» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 防火墙 » 还是微点的默认规则库问题   作者: 标题: 还是微点的默认规则库问题 lbhllp 新手上路 积分 7 发帖 7 注册 2007-11-30 #1  还是微点的默认规则库问题 细节决定成败！呵呵，刘旭说过的！ 上面的这个规则错误先前反映过了，但仍未修正。呵呵，效率不高啊，或许不是什么大问题。再提一下。 或许还有其他的错误，建议官方认真审核下规则。 一段聊天记录： 最爱撞路灯 21:43:42 一些个人意见   我觉得规则库越精简越好 针对规则5，既然存在“允许可识别程序通过（TCP）”这条规则，那上面的“允许浏览网页”“允许发送邮件”和“接收邮件”的规则就没必要存在。 下面的UDP也类似。 微点管理员 21:45:10 万一不识别呢，也是一种情况 最爱撞路灯 21:59:51 我自己使用，是觉得微点的“程序访问网络策略”跟zonealarm的程序访问控制一样，是独立的一个模块，程序访网，不单经过防火墙规则“传统访问墙控制”过滤，还要经过“程序访问网络策略”控制。 比如说，把规则五的“允许浏览网页”改为“禁止浏览网页”，其他规则不便。然后把“程序访问网络策略”的“智能识别”去掉。试下用IE浏览网页，是否还会弹出询问窗口（访问远端80）？虽然点了允许后还浏览不了网页（两个模块独立进行过滤）   所以我觉得那个规则没有存在的必要，因为即使程序不识别，即使存在这条规则，仍然还要经过“程序访问网络策略”询问控制 最爱撞路灯 22:05:06 我也不知道我讲得清不清楚。大概意思是，不识别的程序要访网，即使存在“允许浏览网页”这样一条规则，都仍然要经过““程序访问网络策略”询问 微点管理员 22:09:27 根据数据在网络上传输的规则，在网络模型的层上面，分了各个功能不同的互相协助的7个层次，微点的这两个部分也是根据这个结构来设计执行的，这样互相搭配才能更好的保护系统和网络的安全 微点设立独有的“智能识别”选项，是为了降低一般的防火墙对任何访问网络的程序都会报警提示这种情况给用户带来的困扰 最爱撞路灯 22:13:27    要是按你说的，存在“允许浏览网页”这条规则，不识别的程序就可以访问80端口--浏览网页（不知我有没理解正确）。 那么这条规则更要不得了，因为木马之类访问80端口也不会进行询问。   /* 我对“微点管理员 21:45:10 万一不识别呢，也是一种情况” 的答复*/ 微点管理员 22:15:19 不识别的程序，访问网络时，程序访问网络策略部分会报警提示的 最爱撞路灯 22:15:31 这个我大概了解，“智能识别”是极大了减少了用户询问，相对于其他防火墙的优势    不过我觉得好像跟我们现在谈的扯不上多大关系 微点管理员 22:16:30 程序访问网络部分工作于网络中的 应用层 传统防火墙部分工作与网络中的  应用层之下到网络层 最爱撞路灯 22:22:29 按我的使用理解，数据包经过网络层过滤后，还要经过应用层过滤。  任何一个层次不允许，程序就访问不了网络 要数据包通过，要两个层次都允许才可以    是否是这样理解？ 微点管理员 22:23:03 是的 是先过应用层，然后才到网络层 最爱撞路灯 22:23:46 哦，都还给老师了 最爱撞路灯 22:24:43 那么既然有应用层把关，那么网络层有没有那条规则就无所谓了   微点管理员 22:25:31 分层控制而已，可以灵活搭配，各个层的功能责任也不同，单靠一个层的过滤也不够安全 微点管理员 22:26:16 如果光靠网络层，那达到网络层的数据是由哪个程序发出来的，是否允许，这个在网络层上就无法判断了 最爱撞路灯 22:27:39 这个我明白。在网络层，允许规则是在放宽权限 微点管理员 22:29:34 一个不识别的浏览器，程序访问网络策略上放行后，数据到达网络层，如果没有那条“允许浏览网页”的规则的话很可能就造成阻断了 最爱撞路灯 22:32:37 好像不会啊,“允许可识别程序通过（TCP）”这条规则不就是依据应用层在数据层进行端口控制？ 微点管理员 22:50:12 您可以打开微点主界面后，按F1键，打开微点的帮助文档，看一下：设置微点主动防御软件-->程序访问网络策略-->智能识别设置 最爱撞路灯 22:52:01 那个“智能识别”我明白。我想跟你讨论的是那几条规则。 我讲究的是精简  ，那几条规则有无也没多大关系 微点管理员 22:55:21 关于时间错误的这个情况 您的微点具体是什么版本现在？您的系统是？是否添加其它不识别的程序也会显示这个错误的时间？ 请您尝试关闭智能识别后使用opera访问网页试试 最爱撞路灯 22:55:47 呵呵，我可以自编规则  刚发现我错了，我不能把自己的原则加在别人设计软件上啊 微点管理员 22:56:16 关于时间错误的这个情况 您的微点具体是什么版本现在？您的系统是？是否添加其它不识别的程序也会显示这个错误的时间？ 请您尝试关闭智能识别后使用opera访问网页试试 PS:没课也挺无聊，把部分聊天记录截下来跟大家探讨下微点默认规则（上面探讨的主要是规则五）的问题，也不能算问题，主要还是说编写设计思路。大家一起讨论下是否有必要修改默认规则？（个人讲究原则不同，我编辑规则原则是精简，当然原则不能强加于他人）。由于个人知识，难免有理解错误，可能也表达不当，还望指证。另外说下我自己使用的规则编写： TCP：1向特定主机开放本地TCP135-139          2禁止有TCP135-139          3禁止TCP445          4允许可识别程序TCP UDP:  5允许特定主机访问本地UDP135-139          6禁止UDP135-139          7允许可识别程序UDP ICMP：8-11  简略....外PING四条规则 缺省处理：12  没有规则匹配时的处理：禁止 （当然个人环境不同，编写出一套相对适用大众化的规则还是挺有难度的） 顺便说下，微点服务挺好的！但呢，有时呢，问的问题，回答地不对题，有点像扯开话题的感觉！还有呢，不要老是一套程序式的回答问题。人性化点吧。要不聊着也不自在。个人说法，别见怪，呵呵。希望微点越走越好。 [ Last edited by lbhllp on 2008-4-26 at 12:34 ] ※ ※ ※ 本文纯属【lbhllp】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-4-26 12:07 weidiansd 注册用户 积分 50 发帖 50 注册 2007-5-27 #2   近来留下我的足迹 ※ ※ ※ 本文纯属【weidiansd】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-17 04:02 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号