瑞星卡卡安全论坛

晶体测评小组

让我想到这点的其实是因为在 IKAKA和别人一次有关防火墙的争论引起的。


我想从入侵的角度来说说防火墙，我想一般的侵入都是从扫描器开始的流光和NMAP等，由使用者确定目标特征后开始扫面一个IP段。之后软件就会列出该IP段上可用目标，然后使用者就会侵入，提升权限，注入，运行，清理等等一系列动作。而且某些扫面器基本上会没有人为干预下自动完成。而软件防火墙此时只要可以抵御扫描软件即可。

我们再假设一个“攻击者”不借助任何工具软件全部手动进行攻击，那它面对是什么一切都是未知的他要面对各种情况，仅从软件防火墙来将他就要面对不同品牌进行针对的穿透，这需要攻击者要由多少知识储备要有多高的技术。而且就算它是侵入的速度完全取决自己敲击键盘的速度，那这种对目标不明确的攻击仅仅只是没有意义的简单的机械劳动，这对攻击者不是对任何人来说完全都是在浪费时间。

我再以ASP,反弹木马来说首先来说的这种木马要能突破被攻击自身安装的安全软件/杀毒软件的监视，即使是攻击者对木马进行修改封包甚至是使用了全新的木马，我暂且不说由多少人由这样的技术，就是这样的木马由多少是通过防火墙直接注入目标机器的呢？而多数木马基本还是通过网页下载进入目标机器之中的吧！

再这里我特别提醒大家注意我前面说的这句话“是通过网页也就是浏览器”因为这样无论的速度还是效果以及难度上都要远远好前者。这样的攻击和防火墙由什么关系呢？

我再说说防火墙关于蠕虫病毒的攻击，首先目前各个杀毒软件病毒库最大增长比例是木马不是病毒，而且恶性蠕虫病毒出现的条件是微软必须由可以利用的漏洞，并且相关代码泄露出来，并且编写病毒的作者再微软推出相关补丁前的一段时间内把病毒写好测试完再发布出去 ..... 如果不满足以上条件都不可能意为这样事件的发生，我当然不会天真认为以后不会有这样的事情的发生，但是问题的关键是用户的软件防火墙再其使用期间出现的概率是多少。

有关ARP攻击我仍然认为通过软件防火墙的引擎和规则包不可能完全有效抵御ARP攻击，即使是JeticoV2这样的墙也仅仅只是跟其它软件墙相比出色一些而已。因为面对大量的饱和攻击即使的引擎和规则再优秀那软件也回逐渐消耗系统资源直至没有响应。而且有多少用户会面对这样的攻击？非固定IP的用户可以即使面对这样的攻击转换IP后就可以解决为什么要把没有意义的寄托全放到软件防火墙上？以上对普通用户有意义吗？不要说用户不可能遇到这样的攻击，即使是遇到防火墙抵御主了并提示用户。那对于用户来说除了增加用户思想负担，“呀！有人攻击我”之外有什么意义？



而且真正成功的穿透防火墙是没有提示的，就象平常一样...没有危险的时候警惕，有危险的时候......对外防御上不是要一款一切全能的软件防火墙也没有这样的墙，其实我们要是只是一款够用的墙。用户关于防火墙有什么测试标准？看国外测试结果，自己去安全网站测试，用安全软件测试？看机构测试排名，没有一家是一样的因为方法不同针对也不同。自己去测试我想只要不是太垃圾墙都没有问题过吧 。

用安全软件测试用很简单但是你结果是什么。从专业的安全公司的报告来看目前所有我们知道的软件防火墙几乎再最关键安全构架都有问题，但是为什么我们还能看到那些溢美之词呢？因为有些东西对我们来说是没有意义的，就想过分的安全要求。最后说说测试你用过CPILSuite，LeakTest测试过自己的防火墙吗？结果怎么样？很多时候即使你安全COMODO这样一款我极力推荐的内部防火墙时，信息还是泄露了。因为防火墙提示有对外连接请求时你 放行，防火墙已经进到自己的职责了，但是我们自己放行了。



之所以说COMODO好是因为他可以较好的抵御内部信息的泄露，而且再有对外连接请求的时候，他会有较详细的提示说明该请求的危害性。如果这最关键的提示你不看的话那COMODO就是垃圾，不是说他对外防御不好，而是说他最关键的对内防御也不用或者说不会用！因为内防火墙的防止信息泄露对每个用户都用关键的意义。谁也不敢保证自己杀毒软件不会漏杀，但是漏杀的病毒再面对内防火墙时内防火墙就是你机器最后的防线，这因该关系每一个用户切身的隐私和经济利益了吧？

我也承认内防火墙可能不会面对更新型的渗透但是这需要木马编写者是一个天才因为他要有足够的能力去戏耍全世界的安全公司......而面对外部攻击那飘忽的无数个不确定，那个更有分量，而且我早就说了 火墙没有内外之分只是侧重不同，内外都是我自己冠名进行区分，更重要的是没有任何报告和证据说明内防火墙的对防御就是差！请你打开你的防火墙看看设置中的那些对外连接请求，看看你能确定绝对安全的有几个？就像我一直说的：



在别人嘴里在垃圾的防火墙你会用就是最好的墙，在别人眼里在好的墙你不会用就是垃圾！




前面我已经在防火墙中提示大家注意浏览器，因为他是很多防火墙无法解决问题的根源。而这些问题在杀毒软件中也是无法解决。而且目前任何一款安全产品基本都是在系统已经感染的情况下进行处置的，而这些矛头又集中到浏览器上。我以前已经发了有关浏览器防御的帖子，真的希望大家看看。因为关于个人桌面安全我们真的走错了。要是这样走下去我们用户要成为系统安全专家，杀毒软件专家，防火墙专家.....一个全方位的安全专家这样现时吗？我们假象用户会面对任何安全威胁，但是我们用户的实际面对情况呢？就算可以我们的产品有能力解决任何问题，但是用户会使用吗？个人安全我们真的走错了路！

晕 .顶了 .不过老大 宁死让我看5小时日志 也不要看这个了  眼花 ..

“前面我已经在防火墙中提示大家注意浏览器，因为他是很多防火墙无法解决问题的根源。而这些问题在杀毒软件中也是无法解决。而且目前任何一款安全产品基本都是在系统已经感染的情况下进行处置的，而这些矛头又集中到浏览器上。我以前已经发了有关浏览器防御的帖子，真的希望大家看看。因为关于个人桌面安全我们真的走错了。要是这样走下去我们用户要成为系统安全专家，杀毒软件专家，防火墙专家.....一个全方位的安全专家这样现时吗？我们假象用户会面对任何安全威胁，但是我们用户的实际面对情况呢？就算可以我们的产品有能力解决任何问题，但是用户会使用吗？个人安全我们真的走错了路！”

这才是重点！！！！！！！！！！！

没多少用户能折腾会这些东西。

更没多少精通的。

呵呵！！！

是太挤了点，没好好分段。

看了太累！！！！！！！！！！！！！！

学习...

又学习了　　多谢LZ

确实很累

支持版主的文章.(尽管没看的太明白.但总是为我们这些不懂安全的用户好的.)

支持,支持...

规则本来就是一种专门的技术````它本来就不是防火墙里面的规则```规则是慢慢演化变成而加入瑞星防火墙里的```

暂时知识层次不够,不看

功力不够.暂时还看不懂.

貌似技术需要很高才能消化,

学习了

在病毒反病毒战场上，积累防御知识的重要性应该优先于学习杀毒能力。一个不会主动防御病毒进攻的人，就算杀毒技术再好，也是不完美的（一些故意测试自己杀毒能力的高手除外）。
强烈支持TOM2000！

引用:

【tom2000的贴子】晶体测评小组 让我想到这点的其实是因为在 IKAKA和别人一次有关防火墙的争论引起的。 我想从入侵的角度来说说防火墙，我想一般的侵入都是从扫描器开始的流光和NMAP等，由使用者确定目标特征后开始扫面一个IP段。之后软件就会列出该IP段上可用目标，然后使用者就会侵入，提升权限，注入，运行，清理等等一系列动作。而且某些扫面器基本上会没有人为干预下自动完成。而软件防火墙此时只要可以抵御扫描软件即可。 我们再假设一个“攻击者”不借助任何工具软件全部手动进行攻击，那它面对是什么一切都是未知的他要面对各种情况，仅从软件防火墙来将他就要面对不同品牌进行针对的穿透，这需要攻击者要由多少知识储备要有多高的技术。而且就算它是侵入的速度完全取决自己敲击键盘的速度，那这种对目标不明确的攻击仅仅只是没有意义的简单的机械劳动，这对攻击者不是对任何人来说完全都是在浪费时间。 我再以ASP,反弹木马来说首先来说的这种木马要能突破被攻击自身安装的安全软件/杀毒软件的监视，即使是攻击者对木马进行修改封包甚至是使用了全新的木马，我暂且不说由多少人由这样的技术，就是这样的木马由多少是通过防火墙直接注入目标机器的呢？而多数木马基本还是通过网页下载进入目标机器之中的吧！ 再这里我特别提醒大家注意我前面说的这句话“是通过网页也就是浏览器”因为这样无论的速度还是效果以及难度上都要远远好前者。这样的攻击和防火墙由什么关系呢？ 我再说说防火墙关于蠕虫病毒的攻击，首先目前各个杀毒软件病毒库最大增长比例是木马不是病毒，而且恶性蠕虫病毒出现的条件是微软必须由可以利用的漏洞，并且相关代码泄露出来，并且编写病毒的作者再微软推出相关补丁前的一段时间内把病毒写好测试完再发布出去 ..... 如果不满足以上条件都不可能意为这样事件的发生，我当然不会天真认为以后不会有这样的事情的发生，但是问题的关键是用户的软件防火墙再其使用期间出现的概率是多少。 有关ARP攻击我仍然认为通过软件防火墙的引擎和规则包不可能完全有效抵御ARP攻击，即使是JeticoV2这样的墙也仅仅只是跟其它软件墙相比出色一些而已。因为面对大量的饱和攻击即使的引擎和规则再优秀那软件也回逐渐消耗系统资源直至没有响应。而且有多少用户会面对这样的攻击？非固定IP的用户可以即使面对这样的攻击转换IP后就可以解决为什么要把没有意义的寄托全放到软件防火墙上？以上对普通用户有意义吗？不要说用户不可能遇到这样的攻击，即使是遇到防火墙抵御主了并提示用户。那对于用户来说除了增加用户思想负担，“呀！有人攻击我”之外有什么意义？ 而且真正成功的穿透防火墙是没有提示的，就象平常一样...没有危险的时候警惕，有危险的时候......对外防御上不是要一款一切全能的软件防火墙也没有这样的墙，其实我们要是只是一款够用的墙。用户关于防火墙有什么测试标准？看国外测试结果，自己去安全网站测试，用安全软件测试？看机构测试排名，没有一家是一样的因为方法不同针对也不同。自己去测试我想只要不是太垃圾墙都没有问题过吧 。 用安全软件测试用很简单但是你结果是什么。从专业的安全公司的报告来看目前所有我们知道的软件防火墙几乎再最关键安全构架都有问题，但是为什么我们还能看到那些溢美之词呢？因为有些东西对我们来说是没有意义的，就想过分的安全要求。最后说说测试你用过CPILSuite，LeakTest测试过自己的防火墙吗？结果怎么样？很多时候即使你安全COMODO这样一款我极力推荐的内部防火墙时，信息还是泄露了。因为防火墙提示有对外连接请求时你 放行，防火墙已经进到自己的职责了，但是我们自己放行了。 之所以说COMODO好是因为他可以较好的抵御内部信息的泄露，而且再有对外连接请求的时候，他会有较详细的提示说明该请求的危害性。如果这最关键的提示你不看的话那COMODO就是垃圾，不是说他对外防御不好，而是说他最关键的对内防御也不用或者说不会用！因为内防火墙的防止信息泄露对每个用户都用关键的意义。谁也不敢保证自己杀毒软件不会漏杀，但是漏杀的病毒再面对内防火墙时内防火墙就是你机器最后的防线，这因该关系每一个用户切身的隐私和经济利益了吧？ 我也承认内防火墙可能不会面对更新型的渗透但是这需要木马编写者是一个天才因为他要有足够的能力去戏耍全世界的安全公司......而面对外部攻击那飘忽的无数个不确定，那个更有分量，而且我早就说了 火墙没有内外之分只是侧重不同，内外都是我自己冠名进行区分，更重要的是没有任何报告和证据说明内防火墙的对防御就是差！请你打开你的防火墙看看设置中的那些对外连接请求，看看你能确定绝对安全的有几个？就像我一直说的： 在别人嘴里在垃圾的防火墙你会用就是最好的墙，在别人眼里在好的墙你不会用就是垃圾！ 前面我已经在防火墙中提示大家注意浏览器，因为他是很多防火墙无法解决问题的根源。而这些问题在杀毒软件中也是无法解决。而且目前任何一款安全产品基本都是在系统已经感染的情况下进行处置的，而这些矛头又集中到浏览器上。我以前已经发了有关浏览器防御的帖子，真的希望大家看看。因为关于个人桌面安全我们真的走错了。要是这样走下去我们用户要成为系统安全专家，杀毒软件专家，防火墙专家.....一个全方位的安全专家这样现时吗？我们假象用户会面对任何安全威胁，但是我们用户的实际面对情况呢？就算可以我们的产品有能力解决任何问题，但是用户会使用吗？个人安全我们真的走错了路！ ………………

你的思维终究还是太 局限了,因为在你的眼里 攻击还是在02年,而防火墙依旧是单纯的防火墙

流光的没落,已经说明单纯的扫描器已经根本无效了,黑客的机子的带宽和硬件系统都是有限的扫描器效率的低下,你应该清楚以220.184.0.0-220.184.255.255 扫描这个网段 就要消耗好多小时了,但是收获呢? 几乎没有,因为只要开起了windows XP SP2的 自带墙这类 扫描就丝毫没有效果.所以从 03年开始,扫描网段的事情黑客已经早就不做了.

黑客也不会单纯地 用手工去突破单机(和你有仇除外)因为效率太低下.

那么 黑客要肉鸡,黑客要盗号/窃密.什么办法最好?
随便举两个例子好了

方法1
网页挂马
网页挂马分做两种

第一种 已知漏洞

只要访问者没有补丁,也没有有效的防火墙.其结果就1个-----中招

在没有补丁的前提下,要想不中招,就得依靠防火墙,我指的防火墙需要是特征过滤的防火墙,因为特征过滤的防火墙能够有效阻断 脚本病毒利用 漏洞下载木马

第二种
未知漏洞
确切说未知漏洞太多了,各式各样的0day 每天公布的至少不少于10组.那仅仅是公开的,掌握黑客内部的用于卖钱的更多

通过此类 方式传播的,补丁是别想了.所以这个完全是考验你的防火墙.
优秀的特征过滤防火墙在以往的行为特征演算中,应该推算出此类漏洞的行为特征,那么就可以阻断此类挂马方式. 但是强调一点 推算也会有漏算的情况,很正常的.至于前几天和人家讨论的 特征趋势自我学习 涉及人工智能的方面,目前的程序无法做到必要的精度,这里也就提一下.所以特征趋势分析这块依旧是要手工完成,这考验的是一个安全人员的能力,并不是大家都能做,所消耗的精力也是相当大.

方法2
通过P2P 的方式

基本上有两点

1 通过P2P 蠕虫.P2P 用的范围很广,此类蠕虫无需人员干预,投放到网络就行了,也没有什么补丁去防范他,只有通过 防火墙对P2P数据进行特征过滤

2 HASH伪造,从王小云教授 提出的MD5 碰撞理论,有些人说HASH校验依旧安全,实际上形式并不乐观,由此推出的 MD5值伪造,黑客完全可以利用这一点使你通过P2P 下载的程序被 绑马.

预防方式 同上

3 软件捆绑
软件捆绑 很简单,捆绑机 捆绑探测器 反捆绑探测器,这类软件黑客站上面多的是.
这里软件防火墙要做的事情有两点
1 和杀软联动 阻止木马进入内存
2 防止木马将信息回传给黑客.防止泄密和受控.

这里有用户谈到的leaktest 的几个程序.我强调一点就是
1 此类程序和木马的泄密方式并不完全一样.
2 厂商对此类程序处理方式不一样,有的不予处理 有的把其加入特征库,有的干脆把测试指向IP给屏蔽了,有的禁止其文件生成.方式多种多样.如果相信这个测试程序,只会误导你.

正确的测试方法

比如找到灰鸽子生成器 配置生成服务端 植入你要测试的机子,从另外的机子用主控端控制,看看是否成功.如果控制成功 那就说明墙被突破了

这才是真正的leaktest


对于普通用户 变成安全专家有这个可能,所有的专家也是这么一步步走出来的.但是绝大部分的用户是很难成为安全专家,兴趣 环境 专业知识的方向 天分 决定了这一切.

作为普通用户而言,能够正确选择安全产品,理解安全产品的运行原理,以及养成安全习惯和树立正确的安全观念,就做的很好了.不要求深入.

对于安全人员,必须跟的上网络安全/威胁的变化,在木马/蠕虫/病毒一体化和木马全端口化的今天,如果用旧的观点去解决现有的网络威胁,只能是 误人误己!

其实我们没有错误，必须全面分析现在的网络安全，黑客攻击个人计算机已经很难，没有00-02年那么简单，但是现在个人电脑安全的重点是什么，就是防范计算机病毒，其实也不能说是病毒，是现在曾出不穷的木马，这些木马一般都是杀毒软件所不能删除的，如果要分析这些木马，必须需要我们有一定的系统知识，如果删除木马，哪怕是在专业人员指导的情况下，我们也要会系统的基本操作，基本的软件应用，并不需要每一个人都是反病毒高手，但是需要每一个人都回应用软件，会有病毒意识

现在最可怕的就是，本来计算机中了网页木马，但是使用者并不知道，还正常得去使用，当QQ、网游、银行卡的密码丢失后才意识到，这是最可怕的，不仅给个人带来损失，而且这给木马制造者一种很好的发挥，很大的自信。

所以要增加安全，就要去学习计算机的一些基础知识，并不是像你说的那样，要变为什么什么专家

特意登录来支持14楼

1、我并不怀疑规则的作用，但是，规则越多，会不会重走现在的病毒库那样，变得越来越拥挤，越来越复杂，越来越效率低下呢？


2、现在我所掌握的中病毒，的确是浏览器端中毒较多。毕竟，B/S（Broswer/Server，浏览器/服务端）模式的成熟、“网络就是计算机”逐步变成现实的现状，给了很多木马有机之乘。在这里，搜索引擎（作为Server为Broswer提供Service的东西）成为了一个“帮凶”.......


3、

引用:

【taylor05771的贴子】 作为普通用户而言,能够正确选择安全产品,理解安全产品的运行原理,以及养成安全习惯和树立正确的安全观念,就做的很好了.不要求深入. ………………

从一个普通使用者的角度来说，这个要求不过分。只是更多的使用者希望电脑运用越简单越好。看电影都会中毒？听歌都会中毒？——这些在N年前不曾出现的问题现在却无奈的变成现实。当一个普通使用者被病毒纠缠不休的时候，他会觉得，自己已经变成了电脑的奴隶......这也是GHOST一族流行起来的原因之一......


至于安全习惯——如果安全观念都没有，如何叫他养成安全习惯？！然而观念不是说想树立就树立的。人最难转变的，除了性格，就是观念。特别是遇到一些赖皮的，你如何劝他都没有用。

当然我相信，电脑的普及，新一代的成长，能够做到以上要求的人会越来越多。


4、现在的网络世界不太平，经济利益远高于一切——不仅仅在中国，在全球都是这样。所谓的“英雄”就是能够获取利益最大化的人。这就不难解释为什么相当一部分人崇拜李俊。网络崇尚的“自由主义”，现在早已完全异化......


＝＝＝＝＝＝＝＝＝＝＝＝＝＝
作为菜鸟的确不太应该在这里发表自己的言论，道行不够，误人误己。审视一下，有点偏题。希望各位拍砖........

引用:

【horseluke11的贴子】1、我并不怀疑规则的作用，但是，规则越多，会不会重走现在的病毒库那样，变得越来越拥挤，越来越复杂，越来越效率低下呢？ 2、现在我所掌握的中病毒，的确是浏览器端中毒较多。毕竟，B/S（Broswer/Server，浏览器/服务端）模式的成熟、“网络就是计算机”逐步变成现实的现状，给了很多木马有机之乘。在这里，搜索引擎（作为Server为Broswer提供Service的东西）成为了一个“帮凶”....... 3、 引用: 【taylor05771的贴子】 作为普通用户而言,能够正确选择安全产品,理解安全产品的运行原理,以及养成安全习惯和树立正确的安全观念,就做的很好了.不要求深入. ……………… 从一个普通使用者的角度来说，这个要求不过分。只是更多的使用者希望电脑运用越简单越好。看电影都会中毒？听歌都会中毒？——这些在N年前不曾出现的问题现在却无奈的变成现实。当一个普通使用者被病毒纠缠不休的时候，他会觉得，自己已经变成了电脑的奴隶......这也是GHOST一族流行起来的原因之一...... 至于安全习惯——如果安全观念都没有，如何叫他养成安全习惯？然而观念不是说想树立就树立的。人最难转变的，除了性格，就是观念。特别是遇到一些赖皮的，你如何劝他都没有用。 当然我相信，电脑的普及，新一代的成长，能够做到以上要求的人会越来越多。 4、现在的网络世界不太平，经济利益远高于一切——不仅仅在中国，在全球都是这样。所谓的“英雄”就是能够获取利益最大化的人。这就不难解释为什么相当一部分人崇拜李俊。网络崇尚的“自由主义”，现在早已完全异化...... ＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 作为菜鸟的确不太应该在这里发表自己的言论，道行不够，误人误己。审视一下，有点偏题。希望各位拍砖........ ………………

1 规则不会 越来越多的,以规则包为例,其中的内置规则会不断地调整和精简,其中的算法也不断地改变.库的庞大和臃肿 不会出现的.

2 浏览器不过是现在比较容易利用的方式.如果没有浏览器的存在 也会产生别的利用方式.好比DOS下面依旧有DOS病毒


3 普通使用者也得掌握基本的安全知识.好比开车的多少会一点修车的技术一样.

4 没有什么不可能发生的事情,网络安全的意识培养 第一点就是抛弃你固有的旧观念.

5 在国内用户普遍为普通服务级的木马烦恼的时候,有人关注了rootkit 这是一个很好的现象.但是半年前,某人告诉我 国外已经有人研究 BIOS inject了.所以抛弃固有的旧观念很重要.这年头无数不可能正在变为现实.

及时打好系统补丁
安装个稍微合格的网络防火墙
良好的使用习惯

基本上没什么了。

引用:

【taylor05771的贴子】 5 在国内用户普遍为普通服务级的木马烦恼的时候,有人关注了rootkit 这是一个很好的现象.但是半年前,某人告诉我 国外已经有人研究 BIOS inject了.所以抛弃固有的旧观念很重要.这年头无数不可能正在变为现实. ………………

国外何止BIOS inject？CPU都有人研究了。

《决战恶意代码》（2005年出版；http://www.broadview.com.cn/book.aspx?bookid={97BE94F1-1645-415C-971A-45238B9B9C50}）在里面就已经提及过了......

偏题了，关于微代码型病毒就此打住......

引用:

【taylor05771的贴子】 1 规则不会 越来越多的,以规则包为例,其中的内置规则会不断地调整和精简,其中的算法也不断地改变.库的庞大和臃肿 不会出现的. ………………

对于瑞星防火墙，也许是，因为你们规则组开发力度比较大的是这个（这个从很多方面都可以看出来）。但是其他呢？例如金山网镖，我很难看出有算法在里面，我只是看到一条条的规则。我进行过测试，一旦启用你们的规则包，我连检测学校流量的页面（端口：8888）都不可以，更别说网络电视（甚至出现开网络电视，金山网镖拦截过多出现假死）......在这种情况下，规则包会不会走向我所担心的方向？

引用:

【horseluke11的贴子】 国外何止BIOS inject？CPU都有人研究了。 《决战恶意代码》（2005年出版；http://www.broadview.com.cn/book.aspx?bookid={97BE94F1-1645-415C-971A-45238B9B9C50}）在里面就已经提及过了...... 偏题了，关于微代码型病毒就此打住...... ………………

CPU病毒么 早就有了 比BIOS inject 要早 大概早 3个月左右

不过你那一本书 没有关于CPU 病毒的描述,而且那本书的翻译 真是一塌糊涂

引用:

【horseluke11的贴子】 对于瑞星防火墙，也许是，因为你们规则组开发力度比较大的是这个（这个从很多方面都可以看出来）。但是其他呢？例如金山网镖，我很难看出有算法在里面，我只是看到一条条的规则。我进行过测试，一旦启用你们的规则包，我连检测学校流量的页面（端口：8888）都不可以，更别说网络电视（甚至出现开网络电视，金山网镖拦截过多出现假死）......在这种情况下，规则包会不会走向我所担心的方向？ ………………

金山网镖属于端口强制关闭的墙

他根本不属于 特征过滤的防火墙


在木马全端口化的今天 弊端比较多,所以一直不更新金山的规则就是原因在此

引用:

【taylor05771的贴子】 不过你那一本书 没有关于CPU 病毒的描述,而且那本书的翻译 真是一塌糊涂 ………………

这也是，很多翻译看的头晕，还不如看English原版。可惜自己菜，不可能看明白English Version（实际上也买不到，呵呵）

引用:

【taylor05771的贴子】 5 在国内用户普遍为普通服务级的木马烦恼的时候,有人关注了rootkit 这是一个很好的现象. ………………

之所以出现这样的现象，是因为人们在研究Windows的普通服务级(ring 3级别)不久就发现，与其RING3，还不如用ROOTKIT(ring 0级别)，因为它可以比RING 3更好的达到自己的邪恶目的。因此焦点就立即转换成ROOTKIT。这有点像在超市买东西，人们在那里拿了一个苹果，然后不久就在另外一边发现更便宜的香蕉，结果扔掉苹果买香蕉了（举例很不恰当 ）

这里涉及太多，首先生成木马对启发的查杀效果。其次防火墙功能越来越多体积也在不断增大。最关键我们涉及甚多“高难度”的东西但是最关键是操作性。普通用户操作性！在面对黑客的战斗中被攻击者永远都是处在下风，问题的是我们给用户一个什么样安全环境。用户会怎么用......我们拿都是理论上的数据，实际上有什么数据呢？我做个人安全领域已经6年分析的防火墙数据是什么样的，系统日记是什么样。一次实际的测试。结果呢？当安全复杂到用户不会使用的地步就没有安全了，防火墙的意义其实仅仅只是控制和管理。这万变不离其宗的。数据流，加密挟持等等都是无解决的，但是我们不能把什么一切弱项和强项请进比较只是不现实的。

下面附上一段文字

马尔科斯是世界知名的安全专家，被公认为是代理防火墙的发明人，是第一个商业防火墙和早期的入侵检测系统的实现者，获得互联网安全大会（TISC）的 CLUE大奖和ISSA终身成绩奖等多项奖项。马尔科斯从事安全工作已有16年之久，比商业互联网的历史还长六七年，网民多称他为“防火墙之父”。这位搞安全的老人，最近说自己在“浪费时间”。研究一下他的安全观，对我们或许有帮助。

　　他认为，现在人们把安全搞得很难、很复杂、很神秘、很玄、很时髦，也很前卫。人们对待网络安全就像对待火箭科学，甚至是像对待犯罪现场取证的学问一样，但事实是，计算机和网络安全真的是一件相当简单的事情。

　　安全不是做多复杂多聪明的事情，而是不要做些蠢事。我们想安全地做一些危险而又蠢的事情，付出的代价必然很高。现实中，这条规则是如此清楚地影响到我们的生活，吃野生动物是危险的，有带来SARS的危险；如果非要吃，付出的代价将是巨大的。

　　这条规则也反映在人的健康问题上，一个人吃得太多了，就会长胖，身体的健康程度就不会太好。想保持自己的健康，控制饮食可能是好办法，而不是减肥，减肥不是健康的好办法。同样的道理，要保持计算机和网络的安全，少干一些不必要的应用如聊天、游戏等，可能是最好的办法。不要指望，干很多危险的事情，将自己处于危险之中，然后再想办法来免遭威胁和保证安全。

　　马尔科斯说自己在“浪费时间”，原因是他从事的是“减肥”安全。等他发现了这个问题才恍然大悟，于是提出了一个有趣的理论，“低碳安全（low-carb security）”，即低碳水化合物，就像素食一样。说到素食，它肯定有效，但实际上是一个很难的选择。难就难在让人们都去吃素食，都不吃大鱼大肉。另外一个简单、经济、有效的选择是，少吃点，多锻炼。

　　在网络安全问题上，人们往往不是安全地去运行少数必要的网络服务，而是开放很多的不安全、不必要的服务，甚至是一些特别不安全，如隧道的应用，然后耗费大量的时间和金钱，企图把这些不安全的应用变成安全的。就像胖子一样，先痛快地大吃，变成了胖子，然后，再花钱来减肥，企图保证自己的健康。马尔科斯本身在这种模式下努力了16年，也没有看希望。最近一个网络上的帖子询问，为什么安全这东西这么难？有没有什么简单有效的办法指南？他才突然地意识到这个道理。他把这套安全理论总结为“少吃点，多锻炼”。

　　马尔科斯基于这套理论，对网络安全开出了安全药方。其基本的内容是：

　　所有缺省的安全策略是拒绝所有（Deny All），然后只准许哪些是必须的服务。尽可能少地提供服务，记录这些服务的使用日志，对应用的错误进行检测，当然你也可以进行入侵检测。了解网络上在跑些什么，如果管理员不知道网络上在跑什么东西，怎么保安全？内部尽可能隔离。隔离往往是最好的办法。不安全格式的内容尽可能不要流入内部，除非它是从可靠渠道来的。了解防火墙上流出的流量是什么，如果你了解了，你就不需要什么高级东西来判断木马、间谍软件、病毒、非授权访问等。最好全部七层都进行控制，而不只是一层，深层防御不是只在一层。不要浪费时间天天打补丁，如果你天天在大补丁，你已经被误导。移动办公隔离到一个独立的区，移动办公很好，可是不安全。防病毒软件很好，但不要指望天天升级。最好了解内部网络上使用的都是些什么软件。不要指望用户理解你的安全策略是什么，简单地说明该怎么做。安全外包是一个坏办法，除非你可以接受你的安全可以交给别人把握。

　　马尔科斯相信这是一个简单而强大的主意。假如你采取了这些措施，你可能永远不会被黑。

　　“少吃点，多锻炼，相信我，它非常有效”。

等级够了..功力不够..暂时不看了..(看不懂)

友情路过^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

引用:

【tom2000的贴子】这里涉及太多，首先生成木马对启发的查杀效果。其次防火墙功能越来越多体积也在不断增大。最关键我们涉及甚多“高难度”的东西但是最关键是操作性。普通用户操作性！在面对黑客的战斗中被攻击者永远都是处在下风，问题的是我们给用户一个什么样安全环境。用户会怎么用......我们拿都是理论上的数据，实际上有什么数据呢？我做个人安全领域已经6年分析的防火墙数据是什么样的，系统日记是什么样。一次实际的测试。结果呢？当安全复杂到用户不会使用的地步就没有安全了，防火墙的意义其实仅仅只是控制和管理。这万变不离其宗的。数据流，加密挟持等等都是无解决的，但是我们不能把什么一切弱项和强项请进比较只是不现实的。 下面附上一段文字 马尔科斯是世界知名的安全专家，被公认为是代理防火墙的发明人，是第一个商业防火墙和早期的入侵检测系统的实现者，获得互联网安全大会（TISC）的 CLUE大奖和ISSA终身成绩奖等多项奖项。马尔科斯从事安全工作已有16年之久，比商业互联网的历史还长六七年，网民多称他为“防火墙之父”。这位搞安全的老人，最近说自己在“浪费时间”。研究一下他的安全观，对我们或许有帮助。 　　他认为，现在人们把安全搞得很难、很复杂、很神秘、很玄、很时髦，也很前卫。人们对待网络安全就像对待火箭科学，甚至是像对待犯罪现场取证的学问一样，但事实是，计算机和网络安全真的是一件相当简单的事情。 　　安全不是做多复杂多聪明的事情，而是不要做些蠢事。我们想安全地做一些危险而又蠢的事情，付出的代价必然很高。现实中，这条规则是如此清楚地影响到我们的生活，吃野生动物是危险的，有带来SARS的危险；如果非要吃，付出的代价将是巨大的。 　　这条规则也反映在人的健康问题上，一个人吃得太多了，就会长胖，身体的健康程度就不会太好。想保持自己的健康，控制饮食可能是好办法，而不是减肥，减肥不是健康的好办法。同样的道理，要保持计算机和网络的安全，少干一些不必要的应用如聊天、游戏等，可能是最好的办法。不要指望，干很多危险的事情，将自己处于危险之中，然后再想办法来免遭威胁和保证安全。 　　马尔科斯说自己在“浪费时间”，原因是他从事的是“减肥”安全。等他发现了这个问题才恍然大悟，于是提出了一个有趣的理论，“低碳安全（low-carb security）”，即低碳水化合物，就像素食一样。说到素食，它肯定有效，但实际上是一个很难的选择。难就难在让人们都去吃素食，都不吃大鱼大肉。另外一个简单、经济、有效的选择是，少吃点，多锻炼。 　　在网络安全问题上，人们往往不是安全地去运行少数必要的网络服务，而是开放很多的不安全、不必要的服务，甚至是一些特别不安全，如隧道的应用，然后耗费大量的时间和金钱，企图把这些不安全的应用变成安全的。就像胖子一样，先痛快地大吃，变成了胖子，然后，再花钱来减肥，企图保证自己的健康。马尔科斯本身在这种模式下努力了16年，也没有看希望。最近一个网络上的帖子询问，为什么安全这东西这么难？有没有什么简单有效的办法指南？他才突然地意识到这个道理。他把这套安全理论总结为“少吃点，多锻炼”。 　　马尔科斯基于这套理论，对网络安全开出了安全药方。其基本的内容是： 　　所有缺省的安全策略是拒绝所有（Deny All），然后只准许哪些是必须的服务。尽可能少地提供服务，记录这些服务的使用日志，对应用的错误进行检测，当然你也可以进行入侵检测。了解网络上在跑些什么，如果管理员不知道网络上在跑什么东西，怎么保安全？内部尽可能隔离。隔离往往是最好的办法。不安全格式的内容尽可能不要流入内部，除非它是从可靠渠道来的。了解防火墙上流出的流量是什么，如果你了解了，你就不需要什么高级东西来判断木马、间谍软件、病毒、非授权访问等。最好全部七层都进行控制，而不只是一层，深层防御不是只在一层。不要浪费时间天天打补丁，如果你天天在大补丁，你已经被误导。移动办公隔离到一个独立的区，移动办公很好，可是不安全。防病毒软件很好，但不要指望天天升级。最好了解内部网络上使用的都是些什么软件。不要指望用户理解你的安全策略是什么，简单地说明该怎么做。安全外包是一个坏办法，除非你可以接受你的安全可以交给别人把握。 　　马尔科斯相信这是一个简单而强大的主意。假如你采取了这些措施，你可能永远不会被黑。 　　“少吃点，多锻炼，相信我，它非常有效”。 ………………

所以说你还是 没有抛弃旧的观念.

对于拒绝所有（Deny All），然后只准许哪些是必须的服务 不是翻译错误就是理论过时.
不管怎么说 这个是错误的.随便举几个例子.

以web 服务器为例

当你的 服务器 对外提供 web服务的时候,即使你开启最少的服务,只要你的网站程序不严密,比如存在SQL注入,黑客盯上了 照样被黑


另外 前段时间 MS 的DNS 0day 对于DNS服务器来说 对外提供DNS DNS 服务是必须开启的.

那么拒绝所有（Deny All），然后只准许哪些是必须的服务 这个理论直接崩溃了.


桌面安全也是如此

前段时间 ANI 漏洞 基于IE 浏览器以及系统的漏洞,你根本没有服务可关.拒绝所有（Deny All），然后只准许哪些是必须的服务的理论再次被崩溃了

继续前两天发现的0day 关于macfee的.作为杀软而言 macfee必须加载 拒绝所有（Deny All），然后只准许哪些是必须的服务的理论又崩溃了


再继续 更早的 QQ的溢出漏洞 即使你不开启QQ 只要你的QQ存在漏洞,访问漏洞利用页面,该漏洞被触发,黑客就能完全控制你的机子了.


虽然你可能没有开启QQ QQ只是 默默的装在你的机子上面了.

拒绝所有（Deny All），然后只准许哪些是必须的服务 的理论再次崩溃了


5月微软修复的19处漏洞除了DNS和桌面无关,其余的一概都是日常使用的.
也就是说 你无法关闭的.

拒绝所有（Deny All），然后只准许哪些是必须的服务的理论 再次被否决了.

对于那些自生服务的就更没有任何作用了,比如灰鸽子 植入的时候即使你其他服务都关闭了
鸽子照样植入,为何? 鸽子 自己创建服务 呵呵

对于那些纯内存的木马 举个熟悉的例子 byshell 无文件 无进程 无服务,本身就和你系统的服务就无关!

说了这么多,终究归纳了就这么几点

1 这个理论是非常片面的

2 即使你开启最小的权限,依旧是不安全.尤其在桌面系统中,权限几乎是没有意义的.

3 大师的话,也有错的时候,尤其是经过翻译的话,出错的可能性更高.

4 拒绝所有（Deny All），然后只准许哪些是必须的服务.这个理论传到国内早已过时.何况这根本不适合桌面系统.

那现在比较好的防火墙是什么啊