正版用户反盗版 - 2005-12-14 22:07:00
开发组规则一般应用于单机,如需要应用于internet网关之上,只好想办法做一些改动了,以下是本人的办法:
1、将“禁止可疑ICMP”、“缺省的低端口连接(共享\监听)监控”(TCP),这些规则,每一条写成两条规则。例如,假设你的局域网地址范围为192.168.0.100到192.168.0.200,把“IP规则设置”里,“禁止可疑ICMP”这一条规则写成两条规则,一条的“对方地址”由“任意地址”改成“地址范围”,0.0.0.0到192.168.0.100,另一条的“对方地址”也由“任意地址”改成“地址范围”,192.168.0.200到255.255.255.255,这样,中间的局域网地址就被“空”出来了。2006版的改动较费事,这一点需要注意。
2、“缺省的TCP端口连接监控”(TCP)这一条规则前面的勾去掉。用(1)中所讲方法解决不了这个问题。
3、“安全级别”调到“中”。
以上三点可以解决内网机器上网的问题。如果有别的应用,也被防火墙拦截了,注意观察防火墙托盘里显示的是哪一条规则拦截了你,再参照以上方法修改“对方地址”。
正版用户反盗版 - 2005-12-16 15:45:00
up!
疯狂野兔 - 2005-12-16 15:59:00
高手!顶!!!
支持!!!
正版用户反盗版 - 2005-12-16 16:28:00
【回复“正版用户反盗版”的帖子】
针对开发组规则最新版的改动:
(1)中,“缺省的低端口连接(共享\监听)监控”(TCP)改成,“缺省的低端口连接(共享\监听)监控”(TCP or UDP)
(2)中,“缺省的TCP端口连接监控”(TCP or UDP),“禁止链接T\U端口”这两条规则前面的勾去掉。
taylor05771 - 2005-12-16 16:30:00
| 引用: |
【正版用户反盗版的贴子】开发组规则一般应用于单机,如需要应用于internet网关之上,只好想办法做一些改动了,以下是本人的办法:
1、将“禁止可疑ICMP”、“缺省的低端口连接(共享\监听)监控”(TCP),这些规则,每一条写成两条规则。例如,假设你的局域网地址范围为192.168.0.100到192.168.0.200,把“IP规则设置”里,“禁止可疑ICMP”这一条规则写成两条规则,一条的“对方地址”由“任意地址”改成“地址范围”,0.0.0.0到192.168.0.100,另一条的“对方地址”也由“任意地址”改成“地址范围”,192.168.0.200到255.255.255.255,这样,中间的局域网地址就被“空”出来了。2006版的改动较费事,这一点需要注意。
2、“缺省的TCP端口连接监控”(TCP)这一条规则前面的勾去掉。用(1)中所讲方法解决不了这个问题。
3、“安全级别”调到“中”。
以上三点可以解决内网机器上网的问题。如果有别的应用,也被防火墙拦截了,注意观察防火墙托盘里显示的是哪一条规则拦截了你,再参照以上方法修改“对方地址”。
........................... |
导致了 内置判别码的失效
不如不装规则
正版用户反盗版 - 2005-12-16 16:50:00
【回复“taylor05771”的帖子】
是(1)中的设置出了问题还是(2)中的设置出了问题?以前的版本中,只需要采取(1)中的改动,偶试了两个月,没有出问题。最近的版本中,才需要增加(2)中的改动。因为偶们对于规则包内部的逻辑体系并不清楚,所以能不能稍微加以指点?如果只采用(1)中的改动,因为只牵扯到“对方地址”,应该不会影响到内置代码匹配外置规则吧?是不是(2)中的改动会影响到端口过滤指令的执行?
taylor05771 - 2005-12-16 18:02:00
无论是 可疑ICMP 还是缺省的低端口 都是与内置代码所匹配的
不要小看IP段 不同的IP段 有着完全不同的概念
比如192.168.0.0-192.168.255.255
和127.0.0.0-127.255.255.255 是完全不同的
对于最后的 那条 0端口 是规则中的关键 对付反弹木马的
很多规则与这条规则进行互动
另外现在的规则引入了全规则的概念
至于啥叫全规则 属于保密
规则中 你们可以更改(可以打勾的)就这么几条
各种VPN
局域网共享
其他不能动
至于 把规则加载在 服务器上面
那么下面的 子机上网问题可以这么解决
1 主机用网络版防火墙+规则包
2 通过硬件路由进行端口转换 缩写为PAT
3 通过软件的软路由里面的 PAT功能
4 直接找PAT 软件
以上办法都可以解决子机上网问题
而不是改规则!!!!!!!!!!!!
寿宁 - 2005-12-16 18:59:00
| 引用: |
【正版用户反盗版的贴子】开发组规则一般应用于单机,如需要应用于internet网关之上,只好想办法做一些改动了,以下是本人的办法:
1、将“禁止可疑ICMP”、“缺省的低端口连接(共享\监听)监控”(TCP),这些规则,每一条写成两条规则。例如,假设你的局域网地址范围为192.168.0.100到192.168.0.200,把“IP规则设置”里,“禁止可疑ICMP”这一条规则写成两条规则,一条的“对方地址”由“任意地址”改成“地址范围”,0.0.0.0到192.168.0.100,另一条的“对方地址”也由“任意地址”改成“地址范围”,192.168.0.200到255.255.255.255,这样,中间的局域网地址就被“空”出来了。2006版的改动较费事,这一点需要注意。
2、“缺省的TCP端口连接监控”(TCP)这一条规则前面的勾去掉。用(1)中所讲方法解决不了这个问题。
3、“安全级别”调到“中”。
以上三点可以解决内网机器上网的问题。如果有别的应用,也被防火墙拦截了,注意观察防火墙托盘里显示的是哪一条规则拦截了你,再参照以上方法修改“对方地址”。
........................... |
如果这样改动,将造成TCP82、104、134-139、445、2089、2122、6000、6549、6861、8848、18412、18742、20232、41434、41746与UDP6988、7175、8183端口过滤功能的丧失,并不再拦截针对TCP\UDP80端口的反弹木马!
6825cc - 2005-12-16 19:05:00
学习学习..... ^-^!
hyzjz - 2005-12-16 20:14:00
看了两位的解答,知道了服务器没法使用你们的规则包和防火墙,谢谢,我原来也是象楼主那样修改规则解决局域网上网问题的。另外有个问题想请教网警和寿宁,我服务器外层有硬件防火墙,外部只允许HTTP 和FTP访问服务器,局域网内通过服务器NAT地址转换访问外网,这样不加软件防火墙能否达到保护服务器的目的?如能得到指点,不胜感激。
taylor05771 - 2005-12-16 20:38:00
| 引用: |
【hyzjz的贴子】看了两位的解答,知道了服务器没法使用你们的规则包和防火墙,谢谢,我原来也是象楼主那样修改规则解决局域网上网问题的。另外有个问题想请教网警和寿宁,我服务器外层有硬件防火墙,外部只允许HTTP 和FTP访问服务器,局域网内通过服务器NAT地址转换访问外网,这样不加软件防火墙能否达到保护服务器的目的?如能得到指点,不胜感激。
........................... |
可以在 子机上面加载软件防火墙和规则包
如果 你的硬件防火墙有DMZ功能 可以建立DMZ 具体看说明书
服务器的安全仅靠硬件防火墙是不够的
注意服务器磁盘权限的设置
比如C盘 仅限ADMIN 具体你自己看着办
正版用户反盗版 - 2005-12-17 11:57:00
谢谢谢谢!规则包的效能,在于内在防御思想的精彩,而这些外置规则只是表面的东东,偶以前没有注意这是一个整体体系,和内置代码与外置相关规则的匹配。偶也觉得现在的规则包和以前的不同了。
© 2000 - 2026 Rising Corp. Ltd.