瑞星卡卡安全论坛

晶体测评小组

本来是主要说说版主的一些心里话，结果后来却引发一场有关防火墙的讨论。其实写防火墙的本来是想给大家选择防火墙时提供一个参考标准，但是后面几乎引发一场有关防火墙的技术探讨，我希望大家仅仅把它作为一次技术上探讨，不要生气更不要进行人身攻击：）
有志于对防火墙有了解的朋友可以看看下面的回复，一定是有收获：）
内墙和外墙的讨论用户已经非常晕了，这已经与我的本意背离。但是我的内防火墙为主的 依据是因为我进行这么多年个人网络安全总结的一个规律，就是个人非固定IP用户遇到攻击的概率不大。而且内防火墙与外防火墙都仅仅只是个人总结的出来的，实际防火墙并没有此分类。只是软件的侧重点不同。而且我为避嫌并没有提及任何品牌防火墙但是后来的情况却发展成我 最不愿意看到的情况...
我老说taylor05771和我“抬杠”这仅仅只局限在技术探讨之上，我希望不要影响我们以后在IKAKA的交流，更不要不情绪带到自己的生活中去！我们的最终的目的都是为了给大家一个更安全的网络环境不是吗？哈哈！

还有大家讨论几乎全部集中到硬件上，这跟个人用户实际情况有 差距，我愿意就是希望在目前纷杂的软件防火墙品牌中给用户一个选择自己合适墙的技术性的参考。我希望大家能多多集中在这上面讨论，最后对参加讨论的IKAKA的网友表示由衷的感谢！谢谢大家！

PS:看了《主题：终于知道版主为什么不来回复我们新手的贴子了》我感想很多，我在瑞星BBS已经6年了，什么事情坚持6年很难，义务坚持6年......我都不 知道自己是怎么过来的，每当我坐在PC前写帖子的时候，认识我的人就开始说“又做雷锋了”，呵呵 我淡不上什么雷锋，我写的也许可以在杂志上发表换稿费，但是我还是愿意发的BBS上，因为在满是铜臭的现时中，我更愿意用文字换取思想上的共鸣！这不需要金钱！

非常抱歉没有时间一一回复各位的帖子，近期的瑞星测试也没有参加更没又 测试报告，安全手册2.0也放下了，好多！好多都 没有做，在这里只能再次说抱歉了，但是我尽力一点一点不断完善，其它的回复我真没有时间一一满足希望大家谅解！但是请相信我，我们瑞星版主团队一直在努力！！！

杀毒软件
杀毒软件已经“泛滥”到眼花缭乱的地步，用户几乎已经没有一个正确的指导性的标准。而且用户基本上已经分成多个派系进行着一场没有休止的争论......

防火墙
跟杀毒软件相同的是有无数的产品供用户的选择，但是跟杀毒软件相比防火墙几乎没有任何的标准供用户参考。软件防火墙和硬件防火墙是没有可比性的，因为软件防火墙自身有很多缺陷是没有办法弥补。所以对安全用户要求极高的用户完全可以考虑硬件防火墙或主板上拥有硬件防火墙的功能的型号，但是以上这种情况基本上只针对拥有固顶IP的用户因为这样的用户才是黑客攻击的主要目标！因为这个以经济利益至上的“黑客”时代这样的固顶IP才具有“肉鸡”的价值。而且抛开硬件防火墙的设置即使拥有防火墙功能的主板和设置以及软件防火墙的配置就非常辣手！那软件防火墙呢？我个人认为对外软件防火墙可以抵挡黑客工具软件的攻击，对内可以防止DLL泄露等信息泄露基本上就是软件防火墙的任务。所以大致上我自己把目前的软件防火墙分为两大类：1外防火墙2内防火墙。非固顶IP的用户遇到攻击几乎100％的是无针对性的攻击，这样基本上是一个IP段上的扫描用户其实不必在意。而且即使是针对性的攻击用户最简单的一个操作就可以避免那就是重新拨号更换IP，那防火墙上的日记上的攻击记录呢？排除因为病毒关系这些记录基本上都没有什么实际意义，因为这些记录上所谓攻击几乎没有多少是真正的“黑客”攻击我甚至可以用“凤毛麟角”来形容而且即使有也基本上是一些人在用工具软件在用户所在的IP段上寻找代理（而且随着“统一”这样的付费代理的出现现在刷代理的人也没有多少了）......原因很简单1非固定IP没有攻击价值2目标不明确。而且评心而论目前网上攻击的技术含量在下降！在多年前那场传说中美黑客大战前后基本上是巅峰期那时在著名小榕等BBS中谈论几乎全部是技术性的问题，当时的这些论坛的精华技术文档至今也没有任何一个论坛可以比拟。但是随着流光等软件BBS的衰落我们的技术也逐渐下滑现在的所谓的黑客已经“沦落”为一切向钱看的“下马刷钱”劳动力，从上面的分析来看其实非固顶IP用户基本上在软件防火墙的对外防御上没有必要进行太多的苛求。那软件防火墙对内防护又是一个什么概念呢？面临越来越多的木马威胁杀毒软件已经越来越吃力，而且新木马的出现到杀毒软件更新病毒库基本上有1，2天的更新时间，在这个空挡用户处在真空期。即使是用户安装了HIPS，那除了HIPS内置的规则有多少用户设置成了“学习模式”又多少用户去看HIPS的提示呢？这样HIPS也成了摆设，那软件防火墙的对内防御就起到了最后防线的作用，我们知道任何木马在感染并获得用户资料后都会要发送这些资料到下木马人的邮箱中，此时就必须有一个对外连接请求这时防火墙就因该起到一个作用，就是提示用户是否放行此请求！这样防火墙的价值就体现出来了，虽然木马会使用各种方法比如DLL捆绑等在掩盖自己这一连接请求，但是一款优秀的防火墙应该在任何情况下都给用户以提示。说到这里其实就很明了对于非固顶IP的用户来说一款合适对内软件防火墙比对外防火墙更有价值，即使着价值仅仅只体现在一个用户也许永远不会看的提示上。软件防火墙本身没有什么对内对外之分只是侧重点会有不同，而且为了避免杀毒软件上演的什么系什么系之争我也不推荐什么防火墙，只是希望大家在看过我着帖子之后在选择防火墙时有一个参考而已：）

大家只把注意力全防到了防火墙和杀毒软件上，着其实是一个错误。我打一个比方你看见一个只拿武器和盾牌的骑士在中世纪的战场上拼杀吗？但是实际在网络上这样装备的“骑士”比比皆是，安全并不是只在安全软件上操作系统甚至应用软件都有安全问题希望大家不要忽略。目前LINKSCANNER因为它的提前漏洞防范功能让着款工具很火，LINKSCANNE并不是可以对所有漏洞进行提前预防的因为基本上它针对都是通过浏览的漏洞而且它只提供是预防不是解决，用户万万不要以为安了它就不要安装补丁了。其实我以前发的浏览器安全的帖子切实对用户安全有一个新的思路可惜帖子石沉大海...

路过，敬礼，学习。

今天安装补丁程序时，总死机， 该咋办啊……抓狂……

如你一般的斑竹,我真的很喜欢.
如瑞星一般的公司,我认为是垃圾.

向版主致敬。

致敬

总是有那么一些群人..

默默无闻的付出...

顶

不错。

谁说动态IP的主机没有入侵价值?

动态IP的 主机 依旧是很有价值的

盗号 刷Q币 窃取银行帐号 甚至是拍照(摄像头) 跳板 发动拒绝服务等等 价值太高了!
还有 动态的问题 完全可以用反弹木马解决,事实上 灰鸽子等反弹木马层出不穷就是这个原因!!!!


主板上的硬件防火墙 不过是商家提高售价的理由而已,那些硬件防火墙不过是强制关闭几个端口而已.事实上这类防火墙还比不上一个路由器!

其他在17楼/31楼

向各位斑竹致敬

同意网警说法
我觉得路由很好玩

向版主学习...

版主对安全方面的见解一直是象我们这些菜鸟级用户最应该注意的.

再次感谢版主.

希望您多多发些近期的安全建议的帖子..

如果说baohe版是一直冲在一线杀敌的,那么,你就是一直在后方对我们进行保护.

说句实话,现在的杀毒软件在智能化的同时,却也让我们变的弱智化了.

学习,顶!

呵呵 学习 顶一下

【回复“taylor05771”的帖子】
动态IP是一个不稳定的跳板，只能说是在没有固顶IP匿名代理的情况下的选择，这跟木马不同。

要是则么说硬件防火墙就是OS＋规则了？其实完全不是的我举个列子某款主板有硬件防火墙功能它是无法安装ZA的......而且主板硬件防火墙的设置界面和硬件防火墙几乎完全一样，最后这主板不绑定MAC地址是无法上网的.....这一切就是最好的软防火墙也是无法比拟的。
路由以及交换机仅仅都是7层中的一层，路由所在的仅是网络层上的安全。这与防火墙是有区别的

防火墙和杀毒软件,是以求自保的工具！

引用:

【tom2000的贴子】安全并不是只在安全软件上操作系统甚至应用软件都有安全问题..... ………………

版主没有展开来讲，我就献一下丑。
软件毕竟都是人做的，因此也必然有漏洞。不管是操作系统层面的还是应用层面的。
例如，没有安装过MS OFFICE的电脑断然不会有OFFICE的漏洞的，但是装的人多，因此漏洞所引起的不良后果也大，因此我们才看到微软的自动更新里面有OFFICE的补丁。

另外一个影响面较广的是各类播放软件的漏洞，如REALPLAYER的漏洞（http://www.duba.net/c/2004/10/02/139150.shtml）和最近的QUICKTIME漏洞（《苹果新发安全补丁 修正QuickTime零时差漏洞》，2007-5-2，http://www.techweb.com.cn/tech/2007-05-02/188930.shtml ）。

还有一个例子是各类杀毒软件企业版的漏洞。很多人认为，既然这些杀毒软件是企业版，它所提供的防护功能也越多，但其实不然。企业版的作用是进行一个统一的安全部署和调度扫描。这必然涉及远程操作。而这就成为了其隐患。著名的有Symantec Antivirus 远程堆栈溢出漏洞（2006年五月份被发现的SAV10.0系列，SAV10.0.1.394, SCS3.0系列，SCS3.1.0.394这些产品上的一个安全漏洞；http://bbs.tech.ccidnet.com/simple/index.php?t241644.html）。MCAFEE ENTERPRISE也不时出现这类漏洞.....所以，不要想当然......


因此，防护了系统的漏洞仍然不够，还应该注意各类应用程序的漏洞......

引用:

【tom2000的贴子】【回复“taylor05771”的帖子】 动态IP是一个不稳定的跳板，只能说是在没有固顶IP匿名代理的情况下的选择，这跟木马不同。 要是则么说硬件防火墙就是OS＋规则了？其实完全不是的我举个列子某款主板有硬件防火墙功能它是无法安装ZA的......而且主板硬件防火墙的设置界面和硬件防火墙几乎完全一样，最后这主板不绑定MAC地址是无法上网的.....这一切就是最好的软防火墙也是无法比拟的。 路由以及交换机仅仅都是7层中的一层，路由所在的仅是网络层上的安全。这与防火墙是有区别的 ………………

1 动态IP的机子 在 计算机开启的时刻 和静态IP没有区别,因为黑客控制中毒的机子用的是反弹木马!!! 即使 被控端 更换IP黑客依然 很好地控制中马的机子.因为反弹木马会把数据不停地反馈到指定的地点!!
如果你没玩过 反弹木马 我举不恰当的例子
企业中用RTX作为 信息交流的 平台
计算机 A(用户A) 和计算机B (用户B)信息互通 必须经过 企业的服务器 C

当用户 A 更换另外一台计算机 D IP地址变化了 他依旧可以通过 服务器C 与用户B 进行信息交流.


反弹木马也是类似 不管用户IP如何变化 只要信息反馈到 指定的上线空间,黑客随时可以控制 中反弹木马的用户!!!

事实也是如此 黑客每次发动DDOS DRDOS攻击  依靠的就是大量的 被控制的普通用户

2主板硬件防火墙 实际上就是端口强制关闭.单靠界面去判断,是一种很可笑的做法,硬件防火墙管理界面一种是WEB (实际上就是网页而已)这个界面怎么设计 纯属美工范畴.另一种是超级终端,相似的界面很容易做到.

你说的 ZA 不能装到 某些 带硬墙的主板 请问具体型号是什么? 网络搜索根本无此类信息.

本人工作过的 公司就研发过 安全网卡 就是带硬件防火墙的网卡.但是需要安装管理/驱动软件,如果此类驱动和ZA 冲突 非常正常.更是从侧面说明 此类根本不是 硬件防火墙

ARP的问题 用软件墙 完全可以处理. 只需要进行 行为特征码判别 守护好内存 就能预防此类ARP攻击,效果比 MAC绑定要更好!!

同意楼上的展开
有一句话说的没错
功能越是强大,面临安全的问题就越多!

引用:

【horseluke11的贴子】 版主没有展开来讲，我就献一下丑。 软件毕竟都是人做的，因此也必然有漏洞。不管是操作系统层面的还是应用层面的。 例如，没有安装过MS OFFICE的电脑断然不会有OFFICE的漏洞的，但是装的人多，因此漏洞所引起的不良后果也大，因此我们才看到微软的自动更新里面有OFFICE的补丁。 另外一个影响面较广的是各类播放软件的漏洞，如REALPLAYER的漏洞（http://www.duba.net/c/2004/10/02/139150.shtml）和最近的QUICKTIME漏洞（《苹果新发安全补丁 修正QuickTime零时差漏洞》，2007-5-2，http://www.techweb.com.cn/tech/2007-05-02/188930.shtml ）。 还有一个例子是各类杀毒软件企业版的漏洞。很多人认为，既然这些杀毒软件是企业版，它所提供的防护功能也越多，但其实不然。企业版的作用是进行一个统一的安全部署和调度扫描。这必然涉及远程操作。而这就成为了其隐患。著名的有Symantec Antivirus 远程堆栈溢出漏洞（2006年五月份被发现的SAV10.0系列，SAV10.0.1.394, SCS3.0系列，SCS3.1.0.394这些产品上的一个安全漏洞；http://bbs.tech.ccidnet.com/simple/index.php?t241644.html）。MCAFEE ENTERPRISE也不时出现这类漏洞.....所以，不要想当然...... 因此，防护了系统的漏洞仍然不够，还应该注意各类应用程序的漏洞...... ………………

应用软件的漏洞 导致安全问题 早就不是什么 新闻了

好象可以在软放火墙中可以增加个ARP规则吧!

引用:

【taylor05771的贴子】 ARP的问题 用软件墙 完全可以处理. 只需要进行 行为特征码判别 守护好内存 就能预防此类ARP攻击,效果比 MAC绑定要更好!! ………………

arp欺骗还有另外一种欺骗，对路由的欺骗。也就是冒充某客户端的ip对路由发送信息，迫使对方下线，而不是以前熟知的冒充网关对客户端进行欺骗。


这种ARP问题，我还没有见到有软件墙能够处理的......


另外MAC绑定不是万能。因为：
1、
http://support.microsoft.com/kb/842168/en-us
Incoming ARP packets can overwrite static entries in the ARP cache in Windows 2000
ARP 数据包可覆盖 Windows 2000 中 ARP 缓存中静态条目
Article ID : 842168 
Last Review : October 26, 2006 
Revision : 5.3 

2、
Incoming ARP packets can overwrite static entries in the ARP cache in Windows XP
ARP 数据包可覆盖 Windows XP 中 ARP 缓存中静态条目
Article ID : 842169 
Last Review : October 26, 2006 
Revision : 2.4 
http://support.microsoft.com/kb/842169/en-us

=============
微软并没有针对此问题单独放出HOTFIX。因此：

对于Win 2000SP4的电脑来说，必须还要安装2005 年 6 月 28 日发布的 Microsoft Windows 2000 Service Pack 4 更新汇总 1。
而对于WIN XP SP1的用户来说，必须要升级到WIN XP SP2才能够解决这个问题。

引用:

【姑苏残月的贴子】如你一般的斑竹,我真的很喜欢. 如瑞星一般的公司,我认为是垃圾. ………………

同感

我在中间学习

普通用户哪里折腾得了你们说的这些。

呵呵！！！

他们只关心能防点就行了，他们可搞不懂过多的提示。

【回复“taylor05771”的帖子】
我们这里说的只是固定IP这跟木马没有什么关系，即使涉及到木马也不在我这关于防火墙的讨论中，至于牧马我确实没有什么兴趣！

我说的十分清楚在硬件防火墙和软件防火墙的上，并没有涉及到主板防火墙与硬件防火墙之中。关于ZA和主板防火墙冲突涉及到底层驱动冲突这更没有必要探讨，没有说牌子是有涉及推销之嫌说以瘾去。

至于界面我想在没有看过情况下没有讨论的必要。即使是天融信不是也只是一个“网页界面”吗？那是有这样一个简单网页界面的硬件防火墙又又几个呢？

ARP攻击，一个普通家庭用户可以面对多少次ARP攻击，即使会面对ARP攻击目前除了Jetico2等少数软墙外有多少软墙能抵御200以上的攻击？至于防毒网关则跑的太远了。

我们的讨论几乎进入“抬杠”之中，我想这与我帖子涉及的内容已经出入很太多。关于软件防火墙的有任何建议我 都欢迎提出来。别的已经不在我们讨论的范围我们可以私下探讨：）

菜鸟路过.

技术好像很高，佩服ing..

貌似牢骚帖子变成技术研究帖子了.这个网警,你头像那两个字就不能好好处理下啊.郁闷

学习.............

又看到您的贴子了....