微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 缺省处理选择“阻止”产生的一些问题。  

 14  1/2  1  2  > 
作者:
标题: 缺省处理选择“阻止”产生的一些问题。
ssnet
新手上路





积分 47
发帖 47
注册 2008-4-17
#1  缺省处理选择“阻止”产生的一些问题。

这个帖子本来发到防火墙版的,但是没人能解决,只好转到这里来。
=======================================

不管是默认规则,还是自定义规则,最后都有一条都是缺省处理(当没有规则可匹配时的处理),选择“阻止”还是“放行”,结果大不同。选择放行,上网基本上没有问题。如果选择“阻止”,首先FTP上传速度会降低,我是2M adsl,正常速度是530K,如果选择“阻止”,速度只有420K左右。浏览一些有大量AJAX代码的网页,反应速度非常慢,有时甚至打不开,关掉防火墙,速度立即快起来。
我知道,这是由于缺省处理是“阻止”后,一些有特殊连接请求的行为被阻止了,尽管这种请求是正常的,但我又不知道改怎么增加规则让这些请求被许可,所以只好选择缺省“放行”,但这又降低了安全性,很烦。

我是通过华硕的无线路由器上网,目前用的防火墙规则是在自带的局域网用户规则基础上自己修改的。不知道我的问题是不是和路由器有关,该怎么设置防火墙规则呢?
===========================

对Ajax的网页,选择阻止还是放行差别太明显了,选择放行,流畅执行;选择阻止,速度极慢,甚至打不开。ajax需要在非客户端请求的空闲时间在后台和数据库交换数据并返回到客户端,不知道是不是这个原因被防火墙阻止,不知道该开那些端口来解决这个问题。

我觉得适合路由器有关系的,我原来的tp-link就很正常,坏了,换华硕就这样。不仅和路由器有关,还和isp有关,在adsl连接的地方好些,ajax只是有些慢,到小区宽带的地方,ajax的网页根本打不开。但不管怎样,只要关闭微点防火墙,或者缺省处理选择“放行”,就一切正常。

※ ※ ※ 本文纯属【ssnet】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 12:09
查看资料  发短消息   编辑帖子
ssnet
新手上路





积分 47
发帖 47
注册 2008-4-17
#2  

现在我搞明白了,规则三全是“允许”规则,如果将缺省规则设置为“放行”,等于就是关闭防火墙了。

※ ※ ※ 本文纯属【ssnet】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 12:13
查看资料  发短消息   编辑帖子
ssnet
新手上路





积分 47
发帖 47
注册 2008-4-17
#3  

其实不局限于ajax的网页了,凡是要连接数据库的动态网页,多多少少都有些拖慢,纯静态页面完全没问题。

※ ※ ※ 本文纯属【ssnet】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 12:26
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  

楼主可以根据自己的环境自定义规则来使用。

首先请您以前使用会造成FTP、Ajax慢的规则包另存为一个新的规则包,然后添加一条IP规则。
协议:ip;方向:双向;本地端口:所有端口;远端地址:所有地址;远端端口:所有端口;处理:拦截; 动作:记日志。
然后打开微点的【安全日志】>【传统防火墙日志】中记录的信息,从而找到是否被防火墙拦截,具体拦截的哪个端口?什么协议的数据包等信息?知道这些后您就可以自己手工加入允许这个协议的数据包通过这个端口的规则。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-7-24 12:53
查看资料  发短消息   编辑帖子
ssnet
新手上路





积分 47
发帖 47
注册 2008-4-17
#5  

谢谢斑竹,马上尝试。

※ ※ ※ 本文纯属【ssnet】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 12:55
查看资料  发短消息   编辑帖子
ssnet
新手上路





积分 47
发帖 47
注册 2008-4-17
#6  

老大厉害。日志显示 我的网关(即无线路由器IP)连入的ICMP协议包被禁止,在放问所有网站的时候,都至少产生1~2条这样的记录,在打开我上面所说的那些特别慢的网站的时候,产生了十几条以上。于是想在规则包中增加一条允许我的网关IP的icmp协议连入,但不知道该选择什么类型,icmp协议那里有好多种类型。

※ ※ ※ 本文纯属【ssnet】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 13:11
查看资料  发短消息   编辑帖子
心随风落
高级用户





积分 518
发帖 500
注册 2007-1-24
#7  

上次我也是因为加速器的原因这样搞过,然后加速器就可以用了。

楼主应该把FTP那些什么的软件都用下,反正就是你以前使用中觉得慢的都用下!

※ ※ ※ 本文纯属【心随风落】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 13:23
查看资料  发送邮件  发短消息   编辑帖子
ssnet
新手上路





积分 47
发帖 47
注册 2008-4-17
#8  

就是我在6楼说的那个原因,防火墙阻止了我的家用路由器发来的icmp报文,但我又不知道什么icmp类型,所以干脆增加了一条IP协议,凡是网关(路由器IP)发来的各种数据,一律接收,好了,这下都没问题了,日志里现在也显示网关发来的icmp都放行了。
不知道这样会不会有安全问题,有哪位高手知道该具体开放哪个icmp协议的类型吗?

※ ※ ※ 本文纯属【ssnet】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 13:32
查看资料  发短消息   编辑帖子
心随风落
高级用户





积分 518
发帖 500
注册 2007-1-24
#9  

不知道你在防火墙规则里是怎么设置的

※ ※ ※ 本文纯属【心随风落】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 13:43
查看资料  发送邮件  发短消息   编辑帖子
ssnet
新手上路





积分 47
发帖 47
注册 2008-4-17
#10  

增加这条IP协议,允许网关发过来的所有数据包照单接收后,一切都正常了,访问各种网站速度都很快,但是这样是不是等于关闭防火墙了,有些怕怕。

※ ※ ※ 本文纯属【ssnet】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-7-24 13:53
查看资料  发短消息   编辑帖子
 14  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号