部分网友说防火墙在 sygate显示closed（关闭）不是blocked（隐藏）
和寿宁商量了了一下，并检测一下
基本是这么几个原因
一 装有木马克星之类的软件
木马克星，尤其是破解版和试用版，最好不要和瑞星防火墙同时安装，原因：
1、两者都在后台监控，个别代码还要插到PC低层运行，因此两着同时安装（打开），会出现代码命令执行上出现误差。（举个不少人都遇见过的实例：有的用户在使用还原精灵后，系统时常出现莫名其妙的不良情况，但在卸载后，就是格式化了驱动盘还是没有办法重新安装系统，究其原因就是还原精灵接管了PC低层的部分N\FDI代码，在卸载后没有及时更改过来！类似的情况网络里时有介绍。）

2、本规则包以内核中的引擎函数变量和端口互动为匹配原则，因此在加载后，肯定会与木马克星产生冲突（这种冲突表现了对PC端口的控制出错，也就是技术上说的“接管误差”）。因为木马克星的引擎等内核变量设置与瑞星的原理一样！
3、WINDOWS XP（包括SP1和SP2）自带的防火墙与瑞星防火墙的监控原理不同，也就是说监控指令的运行方式、途径不一样，而且瑞星杀软、防火墙的主基码已经通过微软识别论证，两者同时打开可以和平共处。
二 有路由器或ADSL猫开了端口映射
这种情况出现closed是正常的，如果是普通用户不建议开端口映射。
三 局域网内检测
这种情况检测的不是你的机子，而是连外网的那台机子（或服务器）
四 IP规则优先 则隐藏，访问规则优先 则部分端口开放
本机在用该规则之前已经中毒，而你允许了该程序访问网络。
这种情况 建议先杀毒！
另外在线检测的准确度不是很高，有误报现象！
本规则经过严密检测，正常情况下完全能通过在线检测！

寿宁解答：
我再用最通俗的语言来补充说明：
1、实际上端口是由某个服务的进程打开的，要彻底关闭某个端口就要结束相应的服务，例如要关闭80端口就要停止WWW服务。而用“Internet 连接防火墙”是在外围建一个防火墙，打个简单的比喻，一所房子有很多的门，要保证安全有两个办法，一是把门用砖头堵住；二是留着门，在房子周围建一道墙。用结束进程来关闭端口用的是第一种办法，用“Internet 连接防火墙”用的是第二种方法，虽然有的用netstat –na察看端口是开放的，但在外围已建了一睹密不透风的墙。

　 2、通过网站安全项目的检测，提示的端口隐藏与关闭是两个既有关联又有区别的概念。如果防火墙在某条规则设置上用的是过滤的匹配原则，那么这个端口就是关闭，比如80端口，大家都知道这个端口很重要，是上网的通道，因此绝不能封死这个端口，但也是最容易受攻击的对象（如：WEB攻击），那怎么办？只有通过与其他规则的匹配、端口的互动以及内核函数变量的适应来执行过滤，而1026端口作为连接网络供应商的主要通道，也只能实行过滤性设置，等等。如果，本地PC外接的猫或路由器或网络供应商的服务器，只要有一个对相关端口执行映射指令，那么网站安全项目测试返回来的信息就是关闭，否则就是隐藏（注：每个网络供应商都有很多个服务器，不同服务器会根据网络流量通过转换器调整端口映射值）。因此，从严格意义上来说，端口的关闭或隐藏并不能说明那个更安全、那个不安全，而且网络安全测试项目只是一个普遍性的、大众化的测试，同时各个不同的商家为了推广自身的网络安全产品，在检测方式上各不一样，比如天网使用的是端口规则的互动指令，SYGATE使用的是引擎的匹配指令。要检测防火墙是否起作用，最简单的方法就是在另外一台PC上用xscan、superscan之类的扫描工具扫描本地PC，如果没有打开的端口表示在房子周围建一道墙是没有漏洞的。

有关防火墙图标位置偶尔移动、见不到报警提示（图标闪动）的问题。
偶尔出现这个现象是正常的，原因：A、这个规则包里的每条规则在排序、互动等方面都经过严格测试，并在内核技术尤其是防火墙引擎启动的对接秩序和内置规则的链接执行指令上进行了合理的、严密的匹配，因此灵敏度有很大的提高，基本可以实现“防毒+反攻击、扫描”的特征行为拦截，增强了与瑞星杀软的配合能力。B、为避免防火墙因为来自恶意扫描、攻击量在短时间内的聚增而崩溃，2005版瑞星防火墙在内核里增强了自我保护功能，当来自恶意扫描、攻击量连续超过3次\秒（500码流以上）时，防火墙将自动启动自我保护功能，如果事先有把报警方式选择为“记录”的，将转向全后台记录，不再在前台提示，如果事先没有把报警方式选择为“记录”的，防火墙将在引擎启动方面转为内置式静默指令，不再在前台提示，由于A的原因，防火墙在加载规则包后，灵敏度的提高必然会承担起更多的来自恶意扫描、攻击量，这个时候，就会出现“防火墙图标位置移动或不转动”的现象，但这只是防火墙启动自我保护指令的表现，并没有丝毫影响防火墙的正常工作。其实，防火墙类似于服务器，当服务器在短时间内受到的“刷新”次数过多（拒绝式攻击）就可能瘫痪，防火墙的自我保护功能就是为了避免这样的结果。C、有些网络游戏使用的是木马的默认端口（如：浩方游戏平台使用的UDP1203端口本身就属于一个后门），因此在玩这些网络游戏时，防火墙就必须不间断地过滤端口代码，自然就会引发防火墙自我保护功能的启动。
二、有的用户反映在一些网站的安全项目测试为部分端口关闭的问题。
产生这个问题的原因很多，我也在社区也做过很多说明(如http://forum.ikaka.com/topic.asp?board=33&artid=6744783），在这里不再叙述，但我仍强调几点：A、这个规则包继承了瑞星原来的默认规则，因此在导入过程中一定要清空包括瑞星原有默认规则在内的所有原有规则，严禁与其他规则混合使用；B、不建议与木马克星、还原精灵、3721木马助手等第三方软件以及其他防火墙（除了XP系统的自带防火墙）同时使用；C、这个规则包是在瑞星内核匹配、引擎启动秩序的基础上构建起来的，瑞星有通过微软的测试，因此对一些未经过微软测试的、能够接管系统底层代码的第三方软件（如：还原精灵、优化大师、超级兔子等）的使用，特别是用这些软件“优化”了的系统都可能影响防火墙功能的正常发挥。

解锁注册表.reg：
解开被锁定的注册表

插件屏蔽.reg：
屏蔽3721网络实名、百度搜霸、百度搜索伴侣、CNNIC通用域名、网易泡泡等插件

Shell.Application漏洞.reg
能够有效降低ADODB.Stream或Shell.Application被用来运行恶意代码的危险
双击导入即可
事先请先备份注册表

网络安全教程

本周三，微软表示，在Windows XP或是Windows Server 2003系统中出现的Windows防火墙漏洞可能会导致用户在不知情的情况下开放网络所有端口。

　　在本周发布的安全公告中，微软指出了在Windows Registry出现的这一漏洞。 Windows Registry是微软操作系统对PC进行设置的核心部分。

　　该漏洞会导致防火墙端口在没有用户许可的情况下通过Windows防火墙用户界面完全开放，目前，微软已在公司网站上发布了漏洞补丁，此补丁也将做为未来Windows服务包的一部分。微软表示，防火墙问题并非严重的安全漏洞，但又称，这种漏洞可能会导致用户遭受攻击者的袭击，在防火墙程序中安装不明程序。

　　比如，攻击者如进入用户电脑，有可能安装一种恶意的Windows防火墙程序，使之驻留于Windows Registry中，“攻击可通过建立这种恶意所注册程序，使用户产生迷惑，达到控制电脑的目的。”

　　与其它的防火墙系统一样， Windows Firewall可以阻止进入电脑的不明程序。 Windows Firewall在防火墙UI中显示被允许的程序。微软建议，用户可以通过其它工具查看通过防火墙的程序，在命令提示符中输入：“netsh firewall show state verbose = ENABLE”，就可以显示激的程序。

策略组应用全攻略
地址
http://220.189.233.99/download/clz.rar

关于规则包中443-445规则等情况的简要说明
近期不少用户在我的QQ上留言询问规则包中443-445规则的问题，由于工作实在繁忙，因此在这里一并答复如下：
=====443端口主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP，也属于网页浏览端口。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息其他人都无法看到，但由于HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞极可能受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。
444端口也是RPC接口的一个重要通道，但RPC接口存在的缓存溢出很可能导致执行任意代码00\\01000=MS03，从去年6月份开始恶意使用此漏洞的攻击层出不穷。 据不少数据（网络异常流量）分析，通过互联网经由TCP 135端口、4899端口入侵存在安全漏洞的机器，然后在机器上建立“后门”。这个“后门”将会等待攻击者通过TCP 444端口进行连接，从攻击者的机器下载多种程序，并使用部分程序再建立其他后门。此后门在TCP 处等待连接。
445端口属于共享端口，通过这个端口可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为这样，黑客们才有了可乘之机，他们能通过这个端口偷偷共享对方的硬盘，甚至可以在目标硬盘中执行格式化指令！
因此，有必要在访问规则优先的前提下，以外置规则来关闭的形式通过内置的SSL=MS\\002特征判别码来执行对443-445端口的过滤指令！
====有个别用户说，用了这个规则后上网很慢或是网站打不开，这主要有三个方面的原因，一是用户有同时运行除XP-SP2自带的防火墙以外的其他未经微软认证的第三方具有部分防火墙功能的软件（对这个问题，在规则包发布之初就有过说明），这样很容易造成防火墙访问规则缺失；二是用户没有将访问规则优先，导致规则包中相关规则直接指向端口并在匹配内置特征判别码和与相关规则互动后，只执行强制关闭指令，从而缺失了过滤指令的执行；三是用户的防火墙不是正版。
====有个别用户问：“为什么更新最新IP规则后没连接网络防火墙也出现192.168.1.255 禁NETBIOS.共享，而以前没连接网络防火墙不会出现这些情况 ？”
这是因为规则包根据最近网络里出现的DDos与Dos攻击（扫描）极有可能以驻留程序的方式、在系统重新启动后激活主程序以共享端口实现攻击这一趋势，增加了对所有共享端口的提前防御，这条规则同时与UDP134-139、443-445以及TCP\UDP 0端口的防御规则互动!
====有个别用户问为什么要访问规则优先而不IP规则优先？
这是根据防火墙引擎的启动指令来决定的，为避免新手看不懂，太专业的言辞我就不说了，我在这里列出防火墙引擎的启动指令流程：A、不明代码（包括扫描或攻击执行的指令）---防火墙外置规则响应这个不明代码---防火墙外置规则指向相关端口---防火墙外置规则与访问规则比对，如果访问规则优先允许，那么防火墙外置规则跳转到内置判别代码进行匹配，并引动防火墙引擎---防火墙引起启动，执行“访问规则+外置规则+内置特征判别码+相关的外置规则=端口过滤”指令；B、如果IP规则优先，那么就是外置IP规则直接指向端口并在匹配内置特征判别码和与相关规则互动后，只执行强制关闭指令，从而缺失了过滤指令的执行。