McAfee Desktop Firewall8.5防火牆規則
McAfee Desktop Firewall8.5防火牆規則
作者:四海昇平
關於MDF8.5規則包的幾點說明:
一、此規則包目前只適合MDF8.5。MDF8.0也可以使用,但功能絕對沒有這樣強大。MDF8.5與MDF8.0差距是巨大的。兩個版本都用過就可以知道的。
二、MDF8.5目前沒有簡體中文版,可以先安裝MDF8.0簡體中文版,並將C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\Resource\0804下所有文件制作備份至他處。然後卸載MDF8.0,重新啟動,安裝MDF8.5英文版,用制作備份的0804下所有文件取代C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\Resource\0409下所有文件。即可是簡體中文版MDF8.5。當然,您英文不差的話,用英文的也可以拉。我就用英文版MDF8.5好久,後來靈機一動,自己把英文版MDF8.5改造成簡體中文版MDF8.5。HOHO·····
三、MDF8.5規則包不支持匯入。因為MDF8.5會計算每個工作的MD5值、路徑和檔案名,匯入過後,他所記錄每個工作的MD5值、路徑和檔案名仍然是我的主機各個程序的MD5值、路徑和檔案名,不是您的主機各個運用程序的MD5值、路徑和檔案名,所以,但凡涉及運用程序的規則,一律失效。需要您自己把主機的有關工作重新設定一下,否則導致您重新啟動系統之後,不能登入系統。
四、關於連接阜攔截方面,MDF8.5是支持匯入的。即您可以在MDF8.5,或MDF8.0上使用。不需要您重新設定,除非您有特殊需求,再自己設定。當然,防火牆規則裡,必然涉及大量工作,這些工作需要您重新用MDF8.5驗證。不然同樣無效。
五、對MDF8.5規則包中防火牆原則的一些說明。本原則規則全部是我自己設定,MDF8.5官方規則一律移除處理,為便於管理,我將防火牆原則分為九個組。每個組包含不同理念和防禦規則。他們分別是:
阻止訪問網路行為規則組
阻止特殊網路活動規則組
允許上網程序特殊規則組
阻止木馬病毒黑客規則組
允許基本網路活動規則組
禁止一般網路活動規則組
允許使用權程序上網規則組
禁止使用權程序上網規則組
阻止黑客攻擊活動規則組
具體的每個組就不一一講了,自己去看。
這裡,我主要講幾個關鍵問題。
阻止訪問網路行為規則組。
該規則您可以設定,也可以移除。但為了安全,本人強烈建議您使用。開啟阻止訪問網路行為規則組,您將會看到我設定的幾百條防禦規則。該規則需要您再次設定,否則每個規則都不會生效的。
修改步驟如下:雙按每個規則,或者選某個規則,點下面的內容,就可以修改了。您所要做的就是記住每個規則中,運用工作的路徑和名稱,重新驗證為自己主機的工作。比如,阻止上網活動規則1,主要攔截C:\WINDOWS\explorer.exe,explorer.exe是檔案總管,系統最主要工作之一。您開啟修改對話視窗,點擊「瀏覽」,在對話視窗中,找到C:\WINDOWS\explorer.exe,選項「開啟」,此時MDF8.5就自然驗證為您的主機工作,然後再點擊修改對話視窗中的「驗證」即可完成操作。如此重複每個步驟。
小提示,您可以選項幾個主要系統工作和DOS工作進行攔截操作,其他可以不設定。如果您希望很安全,又不嫌麻煩,一一設定也未嘗不可。此規則組裡每個規則的其他方面不需要您再次設定。
此規則組的設定中,阻止訪問網路行為規則392之前的所有規則(基本上所有系統工作都被攔截上網,系統工作只有瀏覽器工作被例外)一般不會對上網構成任何障礙(包括對被認為與上網有直接相關的系統工作C:\WINDOWS\system32\svchost.exe的攔截在內。svchost.exe雖然與DNS解析有直接相關,但同樣可以被拒絕其�連網。為什麼?因為進行DNS解析,svchost.exe不是必須的。任何一個上網運用工作都基本具有DNS解析功能。而一般防火牆規則中,svchost.exe是被允許上網的。那是考慮DNS解析需要。個人實踐證實,進行DNS解析程序,svchost.exe具有先於其他工作進行DNS解析的優先等級,正由於如此,其他工作DNS解析作用被忽略了。當svchost.exe被禁止連網之後,其他工作進行DNS解析的作用就被發揮出來了。我這樣設定的安全性不言而喻!)。除非您有特殊需求(比如設定系統自動更新)。或者被植入間諜、流氓軟體、木馬才會給您帶來影響。因為被植入間諜、流氓軟體、木馬之後,他們中的大多數都會促使阻止訪問網路行為規則414之前的系統工作訪問網路,藉以達到不可告人目的,而這時MDF是會當作入侵來對待的。您將會由於MDF強大的攔截,導致您無法進行DNS解析而無法上網。(間諜、流氓軟體、木馬注入到系統工作裡連網,一般都會先進行DNS解析,然後與他們的控制黑手聯係,這樣,由於MDF判斷系統工作連網而將您當地DNS封鎖,您自然無法上網)我的設定就表明這樣一個觀點,那就是系統工作允許上網越少越好!我提供的樣本中,WIN中,只有瀏覽器工作被允許上網,這樣,除非間諜、流氓軟體、木馬注入到瀏覽器工作才可能得逞。
為此,本人強烈建議您,禁止系統自動更新。直到您需要更新時再開啟他。再說,微軟方面提供的修正檔,平均18個月才修補一個公佈的漏洞,對於一般線人來說,有多大意義?
此外,如果您覺得每次對系統工作的入侵攔截設定,妨礙您上網過於頻繁,可以將阻止訪問網路行為規則組每個規則設定裡的「將規則匹配視為入侵」勾去掉,這樣同樣可以起到攔截作用。只是效果就沒有這樣明顯了。
注意:此規則組包含一些平常使用的軟體規則。(阻止訪問網路行為規則414之後)許多沒有增加,您也可以自己增加或移除他們,我這裡只是給您一個設定樣本。
阻止特殊網路活動規則組
此規則組,您無須修改即可使用。一般來說,也不會對您網路通信造成任何災難性後果。
除非您使用特殊網路傳輸協定進行通信,否則,不需要修改。對於一般線人來說,特殊網路傳輸協定幾乎沒有任何用處,所以特殊網路傳輸協定一律禁止。由於任何網路傳輸協定都必然存在安全缺陷,他們或者已經發現,或者還沒有發現,這就意味著都可能導致網路攻擊,所以,個人來說,使用網路傳輸協定越少越好。大家也可以看出,咖啡的確不愧是安全領域的佼佼者,支持的網路傳輸協定繁多,100多種傳輸協定。
允許上網程序特殊規則組,我只設定了QQ和快車規則,且快車規則是關閉狀態(只有個別網站才會用到此規則,大多數情況不會使用此規則,所以是關閉的,到用時在開啟即可)。如果您有其他特殊需求,請您自己增加。比如需要開放FTP、HTTP、BT、玩網游等等連接阜,請您自行增加。該規則組的設定,連接阜盡量準確。最好允許傳出和傳入的連接阜都很準確,除非特殊程序的例外。
阻止木馬病毒黑客規則組。
該群組是關鍵組、核心組,除非您有特殊需求,且有修改經驗,否則不要隨便修改(包括阻止木馬病毒黑客規則組在九個規則組中上下位置的移動,以及阻止木馬病毒黑客規則組中每個連接阜攔截,和方向設定等等,為了安全,不要隨意修改)。為便於個人統計連接阜方面的攻擊頻率,我設定的囉嗦些。但好處是顯然的。我就不多說了。此規則設定支持MDF8.5,或MDF8.0匯入,不需要您修改即可正常使用。
該群組的設定,是極其嚴格的。使用TCP傳輸協定通信,遠端主機、伺服器不論使用何種連接阜(0~65535)主動與我方任何連接阜(0~65535)通信都會被MDF拒絕並視為入侵。只有本機連接阜(一般也就是1024~3000之間連接阜)往對方主機、伺服器的21、80、88等連接阜的通信才是許可的,其餘一律攔截。網上有個錯誤邏輯,那就是上網用戶必須開放本機80連接阜才能上網。其實不然,在個人用戶來說,本機80連接阜根本用不到開啟。只需要保證本機1024~65535(一般用到的連接阜就是1024~3000以內連接阜)之間連接阜往對方伺服器的80連接阜(不是本機主機80連接阜!)通信,即可保證正常通信。使用UDP傳輸協定通信,遠端主機、伺服器必須是53連接阜才能與我方通信。否則,使用(遠端主機的)其他連接阜通信一律攔截。許多人看到此規則包時會問:這樣的設定,還能上網嗎?汗!不能上網,我還設定規則幹嗎?乾脆拔掉網線得了!
允許基本網路活動規則組,這個組中,我只包含基本的網路活動規則。比如您當地的DNS伺服器的IP等。就我所知,不少網路服務商都會時常PING您的主機是否在線,這樣,請您修改:允許新疆電信PING的規則。這條規則,您修改一下名稱,並把IP修改為您當地DNS位址。如果您不知道,可以咨詢一下您當地主管部門。不進行修改,導致不能上網,可別怪我哦!
禁止一般網路活動規則組。這個組,您如果有特殊需求,就開啟來,如果您沒有特殊需求,就按照我的預設值設定即可。
允許使用權程序上網規則組。該群組是您上網的基礎。沒有他,網路訪問也就不存在了。該群組不支持匯入,需要您自己進行修改。修改方法見前面的,阻止訪問網路行為規則組修改步驟。您這裡所要做的就是修改工作,讓MDF8.5對您的工作進行驗證,(您不需要修改連接阜攔截方向和具體連接阜即可保證正常網路活動。)您如如果有其他工作也需要訪問網路,請您自己增加規則。
本人提示您:
1、運用工作在網路中,最好只允許傳出,而不讓傳入。這樣更加安全些。當然,這裡的前提是,該傳出工作不是木馬。一般來說,TCP設定只需要允許傳出即可保證正常網路訪問,而UDP設定卻需要傳入傳出,否則會出現網路障礙。
2、在TCP的設定中,一般來說,本機1024~65535連接阜都可以開放,而遠端服務連接阜,最好越少越好。除非特殊,否則TCP的傳出只允許到對方80連接阜,其餘連接阜一律攔截。
3、在UDP的設定中,一般來說,本機1024~65535連接阜都可以開放,而遠端服務連接阜,最好越少越好。除非特殊,否則UDP的傳入傳出只允許到對方53連接阜,其餘連接阜一律攔截。
具體設定請參看我的設定樣本。
當然,您根據需要,可以移除某些規則組、規則。但不建議您移除這些規則組。至於規則組上下位置的調整,個人認為,除了禁止一般網路活動規則組可以略微調整上下位置外,其餘,盡量不要調整上下位置。尤其阻止木馬病毒黑客規則組一定要放置於允許使用權程序上網規則組前面。這是很關鍵的啊。安全的需要啊!關於規則組和規則上下位置的設定,個人認為,網路活動,一定要遵循禁止優先於允許的原則,而不是允許優先於禁止。除非無法避免時才可以讓允許優先於禁止。本規則組和規則的設定原則即是如此。
但是縱觀國內防火牆規則包,甚至國外防火牆規則包(也包括XPSP2、2003SP1自身的防火牆在內!),無一例外的都是允許優先於禁止!此乃大謬啊!實在是不應該犯的錯誤啊!
六、運用程式政策。
該原則我設定的比較複雜,您可以參照設定。切記,如果您不修改我規則包中運用程式政策,在您重新啟動系統之後,您將不能正常登入系統。因為此規則包中,MDF8.5只認我的主機系統檔案和運用程式文件,而其他主機系統檔案和運用程式文件,將不予以認可。這就是MDF8.5的強大之處!
為保證您的系統正常登入,在您匯入規則包後,務必修改運用程式政策規則。最起碼,您需要修改記事本NOTEPAD.EXE攔截規則之前所有規則。只有這樣,您才可以正常登入。其他的您慢慢琢磨吧!
MDF8.5的運用程式政策規則,遵循先上後下的原則。即上面的規則優先啟用,下面的規則自然忽略。如同其防火牆規則設定一般。這點請您體會和注意。
但不論如何,當您衝鋒於網路之上,請您務必將「任意」工作的攔截規則開啟。這是您安全的需要!切記!
MDF8.5的運用程式政策規則,規則越多,開啟MDF8.5主介面越慢,也越占CPU。哈哈。所以盡量少些規則。
七、其他方面。
在極端情況下,此規則包被匯入過後,您將不能對系統或其他任何程序進行任何操作。此時,您只需要在MDF8.5防火牆在工作管理欄處的工作列圖示上,使用右鍵,彈出的表單上,選項禁用防火牆,即可起死回生。然後開啟MDF8.5防火牆主介面,再啟動MDF8.5防火牆,然後進行運用程式政策的修改操作。或者,您可以啟動系統進入安全模式下,修改規則。
|