» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 防火墙 » 【征文参赛】说说微点官方论坛的那个几个获奖规则包和微点防火墙    13   1/2   1   2   >  作者: 标题: 【征文参赛】说说微点官方论坛的那个几个获奖规则包和微点防火墙 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #1  【征文参赛】说说微点官方论坛的那个几个获奖规则包和微点防火墙 注册也有一段时间了，本来不是万不得已的话，我是要坚决贯彻看帖不回帖的核潜艇精神的，白天进来逛的时候，看到微点区有这个活动，也有东西拿，琢磨着是不是咱至少也得“一年一帖”，也算是年底了，一年到头挂个零也不光彩，而且深度说不定哪天就把我这ID废了（其实我很多论坛都在，只是。。。）。    由于比较喜欢用各种防火墙软件，用微点也比较久了（貌似第一批预升级号的时候我就得到一个，不过当时好像用了个把月就仍了。。。），没事跑跑样本调一下规则包，这次就拿微点的防火墙和微点官方论坛里那几个获奖包来说说事。 按照http://bbs.micropoint.com.cn/showthread.asp?tid=8722这个微点官方论坛的帖子里提到的顺序来吧： “Blackfox”的：所做的修改意义不大，只是避免了通过邮件客户端将带毒邮件直接收到本地计算机的磁盘上，带毒邮件依然可以留存在邮箱服务商的服务器空间里等着你打开，当然前提是没有被邮件服务器的anti-spam或者anti-virus过滤掉（貌似国内的邮箱服务商用得多的是趋势和卡巴，趋势直接忽略，效果实在。。。过卡巴的方法也很多，所以。。。）。综合下来，既禁掉了邮件客户端的便利，又不能像所说的“通过邮件传播病毒的威胁就不存在了”，所以意义和效果微乎其微； “Rocket”的：有一定使用的意义，既在保持规则包5原有互联网应用的基础上，又开放了本地网络的共享，如果是校园的教育网的话，不太推荐使用这个规则包，太混乱，这里限定的本地网段过于宽泛。另外，开放共享的话，还是推荐在系统内新建一个用户专门用户共享，配置好权限，有必要的话加密码，还有，端口范围（135-139）沾染了微点规则包的“遗风”，后面会提到，如果都是2000及以上的Windows系统的话，tcp 445也有用得到的可能，应该也一并开放。（共享无罪，但要做好授权验证和权限控制）； “Liuchao0365”的：太紧，没有发挥微点防火墙特有的“智能识别”的功能（允许可识别的程序通过），写得也有点问题：我不太推荐这种盲目的繁多的封本地端口的规则，那些端口针对的后门木马都是老古董，早已能查杀，现在的后门木马也没有固定的端口都是可配置的，这堆规则没意义；封本地UDP 1900不但防不到DDoS，反而会影响到系统和upnp设备的通讯； “绅博沙子”的：同样有些问题，有些严了，同liuchao0365。而且1024-5000段封得太密了我担心在Win2000/XP/2003下会遇到一些问题，如果是Vista下用这个包，倒无所谓（Vista下的本地随机端口选取范围改到了49152-65535）。开放本地25、80、110三个端口干什么？要做邮件和WEB服务器？共享不是只开TCP的那几个就行的，范围也有问题。倒数第二条规则也是多余的； “红豆”的：不错的一个规则包！重要的那几个都禁了，共享端口范围比较规整，但仍有点小瑕疵：共享不用UDP的135和445的；另外，远程的80、443、25、110端口还是应该开放，避免不识别的浏览器或者邮件客户端软件被误拦截； “auto”的：老问题，共享端口范围，1024以下的固定和动态端口不是十分确定非要封都不推荐去封它，微点已能很好的对这些类的攻击做防御保护，关键是担心和系统的某些应用产生影响；其他的固定端口封我是觉得没多大意思；其中有条规则名称叫“预防UDP欺骗”，后面的协议却是TCP。。。呵呵，而且我不太明白UDP 1900端口和“欺骗”有啥关系； “hrx0100”的：看着就显得很凌乱，前两条对浏览器和邮件客户端放行的规则也写的很草率，很多也都是错的：第1条端口范围草率太过宽泛外还写在了本地端口里、第2条除了继承第1条外收发邮件的本地端口不应做限制、恐怖的第3和第11把所有TCP/UDP都废了。。。（摆在这两条后面的放行规则都报销了）。。。完全失败不可用的一个规则包； “lotei”的：6和12可以并作一条；7里的代理端口应该再添加两个常用的3128和1080；8里的BT端口应根据实际的BT下载软件的监听端口来设定，现在很多用的都是10000以上的随机了，很少用6881-6889的了；11和12互相冲突，共享需对等开放；共享端口范围问题照旧；两条UDP的允许可识别，重复；ICMP的第1条类型错误，且与ICMP的第3条冲突； “反黑先锋”的：他的第一个规则包，共享端口范围问题、封远程固定端口意义甚微；第二个规则包，那几条关闭共享和本地特定端口的规则意义不大，既然要写这么严，推荐先直接先明确放行的，然后跟上TCP和UDP的两条可识别通过，最后来个默认阻止就行了； “twfy914”的：第4条本地端口范围问题、远程地址也太宽泛了，既然选择ftp作为文件交换方式，这一条建议直接删掉；第6和第8条多余，用最后的默认阻止就行了；第12条问题同第4条。这样一批下来，貌似又打回规则包5原型了，呵，但其思路“对指定ip开放telnet和ftp服务，开放局域网共享”还是可行的有实用意义的。 再补充些零碎的： 1、共享是OK的，但还应设定适当强度的口令和适当的权限； 2、135端口与共享无关，TCP 139可以关、UDP 137/138可以关，只开TCP 445就可以了，根据IP来访问； 3、封特定的本地、远程固定端口都无多大意义，一来是可通过配置更改，二来是冗余最后来一条默认阻止就行了，三是当心和一些应用冲突，确认需要这么做的例外； 4、正确的共享可能用到的端口应该是：UDP的137和138，TCP的139和445，不要跟着微点默认规则包里的写法一揽子135-139全干了，135是RPC服务的端口而且不会用到UDP（现在的系统补丁已经很好的对这个地方进行过修正，打上补丁，配合微点的行为监测，安全不是问题），136更是无辜的。 5、关于用了微点的规则包后，一些人在某些在线安全检测站点通过、一些人没通过的情况：如果你是公网IP，那么检测的就是你的电脑了（内网做了NAT多台共享出去的情况除外），结果所反应的就是你的电脑的真实状况了；如果你是内网IP，那么检测到的就是你的公网出口IP对应的设备，可能是网关计算机也可能是路由器，那么检测结果反应的就是这些设备的安全状况，可能通过也可能不通过，说不一定了，也无法反应你的电脑的真实安全状况。当然，以上说法仅针对安全检测站点里的部分检测项目，不是全部！ 6、一些安全检测站点上的检测程序不是无法检测微点，它本身也是通过后门木马行为来考验防火墙的，微点是以特有的行为监控判断为主的软件，在这些软件正准备发出那些准备好的后门木马动作来考验防火墙时就被微点逮着判为后门、木马或间谍一类的软件禁止运行了，一样的效果。 7、微点防火墙里的MAC地址绑定能帮助保护你自己的电脑发到网关的数据送得过去，但网关的数据能否顺利回得来回到你的电脑上就是另一回事了，所以有的人说微点的这个绑定有效，有的说没发现什么效果。 8、微点防火墙还有待完善，比如我就希望可以把“程序访问网络策略”和“规则包”做到一起，为每个程序定制单独的规则包。 唠唠叨叨写完也临晨了，也困了累了，喝点小酒热热身也该睡了，核潜艇准备再次下潜了，哈~~~没事别捅我浮上来，有油水了再发报给我，希望微点的扫描引擎到时候可以先发一份给我看看，哈，闪了！ 文章转自深度技术论坛 作者:别里科夫 [ Last edited by 反黑先锋 on 2007-12-10 at 10:12 ] ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-11-20 21:13 sxh_sxh 版主 灌水区版主 积分 818 发帖 810 注册 2005-12-10 #2   好像是当时的评论。 ※ ※ ※ 本文纯属【sxh_sxh】个人意见，与【 微点交流论坛 】立场无关※ ※ ※    偶真想* 2007-11-20 21:51 freedom11 版主 电脑&数码区版主 积分 1212 发帖 1139 注册 2007-11-6 #3   挺好的，就是要求对防火墙的知识要求比较高 ※ ※ ※ 本文纯属【freedom11】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-11-26 22:56 一叶孤舟 注册用户 积分 115 发帖 115 注册 2007-7-31 #4   嘿嘿，深度的帖子。。。 ※ ※ ※ 本文纯属【一叶孤舟】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-2 16:04 千里走单骑 银牌会员 一觉醒来，天都黑了 积分 2900 发帖 2876 注册 2007-12-6 来自 我也不知道 #5   哦。。。。我想用这几个规则包。。。在那下载。。。。。 ※ ※ ※ 本文纯属【千里走单骑】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-8 03:19 lm5247 注册用户 积分 81 发帖 81 注册 2007-10-25 #6   不错的 ※ ※ ※ 本文纯属【lm5247】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 用Ｖista+firefox+微点，放心 2007-12-9 14:53 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #7     Quote: Originally posted by 千里走单骑 at 2007-12-8 03:19: 哦。。。。我想用这几个规则包。。。在那下载。。。。。 http://bbs.micropoint.com.cn/showthread.asp?tid=3832&fpage=7 ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-12-10 10:10 liudaxue2008 中级用户 积分 402 发帖 402 注册 2007-11-6 来自 苏州 #8   嘿，深度的帖子。。。 ※ ※ ※ 本文纯属【liudaxue2008】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [img]http://bbs.micropoint.com.cn/images/logo.gif[/img] 2007-12-16 22:11 xing_cj 注册用户 积分 78 发帖 78 注册 2007-12-19 #9   楼主怎么不自己弄个更好的规则包出来啊？也好让我们受益啊~~~ ※ ※ ※ 本文纯属【xing_cj】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-30 12:18 chenrui19930 注册用户 积分 149 发帖 147 注册 2007-12-9 #10   呵呵,楼主自己评论自己,真有勇气 ※ ※ ※ 本文纯属【chenrui19930】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-12-30 22:40  13   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号