McAfee Desktop Firewall8.5防火牆規則

[psac]

McAfee Desktop Firewall8.5防火牆規則

作者：四海昇平
關於MDF8.5規則包的幾點說明：

一、此規則包目前只適合MDF8.5。MDF8.0也可以使用，但功能絕對沒有這樣強大。MDF8.5與MDF8.0差距是巨大的。兩個版本都用過就可以知道的。

二、MDF8.5目前沒有簡體中文版，可以先安裝MDF8.0簡體中文版，並將C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\Resource\0804下所有文件制作備份至他處。然後卸載MDF8.0，重新啟動，安裝MDF8.5英文版，用制作備份的0804下所有文件取代C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\Resource\0409下所有文件。即可是簡體中文版MDF8.5。當然，您英文不差的話，用英文的也可以拉。我就用英文版MDF8.5好久，後來靈機一動，自己把英文版MDF8.5改造成簡體中文版MDF8.5。HOHO·····

三、MDF8.5規則包不支持匯入。因為MDF8.5會計算每個工作的MD5值、路徑和檔案名，匯入過後，他所記錄每個工作的MD5值、路徑和檔案名仍然是我的主機各個程序的MD5值、路徑和檔案名，不是您的主機各個運用程序的MD5值、路徑和檔案名，所以，但凡涉及運用程序的規則，一律失效。需要您自己把主機的有關工作重新設定一下，否則導致您重新啟動系統之後，不能登入系統。

四、關於連接阜攔截方面，MDF8.5是支持匯入的。即您可以在MDF8.5，或MDF8.0上使用。不需要您重新設定，除非您有特殊需求，再自己設定。當然，防火牆規則裡，必然涉及大量工作，這些工作需要您重新用MDF8.5驗證。不然同樣無效。

五、對MDF8.5規則包中防火牆原則的一些說明。本原則規則全部是我自己設定，MDF8.5官方規則一律移除處理，為便於管理，我將防火牆原則分為九個組。每個組包含不同理念和防禦規則。他們分別是：
阻止訪問網路行為規則組
阻止特殊網路活動規則組
允許上網程序特殊規則組
阻止木馬病毒黑客規則組
允許基本網路活動規則組
禁止一般網路活動規則組
允許使用權程序上網規則組
禁止使用權程序上網規則組
阻止黑客攻擊活動規則組

具體的每個組就不一一講了，自己去看。
這裡，我主要講幾個關鍵問題。
阻止訪問網路行為規則組。
該規則您可以設定，也可以移除。但為了安全，本人強烈建議您使用。開啟阻止訪問網路行為規則組，您將會看到我設定的幾百條防禦規則。該規則需要您再次設定，否則每個規則都不會生效的。
修改步驟如下：雙按每個規則，或者選某個規則，點下面的內容，就可以修改了。您所要做的就是記住每個規則中，運用工作的路徑和名稱，重新驗證為自己主機的工作。比如，阻止上網活動規則1，主要攔截C:\WINDOWS\explorer.exe，explorer.exe是檔案總管，系統最主要工作之一。您開啟修改對話視窗，點擊「瀏覽」，在對話視窗中，找到C:\WINDOWS\explorer.exe，選項「開啟」，此時MDF8.5就自然驗證為您的主機工作，然後再點擊修改對話視窗中的「驗證」即可完成操作。如此重複每個步驟。
小提示，您可以選項幾個主要系統工作和DOS工作進行攔截操作，其他可以不設定。如果您希望很安全，又不嫌麻煩，一一設定也未嘗不可。此規則組裡每個規則的其他方面不需要您再次設定。
此規則組的設定中，阻止訪問網路行為規則392之前的所有規則(基本上所有系統工作都被攔截上網，系統工作只有瀏覽器工作被例外)一般不會對上網構成任何障礙（包括對被認為與上網有直接相關的系統工作C:\WINDOWS\system32\svchost.exe的攔截在內。svchost.exe雖然與DNS解析有直接相關，但同樣可以被拒絕其連網。為什麼？因為進行DNS解析，svchost.exe不是必須的。任何一個上網運用工作都基本具有DNS解析功能。而一般防火牆規則中，svchost.exe是被允許上網的。那是考慮DNS解析需要。個人實踐證實，進行DNS解析程序，svchost.exe具有先於其他工作進行DNS解析的優先等級，正由於如此，其他工作DNS解析作用被忽略了。當svchost.exe被禁止連網之後，其他工作進行DNS解析的作用就被發揮出來了。我這樣設定的安全性不言而喻！）。除非您有特殊需求（比如設定系統自動更新）。或者被植入間諜、流氓軟體、木馬才會給您帶來影響。因為被植入間諜、流氓軟體、木馬之後，他們中的大多數都會促使阻止訪問網路行為規則414之前的系統工作訪問網路，藉以達到不可告人目的，而這時MDF是會當作入侵來對待的。您將會由於MDF強大的攔截，導致您無法進行DNS解析而無法上網。（間諜、流氓軟體、木馬注入到系統工作裡連網，一般都會先進行DNS解析，然後與他們的控制黑手聯係，這樣，由於MDF判斷系統工作連網而將您當地DNS封鎖，您自然無法上網）我的設定就表明這樣一個觀點，那就是系統工作允許上網越少越好！我提供的樣本中，WIN中，只有瀏覽器工作被允許上網，這樣，除非間諜、流氓軟體、木馬注入到瀏覽器工作才可能得逞。
為此，本人強烈建議您，禁止系統自動更新。直到您需要更新時再開啟他。再說，微軟方面提供的修正檔，平均18個月才修補一個公佈的漏洞，對於一般線人來說，有多大意義？
此外，如果您覺得每次對系統工作的入侵攔截設定，妨礙您上網過於頻繁，可以將阻止訪問網路行為規則組每個規則設定裡的「將規則匹配視為入侵」勾去掉，這樣同樣可以起到攔截作用。只是效果就沒有這樣明顯了。
注意：此規則組包含一些平常使用的軟體規則。（阻止訪問網路行為規則414之後）許多沒有增加，您也可以自己增加或移除他們，我這裡只是給您一個設定樣本。

阻止特殊網路活動規則組
此規則組，您無須修改即可使用。一般來說，也不會對您網路通信造成任何災難性後果。
除非您使用特殊網路傳輸協定進行通信，否則，不需要修改。對於一般線人來說，特殊網路傳輸協定幾乎沒有任何用處，所以特殊網路傳輸協定一律禁止。由於任何網路傳輸協定都必然存在安全缺陷，他們或者已經發現，或者還沒有發現，這就意味著都可能導致網路攻擊，所以，個人來說，使用網路傳輸協定越少越好。大家也可以看出，咖啡的確不愧是安全領域的佼佼者，支持的網路傳輸協定繁多，100多種傳輸協定。

允許上網程序特殊規則組，我只設定了QQ和快車規則，且快車規則是關閉狀態（只有個別網站才會用到此規則，大多數情況不會使用此規則，所以是關閉的，到用時在開啟即可）。如果您有其他特殊需求，請您自己增加。比如需要開放FTP、HTTP、BT、玩網游等等連接阜，請您自行增加。該規則組的設定，連接阜盡量準確。最好允許傳出和傳入的連接阜都很準確，除非特殊程序的例外。

阻止木馬病毒黑客規則組。
該群組是關鍵組、核心組，除非您有特殊需求，且有修改經驗，否則不要隨便修改（包括阻止木馬病毒黑客規則組在九個規則組中上下位置的移動，以及阻止木馬病毒黑客規則組中每個連接阜攔截，和方向設定等等，為了安全，不要隨意修改）。為便於個人統計連接阜方面的攻擊頻率，我設定的囉嗦些。但好處是顯然的。我就不多說了。此規則設定支持MDF8.5，或MDF8.0匯入，不需要您修改即可正常使用。
該群組的設定，是極其嚴格的。使用TCP傳輸協定通信，遠端主機、伺服器不論使用何種連接阜（0~65535）主動與我方任何連接阜（0~65535）通信都會被MDF拒絕並視為入侵。只有本機連接阜（一般也就是1024~3000之間連接阜）往對方主機、伺服器的21、80、88等連接阜的通信才是許可的，其餘一律攔截。網上有個錯誤邏輯，那就是上網用戶必須開放本機80連接阜才能上網。其實不然，在個人用戶來說，本機80連接阜根本用不到開啟。只需要保證本機1024~65535（一般用到的連接阜就是1024~3000以內連接阜）之間連接阜往對方伺服器的80連接阜（不是本機主機80連接阜！）通信，即可保證正常通信。使用UDP傳輸協定通信，遠端主機、伺服器必須是53連接阜才能與我方通信。否則，使用（遠端主機的）其他連接阜通信一律攔截。許多人看到此規則包時會問：這樣的設定，還能上網嗎？汗！不能上網，我還設定規則幹嗎？乾脆拔掉網線得了！

允許基本網路活動規則組，這個組中，我只包含基本的網路活動規則。比如您當地的DNS伺服器的IP等。就我所知，不少網路服務商都會時常PING您的主機是否在線，這樣，請您修改：允許新疆電信PING的規則。這條規則，您修改一下名稱，並把IP修改為您當地DNS位址。如果您不知道，可以咨詢一下您當地主管部門。不進行修改，導致不能上網，可別怪我哦！

禁止一般網路活動規則組。這個組，您如果有特殊需求，就開啟來，如果您沒有特殊需求，就按照我的預設值設定即可。


允許使用權程序上網規則組。該群組是您上網的基礎。沒有他，網路訪問也就不存在了。該群組不支持匯入，需要您自己進行修改。修改方法見前面的，阻止訪問網路行為規則組修改步驟。您這裡所要做的就是修改工作，讓MDF8.5對您的工作進行驗證，（您不需要修改連接阜攔截方向和具體連接阜即可保證正常網路活動。）您如如果有其他工作也需要訪問網路，請您自己增加規則。
本人提示您：
1、運用工作在網路中，最好只允許傳出，而不讓傳入。這樣更加安全些。當然，這裡的前提是，該傳出工作不是木馬。一般來說，TCP設定只需要允許傳出即可保證正常網路訪問，而UDP設定卻需要傳入傳出，否則會出現網路障礙。
2、在TCP的設定中，一般來說，本機1024~65535連接阜都可以開放，而遠端服務連接阜，最好越少越好。除非特殊，否則TCP的傳出只允許到對方80連接阜，其餘連接阜一律攔截。
3、在UDP的設定中，一般來說，本機1024~65535連接阜都可以開放，而遠端服務連接阜，最好越少越好。除非特殊，否則UDP的傳入傳出只允許到對方53連接阜，其餘連接阜一律攔截。
具體設定請參看我的設定樣本。

當然，您根據需要，可以移除某些規則組、規則。但不建議您移除這些規則組。至於規則組上下位置的調整，個人認為，除了禁止一般網路活動規則組可以略微調整上下位置外，其餘，盡量不要調整上下位置。尤其阻止木馬病毒黑客規則組一定要放置於允許使用權程序上網規則組前面。這是很關鍵的啊。安全的需要啊！關於規則組和規則上下位置的設定，個人認為，網路活動，一定要遵循禁止優先於允許的原則，而不是允許優先於禁止。除非無法避免時才可以讓允許優先於禁止。本規則組和規則的設定原則即是如此。
但是縱觀國內防火牆規則包，甚至國外防火牆規則包（也包括XPSP2、2003SP1自身的防火牆在內！），無一例外的都是允許優先於禁止！此乃大謬啊！實在是不應該犯的錯誤啊！

六、運用程式政策。
該原則我設定的比較複雜，您可以參照設定。切記，如果您不修改我規則包中運用程式政策，在您重新啟動系統之後，您將不能正常登入系統。因為此規則包中，MDF8.5只認我的主機系統檔案和運用程式文件，而其他主機系統檔案和運用程式文件，將不予以認可。這就是MDF8.5的強大之處！
為保證您的系統正常登入，在您匯入規則包後，務必修改運用程式政策規則。最起碼，您需要修改記事本NOTEPAD.EXE攔截規則之前所有規則。只有這樣，您才可以正常登入。其他的您慢慢琢磨吧！
MDF8.5的運用程式政策規則，遵循先上後下的原則。即上面的規則優先啟用，下面的規則自然忽略。如同其防火牆規則設定一般。這點請您體會和注意。
但不論如何，當您衝鋒於網路之上，請您務必將「任意」工作的攔截規則開啟。這是您安全的需要！切記！
MDF8.5的運用程式政策規則，規則越多，開啟MDF8.5主介面越慢，也越占CPU。哈哈。所以盡量少些規則。


七、其他方面。


在極端情況下，此規則包被匯入過後，您將不能對系統或其他任何程序進行任何操作。此時，您只需要在MDF8.5防火牆在工作管理欄處的工作列圖示上，使用右鍵，彈出的表單上，選項禁用防火牆，即可起死回生。然後開啟MDF8.5防火牆主介面，再啟動MDF8.5防火牆，然後進行運用程式政策的修改操作。或者，您可以啟動系統進入安全模式下，修改規則。

[psac]

匯入此規則包前必看！


關於MDF8.5規則包的幾點說明：

一、此規則包目前只適合MDF8.5。MDF8.0也可以使用，但功能絕對沒有這樣強大。MDF8.5與MDF8.0差距是巨大的。兩個版本都用過就可以知道的。

二、MDF8.5目前沒有簡體中文版，可以先安裝MDF8.0簡體中文版，並將C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\Resource\0804下所有文件制作備份至他處。然後卸載MDF8.0，重新啟動，安裝MDF8.5英文版，用制作備份的0804下所有文件取代C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\Resource\0409下所有文件。即可是簡體中文版MDF8.5。當然，您英文不差的話，用英文的也可以拉。我就用英文版MDF8.5好久，後來靈機一動，自己把英文版MDF8.5改造成簡體中文版MDF8.5。HOHO·····

三、MDF8.5規則包不支持匯入。因為MDF8.5會計算每個工作的MD5值、路徑和檔案名，匯入過後，他所記錄每個工作的MD5值、路徑和檔案名仍然是我的主機各個程序的MD5值、路徑和檔案名，不是您的主機各個運用程序的MD5值、路徑和檔案名，所以，但凡涉及運用程序的規則，一律失效。需要您自己把主機的有關工作重新設定一下，否則導致您重新啟動系統之後，不能登入系統。

四、關於連接阜攔截方面，MDF8.5是支持匯入的。即您可以在MDF8.5，或MDF8.0上使用。不需要您重新設定，除非您有特殊需求，再自己設定。當然，防火牆規則裡，必然涉及大量工作，這些工作需要您重新用MDF8.5驗證。不然同樣無效。

五、對MDF8.5規則包中防火牆原則的一些說明。本原則規則全部是我自己設定，MDF8.5官方規則一律移除處理，為便於管理，我將防火牆原則分為九個組。每個組包含不同理念和防禦規則。他們分別是：
阻止訪問網路行為規則組
阻止特殊網路活動規則組
允許上網程序特殊規則組
阻止木馬病毒黑客規則組
允許基本網路活動規則組
禁止一般網路活動規則組
允許使用權程序上網規則組
禁止使用權程序上網規則組
阻止黑客攻擊活動規則組

具體的每個組就不一一講了，自己去看。
這裡，我主要講幾個關鍵問題。
阻止訪問網路行為規則組。
該規則您可以設定，也可以移除。但為了安全，本人強烈建議您使用。開啟阻止訪問網路行為規則組，您將會看到我設定的幾百條防禦規則。該規則需要您再次設定，否則每個規則都不會生效的。
修改步驟如下：雙按每個規則，或者選某個規則，點下面的內容，就可以修改了。您所要做的就是記住每個規則中，運用工作的路徑和名稱，重新驗證為自己主機的工作。比如，阻止上網活動規則1，主要攔截C:\WINDOWS\explorer.exe，explorer.exe是檔案總管，系統最主要工作之一。您開啟修改對話視窗，點擊「瀏覽」，在對話視窗中，找到C:\WINDOWS\explorer.exe，選項「開啟」，此時MDF8.5就自然驗證為您的主機工作，然後再點擊修改對話視窗中的「驗證」即可完成操作。如此重複每個步驟。
小提示，您可以選項幾個主要系統工作和DOS工作進行攔截操作，其他可以不設定。如果您希望很安全，又不嫌麻煩，一一設定也未嘗不可。此規則組裡每個規則的其他方面不需要您再次設定。
此規則組的設定中，阻止訪問網路行為規則392之前的所有規則(基本上所有系統工作都被攔截上網，系統工作只有瀏覽器工作被例外)一般不會對上網構成任何障礙（包括對被認為與上網有直接相關的系統工作C:\WINDOWS\system32\svchost.exe的攔截在內。svchost.exe雖然與DNS解析有直接相關，但同樣可以被拒絕其連網。為什麼？因為進行DNS解析，svchost.exe不是必須的。任何一個上網運用工作都基本具有DNS解析功能。而一般防火牆規則中，svchost.exe是被允許上網的。那是考慮DNS解析需要。個人實踐證實，進行DNS解析程序，svchost.exe具有先於其他工作進行DNS解析的優先等級，正由於如此，其他工作DNS解析作用被忽略了。當svchost.exe被禁止連網之後，其他工作進行DNS解析的作用就被發揮出來了。我這樣設定的安全性不言而喻！）。除非您有特殊需求（比如設定系統自動更新）。或者被植入間諜、流氓軟體、木馬才會給您帶來影響。因為被植入間諜、流氓軟體、木馬之後，他們中的大多數都會促使阻止訪問網路行為規則414之前的系統工作訪問網路，藉以達到不可告人目的，而這時MDF是會當作入侵來對待的。您將會由於MDF強大的攔截，導致您無法進行DNS解析而無法上網。（間諜、流氓軟體、木馬注入到系統工作裡連網，一般都會先進行DNS解析，然後與他們的控制黑手聯係，這樣，由於MDF判斷系統工作連網而將您當地DNS封鎖，您自然無法上網）我的設定就表明這樣一個觀點，那就是系統工作允許上網越少越好！我提供的樣本中，WIN中，只有瀏覽器工作被允許上網，這樣，除非間諜、流氓軟體、木馬注入到瀏覽器工作才可能得逞。
為此，本人強烈建議您，禁止系統自動更新。直到您需要更新時再開啟他。再說，微軟方面提供的修正檔，平均18個月才修補一個公佈的漏洞，對於一般線人來說，有多大意義？
此外，如果您覺得每次對系統工作的入侵攔截設定，妨礙您上網過於頻繁，可以將阻止訪問網路行為規則組每個規則設定裡的「將規則匹配視為入侵」勾去掉，這樣同樣可以起到攔截作用。只是效果就沒有這樣明顯了。
注意：此規則組包含一些平常使用的軟體規則。（阻止訪問網路行為規則414之後）許多沒有增加，您也可以自己增加或移除他們，我這裡只是給您一個設定樣本。

阻止特殊網路活動規則組
此規則組，您無須修改即可使用。一般來說，也不會對您網路通信造成任何災難性後果。
除非您使用特殊網路傳輸協定進行通信，否則，不需要修改。對於一般線人來說，特殊網路傳輸協定幾乎沒有任何用處，所以特殊網路傳輸協定一律禁止。由於任何網路傳輸協定都必然存在安全缺陷，他們或者已經發現，或者還沒有發現，這就意味著都可能導致網路攻擊，所以，個人來說，使用網路傳輸協定越少越好。大家也可以看出，咖啡的確不愧是安全領域的佼佼者，支持的網路傳輸協定繁多，100多種傳輸協定。

允許上網程序特殊規則組，我只設定了QQ和快車規則，且快車規則是關閉狀態（只有個別網站才會用到此規則，大多數情況不會使用此規則，所以是關閉的，到用時在開啟即可）。如果您有其他特殊需求，請您自己增加。比如需要開放FTP、HTTP、BT、玩網游等等連接阜，請您自行增加。該規則組的設定，連接阜盡量準確。最好允許傳出和傳入的連接阜都很準確，除非特殊程序的例外。

阻止木馬病毒黑客規則組。
該群組是關鍵組、核心組，除非您有特殊需求，且有修改經驗，否則不要隨便修改（包括阻止木馬病毒黑客規則組在九個規則組中上下位置的移動，以及阻止木馬病毒黑客規則組中每個連接阜攔截，和方向設定等等，為了安全，不要隨意修改）。為便於個人統計連接阜方面的攻擊頻率，我設定的囉嗦些。但好處是顯然的。我就不多說了。此規則設定支持MDF8.5，或MDF8.0匯入，不需要您修改即可正常使用。
該群組的設定，是極其嚴格的。使用TCP傳輸協定通信，遠端主機、伺服器不論使用何種連接阜（0~65535）主動與我方任何連接阜（0~65535）通信都會被MDF拒絕並視為入侵。只有本機連接阜（一般也就是1024~3000之間連接阜）往對方主機、伺服器的21、80、88等連接阜的通信才是許可的，其餘一律攔截。網上有個錯誤邏輯，那就是上網用戶必須開放本機80連接阜才能上網。其實不然，在個人用戶來說，本機80連接阜根本用不到開啟。只需要保證本機1024~65535（一般用到的連接阜就是1024~3000以內連接阜）之間連接阜往對方伺服器的80連接阜（不是本機主機80連接阜！）通信，即可保證正常通信。使用UDP傳輸協定通信，遠端主機、伺服器必須是53連接阜才能與我方通信。否則，使用（遠端主機的）其他連接阜通信一律攔截。許多人看到此規則包時會問：這樣的設定，還能上網嗎？汗！不能上網，我還設定規則幹嗎？乾脆拔掉網線得了！

允許基本網路活動規則組，這個組中，我只包含基本的網路活動規則。比如您當地的DNS伺服器的IP等。就我所知，不少網路服務商都會時常PING您的主機是否在線，這樣，請您修改：允許新疆電信PING的規則。這條規則，您修改一下名稱，並把IP修改為您當地DNS位址。如果您不知道，可以咨詢一下您當地主管部門。不進行修改，導致不能上網，可別怪我哦！

禁止一般網路活動規則組。這個組，您如果有特殊需求，就開啟來，如果您沒有特殊需求，就按照我的預設值設定即可。


允許使用權程序上網規則組。該群組是您上網的基礎。沒有他，網路訪問也就不存在了。該群組不支持匯入，需要您自己進行修改。修改方法見前面的，阻止訪問網路行為規則組修改步驟。您這裡所要做的就是修改工作，讓MDF8.5對您的工作進行驗證，（您不需要修改連接阜攔截方向和具體連接阜即可保證正常網路活動。）您如如果有其他工作也需要訪問網路，請您自己增加規則。
本人提示您：
1、運用工作在網路中，最好只允許傳出，而不讓傳入。這樣更加安全些。當然，這裡的前提是，該傳出工作不是木馬。一般來說，TCP設定只需要允許傳出即可保證正常網路訪問，而UDP設定卻需要傳入傳出，否則會出現網路障礙。
2、在TCP的設定中，一般來說，本機1024~65535連接阜都可以開放，而遠端服務連接阜，最好越少越好。除非特殊，否則TCP的傳出只允許到對方80連接阜，其餘連接阜一律攔截。
3、在UDP的設定中，一般來說，本機1024~65535連接阜都可以開放，而遠端服務連接阜，最好越少越好。除非特殊，否則UDP的傳入傳出只允許到對方53連接阜，其餘連接阜一律攔截。
具體設定請參看我的設定樣本。

當然，您根據需要，可以移除某些規則組、規則。但不建議您移除這些規則組。至於規則組上下位置的調整，個人認為，除了禁止一般網路活動規則組可以略微調整上下位置外，其餘，盡量不要調整上下位置。尤其阻止木馬病毒黑客規則組一定要放置於允許使用權程序上網規則組前面。這是很關鍵的啊。安全的需要啊！關於規則組和規則上下位置的設定，個人認為，網路活動，一定要遵循禁止優先於允許的原則，而不是允許優先於禁止。除非無法避免時才可以讓允許優先於禁止。本規則組和規則的設定原則即是如此。
但是縱觀國內防火牆規則包，甚至國外防火牆規則包（也包括XPSP2、2003SP1自身的防火牆在內！），無一例外的都是允許優先於禁止！此乃大謬啊！實在是不應該犯的錯誤啊！

六、運用程式政策。
該原則我設定的比較複雜，您可以參照設定。切記，如果您不修改我規則包中運用程式政策，在您重新啟動系統之後，您將不能正常登入系統。因為此規則包中，MDF8.5只認我的主機系統檔案和運用程式文件，而其他主機系統檔案和運用程式文件，將不予以認可。這就是MDF8.5的強大之處！
為保證您的系統正常登入，在您匯入規則包後，務必修改運用程式政策規則。最起碼，您需要修改記事本NOTEPAD.EXE攔截規則之前所有規則。只有這樣，您才可以正常登入。其他的您慢慢琢磨吧！
MDF8.5的運用程式政策規則，遵循先上後下的原則。即上面的規則優先啟用，下面的規則自然忽略。如同其防火牆規則設定一般。這點請您體會和注意。
但不論如何，當您衝鋒於網路之上，請您務必將「任意」工作的攔截規則開啟。這是您安全的需要！切記！
MDF8.5的運用程式政策規則，規則越多，開啟MDF8.5主介面越慢，也越占CPU。哈哈。所以盡量少些規則。


七、其他方面。


在極端情況下，此規則包被匯入過後，您將不能對系統或其他任何程序進行任何操作。此時，您只需要在MDF8.5防火牆在工作管理欄處的工作列圖示上，使用右鍵，彈出的表單上，選項禁用防火牆，即可起死回生。然後開啟MDF8.5防火牆主介面，再啟動MDF8.5防火牆，然後進行運用程式政策的修改操作。或者，您可以啟動系統進入安全模式下，修改規則。


您可以使用MDF8.5防火牆輕鬆檢視系統是否存在各種可能的木馬、間諜、黑客工作。方法如下：
1、開啟MDF8.5防火牆主介面；
2、開啟活動日誌選項；
3、清除活動日誌裡所有日誌記錄；
4、進行連網操作；
5、不開啟任何程序，包括瀏覽器等在內一切程序；
6、仔細檢視活動日誌裡是否有任何傳出通信（外界傳入通信被阻擋除外）；
7、開啟瀏覽器（主頁最好是空白頁），不要進行任何瀏覽；
8、仔細檢視活動日誌裡是否有任何傳出通信（外界傳入通信被阻擋除外）；
9、仔細觀察活動日誌1~2分鍾即可。
在觀測期間，如果沒有任何傳出通信，即活動日誌裡都是紅色警告色標示（允許新增瀏覽器工作例外，且也只有這一個是綠色准行標示），基本可以保證沒有任何木馬。至於其他程序，比如，QQ、迅雷等等程序，此方法不適用。
此方法測試，需要注意幾點：
1、必須盡可能的關閉系統服務。尤其系統自動更新等等，以免影響測試效果；
2、測試期間不要開啟任何程序，已經開啟的（除非可以驗證該程序沒有網路活動的則例外），盡量關閉，最好只保留殺毒軟體和防火牆，且殺毒軟體暫時設定為禁止自動更新；
3、不要輕易相信工作管理器的工作檢視功能和系統原有的的連接阜檢視指令。因為現在不少木馬可以完全螢幕蔽他們，導致您根本無法通過他們得到準確的答案。


最好養成經常檢視活動日誌的習慣。尤其在系統啟動之後，不要開啟任何程序的情況下，直接進行日誌檢視，可以更準確的反映潛在的危險。
就我測試看來，目前，即便木馬已經存在，此規則也足夠您有效抵禦（除非是工作注入木馬）。否則，木馬除非具有最高優先等級且必須是註冊系統服務的木馬，才可能隨機啟動，但當該木馬試圖執行時一樣會被MDF8.5防火牆攔截。除非安裝MDF8.5防火牆並匯入此規則包之前，已經存在的木馬具有如下特點，才會導致MDF8.5防火牆不能攔截：
1、該木馬具有最高優先等級。因為系統啟動時，如果運用程序都處於最高優先等級，相互間是無法攔截的。或者該木馬具有嵌入系統底層和具有工作保護功能（即一般情況下，難以關閉該工作）：
2、該木馬已經註冊為系統服務，且隨機啟動；
3、該木馬必須是強制關閉防火牆的木馬，且是專門對MDF8.5防火牆進行惡意關閉的木馬。
當該木馬滿足這樣的一些條件之後，您的MDF8.5防火牆將不能進行攔截(注意：如果木馬註冊為系統服務，但如果不具有最高優先等級，則MDF8.5同樣可以阻止其隨機啟動！事實上，木馬很少具有最高優先等級的)。這裡，第三個條件是關鍵。因為假如該木馬不具有強制關閉MDF8.5防火牆的作用，則該木馬試圖執行時依然會被MDF8.5防火牆進行攔截。即該木馬雖然達到隨機啟動的目的，但他是不能執行的。——這是針對已經存在的木馬來說的。我想沒有人願意在安裝MDF8.5防火牆之前，讓木馬存在。
這裡的說明，不包括在安裝MDF8.5防火牆並匯入此規則包之前，已經存在工作注入木馬的攔截。對先於防火牆存在的工作注入木馬的攔截是困難的。因為現在，還沒有哪個防火牆能真正實現對工作注入木馬的攔截。包括TINY、LNS在內。雖然TINY、LNS初步具有工作注入木馬的攔截功能也罷。由於MDF8.5防火牆對元件監控和DLL文件攔截存在一定缺陷，還不能對已經存在的工作注入木馬進行強有力攔截。


如果剛上網，出現大量不同IP連接您同一個連接阜，最大可能是您此時使用IP剛被他人使用，且別人使用了BT等下載軟體，此時，最好利馬斷網，更換個IP，不然，徒然浪系統資源。


如果上網時，突然無法上網，很可能是您當地DNS位址被增加到入侵原則裡了。如要上網，清除裡面的位址即可。此時，您檢視一下防火牆日誌，肯定有驚人收穫！我每次都發現許多驚喜的通信，並從中得到許多啟發。出現這樣的局面，正反映出規則設定的嚴密和MDF8.5良好的工作狀態。


有些網站會使用89、8081等等特殊連接阜與您通信。這樣，由於本規則的設定，您將無法進行通信。您需要修改規則。主要是木馬規則組。或者，您臨時增加一些規則到「允許上網程序特殊規則組」也可以。再通信完畢，或者移除規則，或者關閉規則（方便以後再用）。


在設定中，我預設值下是關閉警告對話視窗而開啟聲音提示的。個人習慣不同。如果您厭倦其聲音警告，可以關閉聲音。方法：MDF8.5主介面——編輯——選項——受到攻擊時播放聲音，去掉勾即可。


八、防禦效果
就目前來說，在本規則包防禦下，任何木馬、病毒要想突破MDF8.5防護，需要滿足如下一些條件：
1、該木馬、病毒的源文件和「產生文件」必須是非可執行文件。即該木馬、病毒的源文件和「產生文件」都不需要執行；
2、該木馬、病毒源文件或「產生文件」在任何地方都可以掛接到系統工作或者其他工作上；
3、該木馬、病毒源文件或「產生文件」掛接到系統工作或者其他使用權上網工作上，必須是遠端伺服器的80、21、88連接阜。
如果這三個條件，有一個條件不能滿足，則該木馬、病毒將是無效的。實際上，目前，這樣的木馬、病毒還沒有出世！



就目前來說，在本規則包防禦下，任何強制關閉殺毒軟體和防火牆的木馬、病毒（不論已知未知）要想突破MDF8.5防護，都是不可能的！除非您自己願意！


此外，從理論上說，目前所有木馬、病毒都需要先執行其可執行文件，然後產生相關文件才能對您構成危險。這樣，由於此規則的設定，將是導致目前一切木馬、病毒都沒有執行機會。因為木馬、病毒在您上網程序即便入侵您的主機，但他們都沒有執行機會啊！沒有執行機會，也就談不上危害了。不過就是系統多了些垃圾而已！目前，可以達到這樣的防禦效果，恐怕就TINY可以媲美。新版BI好像也整合類似功能。其餘都不行，包括頂級的ZA、OP、LNS。當然，在您試圖關閉MDF8.5對任意工作的攔截之前（無論是否斷網），養成清除所有臨時資料夾裡的一切文件是必不可少的！理由就不講了。自己想吧。


本規則包，對外來說，或許，使用DDOS攻擊可能給您帶來一些影響。是否對MDF8.5和系統產生明顯影響主要跟您的硬體，特別是CPU相關。一般來說，針對個人的DDOS攻擊，10秒內的攻擊頻率多數都在20次以下，不會超過30次。而這樣的攻擊，MDF8.5和主機都幾乎沒有影響。當10秒的攻擊頻率達到50次以上，MDF8.5和主機才有比較明顯影響。（主要看硬體組態。以上是我賽揚1.7G的CPU結果。如果組態更好，攔截的就更強大了）。實際上，針對個人的DDOS攻擊是比較少的，除了一些瘋子才會頻繁使用DDOS攻擊手法攻擊個人主機。
其他，區域網路管理軟體，可能給您造成影響（針對剪刀手、執法官等區域網路管理軟體，雖然我用MDF8.5進行了相關設定，但MDF8.5不支持ARP傳輸協定，且我不在區域網路上網，沒有測試。可能無效吧）。



如果您確實善於利用MDF8.5，目前來說，還沒有一個木馬、病毒能逃脫或者能執行。您可別告訴我，您自己允許木馬、病毒先行存在（主要指強制關閉殺毒軟體和防火牆的木馬、病毒、黑軟先行存在），或者使用權允許木馬、病毒執行。如果真有那樣的笨蛋來談什麼MDF8.5防護，乘早一邊涼快去。您想怎樣胡說就怎樣胡說吧！網上流傳很廣的一個穿透防火牆的測試軟體，根本沒有任何意義！

九、一些建議。
本人強烈建議您，先開啟MDF8.5主介面，用MDF8.5主介面的匯入功能匯入此規則包。否則，可能出現許多您無法預料的後果。
本人強烈建議您，匯入本規則包後，在運用程式政策裡，在最上方增加允許任意工作執行的規則。然後再仔細檢視本規則設定。修改規則成功之後，再移除允許任意工作執行的規則。


本人強烈建議您，在斷網情況下，進行運用程序的使用，最好採取禁用MDF8.5的方法。這樣使用更加順心和方便些。

本人強烈建議您，匯入此規則包後，使用遨遊等瀏覽器。IE6在某些漂浮廣告很多的網站上，佔用很多資源不說，還會拖累MDF8.5，導致系統CPU佔用率很高。這主要是本規則設定很嚴密所致。當然，使用IE7或許可以避免（我沒用IE7進行測試，結果如何不得而知）。但是，使用遨遊，卻導致系統工作lsass.exe訪問網路（估計與遨遊工作掛接到系統工作lsass.exe有相關性），而我的設定中，不允許任何系統工作訪問網路，這樣······攔截的結果就是，您一時無法上網。此時，清除入侵原則裡的您當地DNS位址即可正常連網。是否遨遊也有木馬性質？不好說。您自己看著辦。


此外，安裝任何軟體，最好先行在最下方的「任意」規則前增加您安裝的軟體工作，並且設定為禁止掛接其他工作。
有些時候，您需要暫時取消「任意」規則攔截。此時增加您即將安裝的軟體工作，並且設定為禁止掛接其他工作，才能順利安裝。
本人建議您，任何軟體的安裝（除非已經驗證是安全的，沒有任何元件服務軟體），最好自己增加規則。不然，圖省事的關閉MDF8.5，將會給您帶來許多潛在危害。
如果您不自己增加規則，只是使用MDF8.5預設值攔截進行安裝，也是危險的。因為在取消「任意」規則攔截進行安裝時，雖然安裝開始，MDF8.5會提示您某工作執行，但是當您允許之後，MDF8.5預設值下是允許該工作掛接其他工作的，知道這意味著什麼嗎？想想吧！

十、後記。

MDF是目前唯一一款可以很靈活自訂入侵檢測的防火牆。也只有他可以那樣設定。其他如TINY、LNS、ZA等防火牆都沒有入侵檢測系統，更別說自訂入侵原則了！而BI、OP、諾頓（SCS、SCF）等防火牆雖然具有入侵檢測技術，但他們不支持自訂入侵規則，這是不合理的。這恰恰反映出MDF設定的先進理念！


本人看過一些關於防火牆的設定，什麼TINY、OP、LNS、ZA、BI、天網、瑞星防火牆等等。也用過那些防火牆（本人用過10款左右著名防火牆），自問，就我看到的防火牆設定文章，還沒有一個防火牆規則設定的如我這樣全面細緻週到。當然，限於時間精力，我沒有就MDF8.5防火牆規則包進行更加詳細講解。沒有提到的，就自己琢磨吧。
安全永遠只屬於善於思考的和勤快的，而不會可憐那些存在僥倖心理、生搬硬套和怕麻煩的。
安全在於先禁止盡可能多的可執行的工作，然後才准予其執行，（即先否定所有，再肯定個別）只有這樣，才能創造安全的系統。MDF8.5防火牆正是這樣的防火牆！現在，具有類似的防火牆還不多。最新版BI也採取了這樣類的做法（看到這樣的消息，但還沒有安裝測試其效果如何），看來，不少安全軟體廠商都意識到這樣設定的重要意義。我曾建議天網早日增加這樣的功能。因為這樣的攔截意義是很重大的。絕大多數防火牆之所以很容易被突破（比如，OP、LNS、ZA、SCS、SCF、天網、瑞星和金山防火牆等等），被木馬、病毒斬於馬下，正是因為他們無法先行阻止工作執行。而具有MDF這樣強大功能的防火牆太少！
個人認為，良好的防範意識是這樣的：
上治，治於未亂；
中治，治於已亂；
下治，治於大亂；
任何跟著防火牆連接阜規則包跑的人都是中下之人，皆難免被動接受網路攻擊的威脅。只有內練基本功，外強筋骨皮，才能最大可能的享受網路帶來的樂趣。
本規則包的設定正是關於上治的思想而設定的。

在木馬、病毒、黑軟與殺毒軟體和防火牆的較量中，有個特點，誰先掌握系統控制權，誰就會勝利。誰落後，誰被淘汰！拿強制結束殺毒軟體和防火牆的木馬、病毒、黑軟來說。在殺毒軟體病毒庫沒有該木馬、病毒、黑軟定義時，殺毒軟體就被輕易幹掉。但當殺毒軟體病毒庫擁有該木馬、病毒、黑軟的定義時，該木馬、病毒、黑軟就被淘汰。對於防火牆來說，也是如此。木馬、病毒、黑軟針對某個防火牆進行惡意關閉，則該防火牆就失效任何作用。但是當防火牆擁有先發制人的原則，效果是截然不同的。拿MDF8.5防火牆來說，如果您使用權允許某個木馬、病毒、黑軟執行，而該木馬、病毒、黑軟具有關閉MDF8.5防火牆的能力，則MDF8.5防火牆就會失去作用。但是您如果用MDF8.5防火牆拒絕該木馬、病毒、黑軟執行，則該木馬、病毒、黑軟是無法關閉MDF8.5防火牆工作的。這就是說誰先擁有主動權，誰就是勝利者。這就是我一直強調MDF8.5防火牆運用程式政策務必開啟攔截任意工作的規則原因。不要企圖用什麼工作保護來保護殺毒軟體和防火牆的工作，那種保護措施只是一種幻想！那根本就是錯誤想法。看看ZA、AVP等工作保護，夠強大吧？沒什麼用！要知道，木馬、病毒、黑軟得逞一次，就意味著您將喪失許多東西。什麼事後諸葛亮的彌補根本無濟於事！除非具有先發制人的原則才可以杜絕這種殺毒軟體和防火牆被幹掉的悲劇發生。而MDF8.5防火牆正是具有這樣原則的防火牆。為了安全，相信沒人願意自己的殺毒軟體和防火牆被木馬、病毒、黑軟幹掉吧！


當然，MDF8.5防火牆存在許多不足之處。還需要改進的地方很多。比如，規則越多，MDF8.5主介面進行重新整理時越占CPU，比如使用本規則包時即如此。這點真不應該。還有元件監控是個弱點。比如，對卡巴殺毒軟體的病毒庫更新就無法明確攔截。這是因為卡巴先進的多工作注入技術所致。我試過，移除卡巴殺毒軟體在C:\WINDOWS\system32\drivers下所有驅動程式，對卡巴殺毒軟體使用幾乎沒有任何影響，但是，系統執行就明顯沒有那樣卡了。同時MDF也可以像攔截其他工作一般輕鬆攔截卡巴病毒庫更新。哈哈。大家覺得卡巴很卡，不妨學著我移除卡巴在C:\WINDOWS\system32\drivers下所有驅動程式。一般都是K開頭的幾個SYS文件（不要誤刪系統檔案啊！）。估計，這樣做之後，天網也可以攔截卡巴昇級病毒庫了（當前，天網還不具備攔截卡巴更新的能力）。事先宣告，我這樣做，卡巴沒有任何問題，但不保證您也跟我一樣沒有問題。如果出現問題，您不要找我麻煩啊。


借此規則包，我真心希望國內防火牆，尤其天網加大革新力度，早日趕超國外牆。祝願天網早日走向世界！！！



本規則包配合我在天網論壇公佈的咖啡殺毒軟體8.0i匯入規則包，打造一個安全的個人主機只是舉手之勞。



當然，每個人的安全意識不同，安全原則不同，難免對此規則提出批評。您可以保留自己的見解。


由於每個人的網路環境不同，本人不承諾此規則包必定適合您所在的網路環境。也不會對此進行任何承諾。此規則包只建議那些有較高安全需要的人使用。推薦那些懂得防火牆設定的人使用。如果您連國內天網這樣傻瓜式的防火牆都玩不轉，那麼，不建議您使用此規則包。新手如果有意使用此規則包，請您斟酌行事。至少您懂得如何進入安全模式下，或者，善於思考而進行相關修改，本人建議新手使用。但不會對此規則包給您帶來任何系統或網路災難而承擔任何責任。新手使用，可以迅速提高您的網路安全技能和安全係數，但需要您有充分的思想準備。其實，只要您充分理解我前面的話，您完全可以放心大膽的使用此規則包。


此外，MDF8.5防火牆日誌非常詳細，他會指導您如何修改防火牆規則以滿足您安全需求。如果您有任何不解之處，當您檢視MDF8.5防火牆日誌後，相信會給您滿意的答覆。


在您按照我的設定要求去做後，您只需要時常清理「入侵者原則」裡的各種攔截即可。本人建議您，每當斷網之後，都對「入侵者原則」裡的各種攔截進行清理一次。雖然，MDF8.5防火牆「入侵者原則」提供了兩種攔截方式，即永久阻止模式和時間限制模式，但建議您使用永久阻止模式。因為當您使用時間限制模式時，每當規則攔截到期時，MDF8.5防火牆都會進行入侵者原則的重新整理，這樣頻繁的重新整理會導致MDF8.5防火牆佔用過高的CPU。這種CPU的高負荷是難以接受的。


在MDF8.5防火牆規則設定中，還有許多技巧和實際用途，這裡就不一一講解了。自己用心想吧。


我還想說，再厲害的防火牆，比如，LNS、OP、ZA、SCS、BI、TINY等等，也包括MDF本規則包在內，在黑客面前仍然很脆弱。此規則包不過減少些被入侵的幾率罷了。


本規則包免費發佈於網路，歡迎轉載。但當您轉載，請您務必保證MDF8.5防火牆規則包和此說明的完整性。也不得增加任何形式的惡意程式碼！謝謝合作！


至此，相信您已經完全看完，您可以匯入此規則包了。


本人還很菜，難免有錯誤和疏忽之處，歡迎高手指教！本人所有公開郵件和聯係方式均已作廢，而且以後很少上網了，如果您有意與我聯係，困難了些。哈哈。如果可能，有緣再與您相識！



四海昇平 於天網論壇

2006.2.9




附上MDF的IDS（入侵檢測）簽名解釋：
IDSSigVersion="101"
IDSText1=29999,"管理掃瞄",""
IDSText2=1,"連接阜掃瞄(TCP)","連接阜掃瞄是入侵者執行的一種操作，用來確定主機上的服務(服務程序)或「開放連接阜」的數量。 執行此操作的目的通常是為了確定可能的訪問點以便於將來進行攻擊。 連接阜掃瞄自身通常不會損害遠端主機，但可表明入侵者具有攻擊的意圖。"
IDSText3=2,"連接阜掃瞄(UDP)","連接阜掃瞄是入侵者執行的一種操作，用來確定主機上的服務(服務程序)或「開放連接阜」的數量。 執行此操作的目的通常是為了確定可能的訪問點以便於將來進行攻擊。 連接阜掃瞄自身通常不會損害遠端主機，但可表明入侵者具有攻擊的意圖。"
IDSText4=3,"SYN Flood","SYN Flood 是一種試圖消耗記憶體和資源的攻擊。 正常的 TCP/IP 連接是通過資料包交換建立的。 其順序為先返回 SYN 資料包和 SYN/ACK 資料包，然後返回最終的 ACK 資料包。 電腦在等待返回的 ACK 資料包時，會消耗主機上的記憶體以使連接保持為開啟的狀態。"
IDSText5=4,"Ping Flood","Ping flooding 是一種試圖通過持續不斷地向主機傳送高速率的 Ping (ICMP Echo)資料包來消耗網路資源並減慢通信的攻擊。 主機通過 ICMP Echo 回應資料包做出回應，這會導致該主機使用自身資源，進而加重網路的擁塞。"
IDSText6=5,"Jolt2","Jolt2 是一種「拒絕服務」攻擊(DoS)，攻擊者試圖使遠端主機使用其全部 CPU 資源，從而最終導致停機。 此攻擊用非法 IP 碎片來實現，這會導致重組處理，從而消耗掉全部 CPU 資源。"
IDSText7=6,"Smurf","當主機收到一個 Ping (ICMP Echo 請求)資料包時，通常會發回一個 ICMP Echo 回應。 當 Ping 資料包傳送到網路的廣播位址時，該網路上的任何電腦都可能會做出回應。 如果大量電腦對其做出回應，就會產生大量 ICMP Echo 回應，因而消耗掉很多網路資源。 Smurf 攻擊可能會偽造 Ping 資料包的源 IP 位址，以使其他主機收到大量 ICMP Echo 回應，進而發生癱瘓。"
IDSText8=7,"Fraggle (TCP)","Fraggle 攻擊將大量 TCP 或 UDP 資料包傳送到網路的廣播位址，以試圖使網路上的每台主機都做出回應。 資料包通常傳送到 Echo 連接阜或 Chargen 連接阜。 這兩種服務都會通過資料做出回應，因而會使網路上的通信量加倍。"
IDSText9=8,"Fraggle (UDP)","Fraggle 攻擊將大量 TCP 或 UDP 資料包傳送到網路的廣播位址，以試圖使網路上的每台主機都做出回應。 資料包通常傳送到 Echo 連接阜或 Chargen 連接阜。 這兩種服務都會通過資料做出回應，因而會使網路上的通信量加倍。"
IDSText10=9,"Land","Land 攻擊使用與目標 IP 位址和連接阜號相匹配的源 IP 位址和連接阜號將 TCP SYN 資料包傳送到遠端主機。 它試圖使 TCP 服務進入無窮循環，不斷地消耗資源並可能導致主機崩潰。"
IDSText11=10,"WinNuke","WinNuke 是對執行 Microsoft Windows 作業系統的遠端主機進行的攻擊。 此攻擊通常將「帶外」(Out of Band)資料傳送到 139 連接阜。如果未受到保護，則受到攻擊的主機可能會失去全部網路連接或崩潰。"
IDSText12=11,"UDP Flood","UDP Flood 是一種「拒絕服務」攻擊(DoS)，攻擊者試圖消耗掉所有可用的網路資源。 這是一種強力攻擊方式，它會盡可能快地傳送 UDP 資料包。 通常所傳送的資料包源位址是偽造的，因此任何回應都將傳送給另一位受害者。 UDP Flooding 的目的不是獲得訊息，而是使網路癱瘓。"
IDSText13=12,"Snork","Snork 是一種「拒絕服務」攻擊(DoS)，它可導致 Windows NT 系統消耗掉其全部 CPU 資源。 該攻擊還可導致大量的網路通信，從而阻塞網路並最後使其癱瘓。 此攻擊通過將 UDP 資料包傳送到 135 連接阜(也可能為 7 或 19 連接阜)來實現。"
IDSText14=13,"Back Orifice 2000 (TCP)","Back Orifice 是針對 Windows 95/98 的特洛伊木馬程序。它允許遠端用戶完成並匯總對主機的訪問。 Back Orifice 是由黑客團體 Cult of the Dead Cow 開發的。"
IDSText15=14,"Back Orifice 2000 (UDP)","Back Orifice 是針對 Windows 95/98 的特洛伊木馬程序。它允許遠端用戶完成並匯總對主機的訪問。 Back Orifice 是由黑客團體 Cult of the Dead Cow 開發的。"
IDSText16=15,"Teardrop","Teardrop、Nestea 和 Bonk 都是一種攻擊的變種，該攻擊將非法 IP 資料包拆分成碎片以試圖使遠端主機崩潰。 特別大的 IP 資料包將被拆分成碎片，在接收時再重組在一起。"
IDSText17=16,"Bonk/Nestea","Teardrop、Nestea 和 Bonk 都是一種攻擊的變種，該攻擊將非法 IP 資料包拆分成碎片以試圖使遠端主機崩潰。 特別大的 IP 資料包將被拆分成碎片，在接收時再重組在一起。"
IDSText18=17,"Ping Of Death","Ping of Death 是一種試圖使受攻擊的電腦崩潰或癱瘓的攻擊。 它通過傳送一個大小超過 65536 字元的「ping」資料包來實現攻擊。 這些大型資料包被拆分成碎片，當重新組合時，會導致緩衝區溢位和系統崩潰。"
IDSText19=18,"Jolt","Jolt 是一種「拒絕服務」攻擊(DoS)，攻擊者試圖使遠端主機使用其全部 CPU 資源，從而最終導致停機。 此攻擊用非法 IP 碎片來實現，這會導致重組處理，從而消耗掉全部 CPU 資源。"
IDSPreProcSig1="TCP Port Scan","firelm01","MDFportScanAttackTCP",2,"IP_RemoteAddr,TCP_LocalPort,TCP_Flags",0,0,1,1,0,"Max Ports",20,"Min High Port",1024,"High Port Divider",20,"Scan Lifetime",60000,"",0
IDSPreProcSig2="UDP Port Scan","firelm01","MDFportScanAttackUDP",3,"IP_RemoteAddr,UDP_LocalPort",0,0,2,1,0,"Max Ports",100,"Min High Port",1024,"High Port Divider",20,"Scan Lifetime",200000,"",0
IDSPreProcSig3="SYN Flood","firelm01","MDFsynFloodAttack",2,"IP_RemoteAddr,TCP_Flags,TCP_LocalPort",0,0,3,1,0,"SYN Hang Time",5000,"SYN Lifetime",300000,"Min Hit Time",1000,"Max SYN Hits",50,"Max SYN Track",100
IDSPreProcSig4="Ping Flood","firelm01","MDFpingFloodAttack",4,"IP_RemoteAddr,ICMP_Type",0,0,4,1,0,"Ping Lifetime",10000,"Max Pings",100,"",0,"",0,"",0
IDSPreProcSig5="Jolt2","firelm01","MDFjolt2Attack",1,"IP_RemoteAddr,IP_Protocol,IP_ID,IP_Offset",0,0,5,1,0,"Jolt2 Lifetime",10000,"Max Jolt2",100,"",0,"",0,"",0
IDSPreProcSig6="Smurf","firelm01","MDFsmurfAttack",4,"IP_RemoteAddr,IP_LocalAddr,SubnetMask,ICMP_Type",0,0,6,1,0,"Smurf Lifetime",5000,"Max Smurfs",15,"",0,"",0,"",0
IDSPreProcSig7="TCP Fraggle","firelm01","MDFfraggleAttackTCP",2,"IP_RemoteAddr,IP_LocalAddr,SubnetMask,TCP_RemotePort,TCP_LocalPort",0,0,7,1,0,"Fraggle Lifetime",5000,"Max Fraggles",15,"",0,"",0,"",0
IDSPreProcSig8="UDP Fraggle","firelm01","MDFfraggleAttackUDP",3,"IP_RemoteAddr,IP_LocalAddr,SubnetMask,UDP_RemotePort,UDP_LocalPort",0,0,8,1,0,"Fraggle Lifetime",5000,"Max Fraggles",15,"",0,"",0,"",0
IDSPreProcSig9="Land","firelm01","MDFlandAttack",2,"IP_RemoteAddr,IP_LocalAddr,TCP_RemotePort,TCP_LocalPort,TCP_Flags",0,0,9,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig10="WinNuke","firelm01","MDFwinNukeAttack",2,"IP_RemoteAddr,TCP_LocalPort,TCP_Flags",0,0,10,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig11="UDP Flood","firelm01","MDFudpFloodAttack",3,"IP_RemoteAddr,UDP_RemotePort,UDP_LocalPort",0,0,11,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig12="Snork","firelm01","MDFsnorkAttack",3,"IP_RemoteAddr,UDP_RemotePort,UDP_LocalPort",0,0,12,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig13="Back Orifice 2000 TCP","firelm01","MDFBackOrifice2000AttackTCP",2,"IP_RemoteAddr,Data_Len,Data,TCP_Flags",0,32,13,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig14="Back Orifice 2000 UDP","firelm01","MDFBackOrifice2000AttackUDP",3,"IP_RemoteAddr,Data_Len,Data",0,32,14,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig15="Teardrop","firelm01","MDFtearDropAttack",1,"IP_RemoteAddr,IP_Protocol,IP_ID,IP_Len,IP_HdrLen,IP_Offset",0,0,15,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig16="Bonk/Nestea","firelm01","MDFbonkAttack",1,"IP_RemoteAddr,IP_Protocol,IP_ID,IP_Len,IP_HdrLen,IP_Offset",0,0,16,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig17="Ping Of Death","firelm01","MDFpingOfDeathAttack",1,"IP_RemoteAddr,IP_ID,IP_Len,IP_Offset",0,0,17,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcSig18="Jolt","firelm01","MDFjoltAttack",1,"IP_RemoteAddr,IP_Protocol,IP_ID,IP_Len,IP_HdrLen,IP_Offset",0,0,18,1,0,"",0,"",0,"",0,"",0,"",0
IDSPreProcHash=0xC420A31634BCAA9DA6AF1C2269CD8908AF3A6C5B
IDSVersionHash=0x6348AE9AC0D51DA91EE3554B61F63EF74190CB52