瑞星卡卡安全论坛技术交流区系统软件 [学术讨论]开发组规则应用于internet网关之上的研究

12   1  /  2  页   跳转

[学术讨论]开发组规则应用于internet网关之上的研究

收藏
正版用户反盗版
头像
初生襁褓狮
  • 帖子:175
  • 注册: 2005-08-02
  • 来自:
发表于: 2005-12-14 22:07 | 只看楼主 短消息 资料
字号: 1楼

[学术讨论]开发组规则应用于internet网关之上的研究

开发组规则一般应用于单机,如需要应用于internet网关之上,只好想办法做一些改动了,以下是本人的办法:
1、将“禁止可疑ICMP”、“缺省的低端口连接(共享\监听)监控”(TCP),这些规则,每一条写成两条规则。例如,假设你的局域网地址范围为192.168.0.100到192.168.0.200,把“IP规则设置”里,“禁止可疑ICMP”这一条规则写成两条规则,一条的“对方地址”由“任意地址”改成“地址范围”,0.0.0.0到192.168.0.100,另一条的“对方地址”也由“任意地址”改成“地址范围”,192.168.0.200到255.255.255.255,这样,中间的局域网地址就被“空”出来了。2006版的改动较费事,这一点需要注意。
2、“缺省的TCP端口连接监控”(TCP)这一条规则前面的勾去掉。用(1)中所讲方法解决不了这个问题。
3、“安全级别”调到“中”。
以上三点可以解决内网机器上网的问题。如果有别的应用,也被防火墙拦截了,注意观察防火墙托盘里显示的是哪一条规则拦截了你,再参照以上方法修改“对方地址”。
最后编辑2005-12-17 11:57:50
分享到:
gototop
 
正版用户反盗版
头像
初生襁褓狮
  • 帖子:175
  • 注册: 2005-08-02
  • 来自:
发表于: 2005-12-16 15:45 | 只看楼主 短消息 资料
字号: 2楼

up!
gototop
 
疯狂野兔
头像
飘泊而立狮
  • 帖子:600
  • 注册: 2004-05-12
  • 来自:
发表于: 2005-12-16 15:59 | 短消息 资料
字号: 3楼

高手!顶!!!

支持!!!
gototop
 
正版用户反盗版
头像
初生襁褓狮
  • 帖子:175
  • 注册: 2005-08-02
  • 来自:
发表于: 2005-12-16 16:28 | 只看楼主 短消息 资料
字号: 4楼

【回复“正版用户反盗版”的帖子】
针对开发组规则最新版的改动:
(1)中,“缺省的低端口连接(共享\监听)监控”(TCP)改成,“缺省的低端口连接(共享\监听)监控”(TCP or UDP)
(2)中,“缺省的TCP端口连接监控”(TCP or UDP),“禁止链接T\U端口”这两条规则前面的勾去掉。
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2005-12-16 16:30 | 短消息 资料
字号: 5楼

引用:
【正版用户反盗版的贴子】开发组规则一般应用于单机,如需要应用于internet网关之上,只好想办法做一些改动了,以下是本人的办法:
1、将“禁止可疑ICMP”、“缺省的低端口连接(共享\监听)监控”(TCP),这些规则,每一条写成两条规则。例如,假设你的局域网地址范围为192.168.0.100到192.168.0.200,把“IP规则设置”里,“禁止可疑ICMP”这一条规则写成两条规则,一条的“对方地址”由“任意地址”改成“地址范围”,0.0.0.0到192.168.0.100,另一条的“对方地址”也由“任意地址”改成“地址范围”,192.168.0.200到255.255.255.255,这样,中间的局域网地址就被“空”出来了。2006版的改动较费事,这一点需要注意。
2、“缺省的TCP端口连接监控”(TCP)这一条规则前面的勾去掉。用(1)中所讲方法解决不了这个问题。
3、“安全级别”调到“中”。
以上三点可以解决内网机器上网的问题。如果有别的应用,也被防火墙拦截了,注意观察防火墙托盘里显示的是哪一条规则拦截了你,再参照以上方法修改“对方地址”。
...........................

导致了 内置判别码的失效
不如不装规则
gototop
 
正版用户反盗版
头像
初生襁褓狮
  • 帖子:175
  • 注册: 2005-08-02
  • 来自:
发表于: 2005-12-16 16:50 | 只看楼主 短消息 资料
字号: 6楼

【回复“taylor05771”的帖子】
是(1)中的设置出了问题还是(2)中的设置出了问题?以前的版本中,只需要采取(1)中的改动,偶试了两个月,没有出问题。最近的版本中,才需要增加(2)中的改动。因为偶们对于规则包内部的逻辑体系并不清楚,所以能不能稍微加以指点?如果只采用(1)中的改动,因为只牵扯到“对方地址”,应该不会影响到内置代码匹配外置规则吧?是不是(2)中的改动会影响到端口过滤指令的执行?
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2005-12-16 18:02 | 短消息 资料
字号: 7楼

无论是 可疑ICMP 还是缺省的低端口 都是与内置代码所匹配的
不要小看IP段 不同的IP段 有着完全不同的概念
比如192.168.0.0-192.168.255.255
和127.0.0.0-127.255.255.255 是完全不同的
对于最后的 那条 0端口 是规则中的关键 对付反弹木马的
很多规则与这条规则进行互动
另外现在的规则引入了全规则的概念
至于啥叫全规则 属于保密
规则中 你们可以更改(可以打勾的)就这么几条
各种VPN
局域网共享
其他不能动
至于 把规则加载在 服务器上面
那么下面的 子机上网问题可以这么解决
1 主机用网络版防火墙+规则包
2 通过硬件路由进行端口转换 缩写为PAT
3 通过软件的软路由里面的 PAT功能
4 直接找PAT 软件
以上办法都可以解决子机上网问题
而不是改规则!!!!!!!!!!!!
gototop
 
寿宁
头像
社区嘉宾
  • 帖子:1828
  • 注册: 2003-02-12
  • 来自:
发表于: 2005-12-16 18:59 | 短消息 资料
字号: 8楼

引用:
【正版用户反盗版的贴子】开发组规则一般应用于单机,如需要应用于internet网关之上,只好想办法做一些改动了,以下是本人的办法:
1、将“禁止可疑ICMP”、“缺省的低端口连接(共享\监听)监控”(TCP),这些规则,每一条写成两条规则。例如,假设你的局域网地址范围为192.168.0.100到192.168.0.200,把“IP规则设置”里,“禁止可疑ICMP”这一条规则写成两条规则,一条的“对方地址”由“任意地址”改成“地址范围”,0.0.0.0到192.168.0.100,另一条的“对方地址”也由“任意地址”改成“地址范围”,192.168.0.200到255.255.255.255,这样,中间的局域网地址就被“空”出来了。2006版的改动较费事,这一点需要注意。
2、“缺省的TCP端口连接监控”(TCP)这一条规则前面的勾去掉。用(1)中所讲方法解决不了这个问题。
3、“安全级别”调到“中”。
以上三点可以解决内网机器上网的问题。如果有别的应用,也被防火墙拦截了,注意观察防火墙托盘里显示的是哪一条规则拦截了你,再参照以上方法修改“对方地址”。
...........................

如果这样改动,将造成TCP82、104、134-139、445、2089、2122、6000、6549、6861、8848、18412、18742、20232、41434、41746与UDP6988、7175、8183端口过滤功能的丧失,并不再拦截针对TCP\UDP80端口的反弹木马!
gototop
 
6825cc
头像
自信弱冠狮
  • 帖子:450
  • 注册: 2005-01-20
  • 来自:
发表于: 2005-12-16 19:05 | 短消息 资料
字号: 9楼

学习学习.....  ^-^!
gototop
 
hyzjz
头像
初生襁褓狮
  • 帖子:25
  • 注册: 2005-12-09
  • 来自:
发表于: 2005-12-16 20:14 | 短消息 资料
字号: 10楼

看了两位的解答,知道了服务器没法使用你们的规则包和防火墙,谢谢,我原来也是象楼主那样修改规则解决局域网上网问题的。另外有个问题想请教网警和寿宁,我服务器外层有硬件防火墙,外部只允许HTTP 和FTP访问服务器,局域网内通过服务器NAT地址转换访问外网,这样不加软件防火墙能否达到保护服务器的目的?如能得到指点,不胜感激。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT