测结果反应的就是这些设备的安全状况,可能通过也可能不通过,说不一定了,也无法反应你的电脑的真实安全状况。当然,以上说法仅针对安全检测站点里的部分检测项目,不是全部!
6、一些安全检测站点上的检测程序不是无法检测微点,它本身也是通过后门木马行为来考验防火墙的,微点是以特有的行为监控判断为主的软件,在这些软件正准备发出那些准备好的后门木马动作来考验防火墙时就被微点逮着判为后门、木马或间谍一类的软件禁止运行了,一样的效果。
7、微点防火墙里的MAC地址绑定能帮助保护你自己的电脑发到网关的数据送得过去,但网关的数据能否顺利回得来回到你的电脑上就是另一回事了,所以有的人说微点的这个绑定有效,有的说没发现什么效果。
8、微点防火墙还有待完善,比如我就希望可以把“程序访问网络策略”和“规则包”做到一起,为每个程序定制单独的规则包。

    唠唠叨叨写完也临晨了,也困了累了,喝点小酒热热身也该睡了,希望微点的扫描引擎到时候可以先发一份给我看看,哈,闪了!

[ Last edited by 别里科夫 on 2007-11-6 at 09:08 ]

※ ※ ※ 本文纯属【别里科夫】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-6 09:03
查看资料  发短消息   编辑帖子
hanker
版主

永远的偶像


积分 963
发帖 929
注册 2007-2-28
#2  



  Quote:
Originally posted by 别里科夫 at 2007-11-6 09:03:
    唠唠叨叨写完也临晨了,也困了累了,喝点小酒热热身也该睡了,希望微点的扫描引擎到时候可以先发一份给我看看,哈,闪了!
...

这位仁兄,我很羡慕你的日子啊!小日子过得不错哈。
分析的不错,加你 2 分

[ Last edited by hanker on 2007-11-6 at 09:54 ]

※ ※ ※ 本文纯属【hanker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-6 09:17
查看资料  发送邮件  发短消息   编辑帖子
jooyi
注册用户





积分 52
发帖 52
注册 2007-2-1
#3  

俄文名字,喝的伏特加吧,哈哈

※ ※ ※ 本文纯属【jooyi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

As long as u love me
[url=www.jooyi.cn]www.jooyi.cn[/url]
2007-11-7 16:39
查看资料  发送邮件  发短消息  QQ   编辑帖子
bigpoint
注册用户




积分 181
发帖 181
注册 2007-11-2
#4  

老外也用微点啊

※ ※ ※ 本文纯属【bigpoint】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[align=center][color=blue]big[/color][size=7]p[color=red]O[/color]int[/size][/align]
2007-11-7 16:55
查看资料  发短消息   编辑帖子
蕫钫威典
新手上路





积分 12
发帖 12
注册 2010-5-28
#5  

看楼主所说好像都不行,就用官方的好了~!

※ ※ ※ 本文纯属【蕫钫威典】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-5-28 22:22
查看资料  发送邮件  发短消息   编辑帖子
hanker
版主

永远的偶像


积分 963
发帖 929
注册 2007-2-28
#6  

谁把骨灰贴给顶出来了?

※ ※ ※ 本文纯属【hanker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

http://hi.baidu.com/hanker315
2010-6-3 08:55
查看资料  发送邮件  发短消息   编辑帖子
kangaroo_17
新手上路





积分 24
发帖 24
注册 2007-1-16
#7  

晕,这贴顶的有意思!07年的!不过也说明这个版块里德活跃度不够啊!!!

※ ※ ※ 本文纯属【kangaroo_17】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

一直很努力!
2010-7-1 15:43
查看资料  发短消息  QQ   编辑帖子
hccccc
中级用户





积分 488
发帖 488
注册 2007-6-17
#8  

这个帖子我也喜欢

※ ※ ※ 本文纯属【hccccc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-7-4 17:13
查看资料  发短消息   编辑帖子
jiahuai110
新手上路





积分 11
发帖 11
注册 2010-4-26
#9  

在那里下载啊

※ ※ ※ 本文纯属【jiahuai110】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2012-9-1 22:43
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号