微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 防火墙 » 关于IP防火墙5组自带规则的解析  

作者:
标题: 关于IP防火墙5组自带规则的解析
嘎子
新手上路

新手上路


积分 49
发帖 46
注册 2005-11-2
#1  关于IP防火墙5组自带规则的解析

规则包(一):开放网络,不对进出数据包做任何限制。相当于“关闭IP防火墙”。
“微点的托盘图标右键菜单”的“启动\停止防火墙选项”也可以实现此功能。这两种实现方式是“逻辑与”的关系。

规则包(二):禁止网络,禁止任何数据包进出。相当于其他防火墙中的“断开网络”。“微点的托盘图标右键菜单”不能提供类似功能,但是如果“启动\停止防火墙选项”没有“对勾”时,是不能达到断网状态的。

规则包(三):开放本机连接共享,适用于局域网内部用户。
这组规则允许本机被共享、允许连接到别的共享主机、允许ping和被ping。允许浏览网页(80)、允许收发送邮件(25、110)、允许域名解析(53)、允许动态IP(67)、除此之外的所有网络操作将被禁止。
但需要特别注意的是“允许可识别程序通过”这条规则,它允许“可识别程序”使用被禁止的端口。例如使用“flashxp.exe”ftp文件的时候,尽管在规则包(三)中没有明确允许23端口通过,但如果在“程序访问网络策略”中设置flashxp.exe为“允许访问网络”,这样在flashxp.exe使用23端口的时候,ip防火墙会自动放行23端口,数据传输结束后自动关闭。这是一个方便的地方,但是也会带来一些问题,特别是在bt下栽的时候,bt作为可信程序自动放行了很多端口,如果此时做“网络安全性检测”的话,可能碰巧要检测的端口被bt打开,从而导致检测通不过。

规则包(四):普通用户规则。
这组规则屏蔽了135~445这几个高危的端口,禁止被ping,除此之外不做任何限制,当然这会导致局域网内的共享失败。

规则包(五):适用于使用互联网的用户。
这是一组比较严格的规则允许浏览网页(80)、允许收发送邮件(25、110)、允许域名解析(53)、允许动态IP(67),除此之外的所有网络操作将被禁止。
该组规则中也包含“允许可识别程序通过”这条规则,为了防止系统(可信程序)自动打开135~445这几个高危的端口,在这之前设置一条“禁止该主机被共享”的规则,可以阻止任何可信程序自动放行这几个端口。

[ Last edited by 嘎子 on 2007-2-8 at 17:52 ]

※ ※ ※ 本文纯属【嘎子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

忍一时风平浪静,退一步海枯石烂
2007-2-8 17:51
查看资料  发短消息   编辑帖子
lailai1
新手上路





积分 10
发帖 10
注册 2007-1-11
#2  

学习中。。。。
规则包(五):适用于使用互联网的用户。
这是一组比较严格的规则允许浏览网页(80)、允许收发送邮件(25、110)、允许域名解析(53)、允许动态IP(67),除此之外的所有网络操作将被禁止。
该组规则中也包含“允许可识别程序通过”这条规则,为了防止系统(可信程序)自动打开135~445这几个高危的端口,在这之前设置一条“禁止该主机被共享”的规则,可以阻止任何可信程序自动放行这几个端口。

怎么设置一条“禁止。。。。。。”的规则啊?

※ ※ ※ 本文纯属【lailai1】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-10 08:45
查看资料  发短消息   编辑帖子
八闽汀江子
高级用户




积分 537
发帖 525
注册 2006-12-31
来自 深圳
#3  

规则(五)现在就是这样的啊!不用再添加了。

※ ※ ※ 本文纯属【八闽汀江子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

如果我们的脑袋都长在别国人的头上,那我们就真的“亡国”了...
2007-2-10 12:45
查看资料  发送邮件  访问主页  发短消息   编辑帖子
isbasic
新手上路





积分 6
发帖 6
注册 2007-4-21
来自 武汉
#4  

是仅仅使用微点的规则包测试的还是搭配了其他的安全工具?

我现在单单使用微点进行测试竟然是很不安全啊

※ ※ ※ 本文纯属【isbasic】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-21 09:36
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#5  

请问 4楼 isbasic ,您测试时有哪些提示信息?您具体什么方式上网?

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-4-21 09:44
查看资料  发短消息   编辑帖子
isbasic
新手上路





积分 6
发帖 6
注册 2007-4-21
来自 武汉
#6  

我的测试比较简单,想来没什么准确性吧

http://www.pcflank.com/about.htm
  
仅仅是使用这个页面进行测试的

规则包使用的是规则包5基础上进行的改动

添加了三条规则是针对使用outlook和thunderbird邮件客户端收发gmail邮件的

分别是 TCP连接,接收,本地端口所有,远程地址所有,远程端口995

TCP连接,发送,本地端口所有,远程地址所有,远程端口587

TCP连接,发送,本地端口所有,远程地址所有,远程端口465

缺省处理仍是原来的双向阻止策略。

上网方式是电信ADSL

请问这样测试是不是没有说服力呢?

我本身也只是想测试一下微点防火墙本身的拦截能力

但是得到这样的结果还是让我有所担心的。

[ Last edited by isbasic on 2007-4-21 at 10:22 ]

※ ※ ※ 本文纯属【isbasic】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-21 10:21
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#7  

请问 4楼 isbasic,您的ADSL猫是否开启路由?即您ADSL上网拨号时,是电脑拨号 ,还是猫自动拨号?

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-4-21 10:35
查看资料  发短消息   编辑帖子
isbasic
新手上路





积分 6
发帖 6
注册 2007-4-21
来自 武汉
#8  

我的ADSL猫并没有开启路由功能,上网方式是电脑拨号上网。

※ ※ ※ 本文纯属【isbasic】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-21 10:59
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号