有关防火墙加载RAVF-05-12.1-54版本规则包“缺省”规则报警增多现象的说明
有用户留言询问:
A、为什么防火墙加载RAVF-05-12.1-54版本规则包后,“缺省的低端口连接(共享\监听)监控”、“缺省的TCP端口连接监控”、“缺省的UDP端口连接监控”报警很多?
===
1、针对当前PE下的木马日益增多等问题,同时考虑到不少新手往往上网不注意容易被病毒感染等现象,规则包增强了网页监控(数据过滤)功能,以弥补杀软病毒库可能出现的不及时问题。
2、根据网络安全项目的综合测试,有迹象表明浏览器中的RSS在近期内很有可能导致蠕虫攻击的激增。由于RSS是让浏览器在用户订阅的网站有新的内容时自动更新,而这些合法的连接有可能被引导到含有恶意程序的网站,并从这些网站,蠕虫及其他恶意程序在用户不知不觉之中下载到用户的计算机上。另外,因为RSS支持是非标准的,而被劫持的RSS feed看上去也是合法的,因此想通过静态的常规技术来区分出这些已被改变的RSS feed以及发现被引导到恶意程序网站并不容易,更为重要的是恶意程序的编写者有可能对准一个程序进行攻击。因此通过设置“缺省的低端口连接(共享\监听)监控”、“缺省的TCP端口连接监控”、“缺省的UDP端口连接监控”可以帮助用户对http流量进行扫描,并借助规则包内置的特征判别码进行过滤,以确保安全。(目前,计世网也发布了这项涉及RSS安全的消息)。B、“我发现几个缺省规则报警的有时候是正常连接啊,是误报吗?”
====规则包增强了网页监控(数据过滤)功能,对本机与任何网站的主要往来数据都执行过滤,经过滤后确认是合法的就放行、不合法的(如:蠕虫、PE下的木马)就拦截,防火墙报警的“缺省”规则不是错报,“缺省”规则不同于“禁止”规则,“缺省”规则的重点是执行审核指令,需要通过与其他相关的规则互动来执行过滤,而“禁止”规则执行的大都是自身的内外规则(特征代码)的匹配。C、“我装完网警的IP规则后,总是一会跳没一下..一会又跳没下..不过跳没的时间不长..一跳没就出现..只要开了什么程序,在托盘显示时..一会防火墙就跑到那图标前面..每次都是..还有也不会报警了..有次卡机是看到它跳没时是在报警..可出现的时候用鼠标指过去..却没有人攻击我..多次都是这样..”,为什么?
===请阅读
http://forum.ikaka.com/topic.asp?board=33&artid=7107937最后,我再强调几点:
1、防火墙各个组件和功能项是按照严格的秩序(程式)组成的有机整体,不能够违背;
2、“IP规则优先”与“访问优先”的问题直接关系到防火墙引擎的启动次序以及防火墙的构架层次问题;
3、防火墙运作规程是:A、外置端口监视+访问规则+内置特征判别码指令程序匹配=端口过滤指令启动;B、如果没有或缺少相应的内置特征判别码指令,那么防火墙运作规程则是:外置端口监视+访问规则=端口关闭指令启动;C、如果IP规则优先,那么防火墙运作规程则跳转为:外置端口监视+内置特征判别码指令程序匹配=覆盖访问规则--->访问规则缺失、防火墙接管数据指令进入死循环!
4、IP规则中的“禁止”指的是禁止通过这个规则所指向端口的非法程序(恶意代码)!而不是禁止规则所指向的端口!外置规则(IP规则)与内置的特征判别代码匹配执行的是端口过滤指令!
举个实例:1-512的端口监控包括了对80端口的监控,80端口是上网必需的通道,同时也是反弹性木马的通道,那总不能用关闭80端口的方式来禁止反弹性木马啊?当然只能是通过特征判别代码来进行过滤了! 有用户说“连接127的在IP规则中已禁止的端口,多数为木马”,这个只是说明这个端口是某些木马的通道,但事实上这个端口也是正常数据包往来的通道,因此不能选择强制关闭。
