瑞星卡卡安全论坛
太阳还会升起 - 2005-8-17 22:00:00
听说版主大人用防火墙来阻隔病毒,小弟第一次听说这种方法,不胜钦佩。
根据小弟所学知识,防火墙能拦截未经允许的数据。至于能防病毒这种说法,恕在下孤陋寡闻,真是闻所未闻。
比如说:hxxp:www.........exe ,假设不幸点了这个链接,而此链接有恰好是一个病毒,请问版主,你的防火墙是如何拦截病毒的?难道你是封了80端口,从来不上网的?
对于符合规则的数据,防火墙是不会辨别是否为病毒的,而且也没有能力来判别是否是病毒。
好的防火墙,或者说好的防火墙规则对于一些病毒的确能起到一定作用,但只靠一个防火墙就想阻断所有病毒那是不可能的,那这么多安全厂商还要设计反病毒产品干什么?!
我只是想就事论事,任何东西也不应该夸大它
本文只是根据实事出发,希望大家讨论的话也可以心平气和一点。
附件:
4432172005817220050.jpg
青瘦竹 - 2005-8-17 22:18:00
呵呵,我想防火墙也是不可能会阻止木马文件的下载的。不过是可以提醒有危险的。
Brzzz-左岸 - 2005-8-17 22:20:00
引自网警大人的话:“我们采用基于blowfish16轮448位的加密!寿宁将blowfish算法加以修改,形成自己的算法,目前这个算法无人破解。”
不知与防火墙拦截病毒有
什么联系?
望大版主指点
附:
听说这是瑞星防火墙+网警规则拦截木马时的报警
附件:
3029662005817222030.jpg
Brzzz-左岸 - 2005-8-17 22:23:00
57kkz - 2005-8-17 22:25:00
我知道得不多没什么要发表的
不过下了个瑞星的防火墙规则看看蛮有意思的下载后还带广告和产品推荐,呵呵~~~~~想了解版主在那里工作呢~?
Brzzz-左岸 - 2005-8-17 22:27:00
| 引用: |
【57kkz的贴子】我知道得不多没什么要发表的
不过下了个瑞星的防火墙规则看看蛮有意思的下载后还带广告和产品推荐,呵呵~~~~~想了解版主在那里工作呢~?
........................... |
中国吧!
与这有关吗?
Mr.Q - 2005-8-17 22:33:00
哈哈,斑竹是牛人,必有牛处阿
缘定风情 - 2005-8-17 22:40:00
我觉得病毒不仅限于点击网页吧?
试问一下,冲击波算不算病毒?为什么靠防火墙可以达到防御的目的?
"至于能防病毒这种说法,恕在下孤陋寡闻,真是闻所未闻。"
你就是孤陋寡闻.
缘定风情 - 2005-8-17 22:41:00
如果单一靠防火墙,防所有病毒,凭脑子想也知道,不可能做到.但是比较流行病毒的防护还是可以做到的.
哪天你QQ中了个尾巴,难道也赖防火墙?
Mr.Q - 2005-8-17 22:44:00
楼上的更是牛人,哈哈
太阳还会升起 - 2005-8-17 22:45:00
| 引用: |
【缘定风情的贴子】我觉得病毒不仅限于点击网页吧?
试问一下,冲击波算不算病毒?为什么靠防火墙可以达到防御的目的?
"至于能防病毒这种说法,恕在下孤陋寡闻,真是闻所未闻。"
你就是孤陋寡闻.
........................... |
防火墙防的不是冲击波病毒,而只是拦截不符合规则的数据,
举个不恰当的例子,如果冲击波符合你的规则,防火墙是不会拦截的
在举个例子,比如你的邮件附件中有毒,请问你的防火墙能告诉你这是病毒吗??!
维维11 - 2005-8-17 22:49:00
牛人越来越多啦,哈哈..
Mr.Q - 2005-8-17 22:51:00
| 引用: |
【太阳还会升起的贴子】
防火墙防的不是冲击波病毒,而只是拦截不符合规则的数据,
举个不恰当的例子,如果冲击波符合你的规则,防火墙是不会拦截的
在举个例子,比如你的邮件附件中有毒,请问你的防火墙能告诉你这是病毒吗??!
........................... |
斑竹的是经过太上老君的丹炉打炼出来的fw,和一般的当然不一样,没别的,就是牛啊
,帮我们也搞一个吧?能不能打折啊,斑竹?
Brzzz-左岸 - 2005-8-17 22:52:00
| 引用: |
【缘定风情的贴子】如果单一靠防火墙,防所有病毒,凭脑子想也知道,不可能做到.但是比较流行病毒的防护还是可以做到的.
哪天你QQ中了个尾巴,难道也赖防火墙?
........................... |
也不行
所以说网警不要说可以防病毒阿
太阳还会升起 - 2005-8-17 22:52:00
而且冲击波是利用微软的rpc漏洞,
当你中毒后,就会向其他计算机的TCP135端口发送攻击数据。
而此时防火墙只是拦截了对该端口的攻击数据,让攻击失败罢了,
所以不是说防火墙能阻拦冲击波病毒
★月之轮回★ - 2005-8-17 23:20:00
争论 激烈呀 路过而已!
心如大海 - 2005-8-17 23:41:00
| 引用: |
【太阳还会升起的贴子】听说版主大人用防火墙来阻隔病毒,小弟第一次听说这种方法,不胜钦佩。
根据小弟所学知识,防火墙能拦截未经允许的数据。至于能防病毒这种说法,恕在下孤陋寡闻,真是闻所未闻。
比如说:hxxp:www.........exe ,假设不幸点了这个链接,而此链接有恰好是一个病毒,请问版主,你的防火墙是如何拦截病毒的?难道你是封了80端口,从来不上网的?
对于符合规则的数据,防火墙是不会辨别是否为病毒的,而且也没有能力来判别是否是病毒。
好的防火墙,或者说好的防火墙规则对于一些病毒的确能起到一定作用,但只靠一个防火墙就想阻断所有病毒那是不可能的,那这么多安全厂商还要设计反病毒产品干什么?!
我只是想就事论事,任何东西也不应该夸大它
本文只是根据实事出发,希望大家讨论的话也可以心平气和一点。
........................... |
呵呵,有意思。反复读了楼主这段话觉得很有意思。
根据楼主的前半段话我判断楼主的观点是:从来没有听说过也没有见过防火墙阻隔病毒,更不相信防火墙能阻隔病毒;这个分析应该没错吧,而且前半段观点明确,论据充足。
可是楼主后半段话却又说:“好的防火墙,或者说好的防火墙规则对于一些病毒的确能起到一定作用,但只靠一个防火墙就想阻断所有病毒那是不可能的。”这句话的意思我想小学生也知道是说好的防火墙能阻隔一些病毒但不可能阻隔所有病毒。这我就纳闷了,我想无论是谁包括网警本人他也不会说他的防火墙规则能阻隔所有病毒,不然他也不会安杀软并开着监控,世界上也不会再有电脑中毒了。
读完全文我发现原来楼主的观点和网警制作防火墙规则的目的并没有两样:通过防火墙阻隔一部分病毒。但可笑的是一些人本来想帮楼主说两句话却没理解楼主的意思与楼主背道而驰,呵呵。
(以上是本人的一些看法,没什么恶意,请多指教。)
西门吹牛 - 2005-8-17 23:45:00
我的瑞星防火墙曾经提示:发现XX木马,已删除。然后瑞星杀毒也提示发现XX木马。
太阳还会升起 - 2005-8-17 23:53:00
| 引用: |
【心如大海的贴子】
呵呵,有意思。反复读了楼主这段话觉得很有意思。
根据楼主的前半段话我判断楼主的观点是:从来没有听说过也没有见过防火墙阻隔病毒,更不相信防火墙能阻隔病毒;这个分析应该没错吧,而且前半段观点明确,论据充足。
可是楼主后半段话却又说:“好的防火墙,或者说好的防火墙规则对于一些病毒的确能起到一定作用,但只靠一个防火墙就想阻断所有病毒那是不可能的。”这句话的意思我想小学生也知道是说好的防火墙能阻隔一些病毒但不可能阻隔所有病毒。这我就纳闷了,我想无论是谁包括网警本人他也不会说他的防火墙规则能阻隔所有病毒,不然他也不会安杀软并开着监控,世界上也不会再有电脑中毒了。
读完全文我发现原来楼主的观点和网警制作防火墙规则的目的并没有两样:通过防火墙阻隔一部分病毒。但可笑的是一些人本来想帮楼主说两句话却没理解楼主的意思与楼主背道而驰,呵呵。
(以上是本人的一些看法,没什么恶意,请多指教。)
........................... |
sorry,可能是我文学水平不好,让你误解我的意图了,
我的本意是想说明,防火墙并不能拦截发现病毒,它只是拦截它认为不符合规则的数据包罢了,或者有些有MD5校验以及其他校验程序的防火墙也可以阻止一些木马程序对外链接,防止泄漏你的隐私。但防火墙本身是不能对数据或程序性质进行判断的。
所以作为版主,更不应该误导大家。
让大家以为这样就可以高枕无忧了。
以下是版主的原话
附件:
4432172005817235326.jpg
心如大海 - 2005-8-18 0:20:00
呵呵,原来如此。
不过你说防火墙能拦截一些它认为不符合规则的数据包,可是有一部分带有病毒的数据包确实又不符合规则,这岂不是防火墙拦截了这部分病毒?
只不过你们说法有些不一样,你说防火墙拦截一些不符合规则的数据包,网警说防火墙拦截了一些病毒,应该没有矛盾吧?
请多指教。
空虚道长 - 2005-8-18 0:29:00
我想斑竹的意思应该是这样的:的确防火墙不能辨别病毒,不过它可以通过特征判别来阻止木马和蠕虫,或拒敌于国门之外,或使已入侵者无法发挥作用。当然不能是你自己把病毒木马请进家里,如果你自己下载下来的文件有病毒(尤其是可以单机发作的),那防火墙自然是无能为力的。所以斑竹强调了“尤其是木马和蠕虫”。所以我认为斑竹的话还有一个隐含前提就是:在有着良好上网习惯的情况下。不知taylor05771斑竹是否此意?
我是菜鸟,说错的话多多包涵。
太阳还会升起 - 2005-8-18 0:50:00
| 引用: |
【心如大海的贴子】呵呵,原来如此。
不过你说防火墙能拦截一些它认为不符合规则的数据包,可是有一部分带有病毒的数据包确实又不符合规则,这岂不是防火墙拦截了这部分病毒?
只不过你们说法有些不一样,你说防火墙拦截一些不符合规则的数据包,网警说防火墙拦截了一些病毒,应该没有矛盾吧?
请多指教。
........................... |
说的通俗一点:如果把网络比作道路,防火墙比作警察,数据比作车辆。
那这个警察所做的只是看你这辆车是不是符合交通规则,而不会来看你车里的到底是谁。
所谓的防病毒的规则,可以这么认为:假设A病毒是在一辆黑色奔驰里面,并且会在第三个路口向左转。那么就制作一条规则,让防火墙这个警察,把所有的在第三个路口向左转的黑色奔驰轿车全部拦截下来。
但是警察却不会知道车子里坐的到底是谁。
所以防火墙拦的根本不是病毒,而只是不符合规则的数据罢了。
如果这个A病毒改坐红色的车子,在第一个路口就左转了呢?那么防火墙就根本发现不了,照样会放行。
而杀毒软件就像刑警一样,它会一个一个检查车子里的人。只要长得和通缉令上一样(暨在病毒库中定义过),它就会把它干掉。
所以防火墙是不能取代杀软的作用的,两者需要相辅相成!
太阳还会升起 - 2005-8-18 0:56:00
还有,依靠规则来判断的防火墙始终是有缺陷的
规则的编写者需要不断的修改规则来满足新出现的威胁
单纯依靠规则不是将来防火墙该发展的方向。
相信瑞星也很清楚这一点,以后会有改进吧。
JayFaye - 2005-8-18 3:56:00
汗,一句话,瑞星防火墙和大多数防火墙一样,包过滤,规则化的防火墙,全全依靠规则办事。
实际上所谓的阻止病毒木马等功能无非就是阻挡相应端口通信。真正杀掉病毒还是得依靠反病毒软件
gbgbggb - 2005-8-18 7:02:00
你爱用不用,又没人强迫你用,人家一片好心做出规则来,你在人家一句话里钻什么牛角尖?!!!我鄙视你.
19861013 - 2005-8-18 7:15:00
路过~~~~~~~~
太阳还会升起 - 2005-8-18 9:58:00
| 引用: |
【gbgbggb的贴子】你爱用不用,又没人强迫你用,人家一片好心做出规则来,你在人家一句话里钻什么牛角尖?!!!我鄙视你.
........................... |
这不是钻牛角尖的问题,没人否认版主的好心,
但这并不代表就可以违背实事,作为版主更应该知道不应该误导大家。
我完全是就事论事。
sunpower - 2005-8-18 10:07:00
taylor05771 - 2005-8-18 10:15:00
HOHO刚刚上来 就看到砖头
还是说说怎么拦截病毒木马吧
外部你们看到的是很多类似backdoor之类的规则吧
这个是通过端口来拦截的
比如radmin这个木马吧,目前国内的杀软没有可以查杀的
不是不能杀,而是没法杀,因为radmin就是一款远程管理软件
但是被黑客利用而已.规则通过拦截特定的端口将radmin拒之门外.
类似灰鸽子 黑洞之类也是如此
这是规则第一步
第二内置的特征判别码
通过内置的特征码与前台的规则互动来提高拦截精度
因为所有的病毒和木马 蠕虫都有他们的特定特征
通过特征码就可以拦截病毒
上面那个左岸兄的图你也看到了吧...
80端口的木马拦截了,访问网站却是正常,就是内置判别码的作用
至于什么blowfish那是加密算法
内置的特征判别码是加密的
因为这个防止黑客盗取,而且这个规则有好多专利技术,加密也是维护自身利益.
那个冲击波的说法,屏蔽了相关端口还有和内置的特征代码的互动
只要冲击波病毒的数据包过来防火墙就将其拒之门外.
也就是阻隔.
这次的那个zotob,瑞星工程师不是让你们屏蔽139 和445端口?来阻截病毒?避免感染(防火墙阻隔病毒正常的吧)
我这个通过内置判别码就OK了
病毒是无限的但特征是有限的,所以通过有限的特征代码防御无限的病毒就是这个规则包的原理
至于那个包过滤的说法,现在的软件防火墙都是三层包过滤.
而且都是基于状态监测的.完全可以过滤数据包中的有害代码.
还有那个邮件病毒,也是可以通过特征码来处理.原理同上!
清楚了吧,
taylor05771 - 2005-8-18 10:19:00
二楼的那个图片我补充一点
那个病毒是反弹木马
规则最后两条就是禁止反弹木马的
它与内置的判别码互动
对80端口木马进行拦截
咋样啊,不封80端口照样能拦截80端口的木马
开眼界了吧
© 2000 - 2024 Rising Corp. Ltd.
