瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星2009公测 » 瑞星2009测试版问题反馈 » 瑞星个人防火墙2009公测 » 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议
K的二次方 - 2008-10-22 1:04:00
    瑞星杀毒软件2009公测版出炉后,防火墙也随之出炉。经过一段时间的测试,发现了瑞星2009防火墙的许多新功能,同时也发现了其中的一些不足。
    安装过程
   








在安装过程中,出现了网络程序设置界面,对常见的访问网络的应用程序设置访问规则。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727)
K的二次方 - 2008-10-22 1:06:00
安装后的设置界面



“云安全”:2009版防火墙新增的入侵检测功能可以拦截到一些利用系统以及第三方软件漏洞传播的网马,这样便可以收集更多的可疑网址,并将他们上传到瑞星服务器为大家共享。但上报可疑文件一项不知是如何实现的,测试中未发现防火墙有检测可疑文件的功能。





局域网可信区设置





ARP欺骗设置





09系列新增加的瑞星密码功能在防火墙中的体现。
K的二次方 - 2008-10-22 1:13:00
打开瑞星防火墙主界面,发现和08版的墙有了很大变化。



工作状态界面





系统信息-网络连接 (可以看到目前联网的程序以及他们连接的IP地址)
K的二次方 - 2008-10-22 1:15:00

系统信息-进程信息 (右键可以结束/挂起相应进程,查看文件属性,上报可疑文件,另外还可以通过加亮微软和瑞星签名项排除一些非病毒进程,对于病毒排查有一定帮助)


双击某个进程


有该进程的基本信息,模块列表和该进程的网络连接情况
我们可以看到瑞星可以对该进程的数字签名进行验证,有助于手动杀毒。


该进程加载的模块列表。但这里却没有对所有加载的模块进行数字签名认证。




查看该进程的网络连接情况。


K的二次方 - 2008-10-22 1:16:00


09版变动最大的地方在这里,把原先瑞星防火墙的很多防御体系做了重新整合。这里我们可以把09版防火墙的防御体系分为两种:防外和防内。通俗的说分为病从口入关和祸从口出关。
K的二次方 - 2008-10-22 1:17:00
病从口入关(防外):
网络攻击拦截
恶意网址拦截
Arp欺骗防御


祸从口出关(防内):
应用程序网络访问监控
出站攻击防御

传统规则设置

病从口入关
1.
网络攻击拦截
这个功能是瑞星09防火墙的一个最新功能,他能根据已经设置好的内置规则将符合规则的利用漏洞传播的数据包拦截在电脑外部,不再单单依靠杀毒软件等到病毒进入到系统内才查杀,是瑞星防火墙的一大突破。后面我们将看到它的巨大威力。


        2.  恶意网址拦截
由瑞星08的网址过滤发展而来。


可以拦截瑞星防火墙内置的恶意网址,也可以自定义网址黑名单。基于瑞星2009杀毒软件反挂马模块和瑞星“云”安全计划的实施,我们相信瑞星的恶意网址库更新会是最快的。同时令我们欣喜的是,瑞星09可以控制任何程序(浏览器)访问某个恶意网址。稍后我们将做测试。


K的二次方 - 2008-10-22 1:21:00
3.  Arp欺骗防御

08的基本相同,唯一不同的是增加了本机向外发送虚假arp数据包的监控。实现了双向监控。




祸从口出关(防内):
1. 应用程序网络访问监控
  这个也就是原先的访问规则模块和模块规则的整合。



程序访问规则。这里面我们可以看到瑞星默认的规则中去掉了很多不必要且很“危险”的规则。在2008防火墙中Explorer.exe,winlogon.exe等进程是默认允许访问网络的,但这些进程在实际中是不应该访问网络的,这便给病毒一个“契机”。直接注入到类似进程中便可“穿透”防火墙。09在这方面只保留了alg.exe,lsass.exe,svchost.exe这三个确实需要访问网络的程序规则。其他的需要用户确认或者智能判定。





模块访问规则。这个规则在08中默认不启动,怕给用户太多提示。而09中默认勾选,这样就可以防止那些利用dll注入其他进程访问网络的情况。





模块访问询问对话框
K的二次方 - 2008-10-22 1:22:00


几个设置选项。其中瑞星信任程序智能识别模式一方面可以方便用户,不给用户带来更多提示;但同时也会给病毒带来便利,后面我们将说到这点。


2. 出站攻击防御



这也是瑞星09的一个新功能,目的是防止本机过多的往外发包。在局域网中最能体现出来,可以防止本机对外攻击其他局域网中的机器。
K的二次方 - 2008-10-22 1:25:00
传统规则设置:



黑名单功能:防止指定IP的机器攻击本机。



相对于黑名单而言,白名单对本机的访问则完全不受限制。





端口开关:可以设置禁止或者开启本机上的某个端口。







可信区





IP规则。高级用户可以自行配置规则。
K的二次方 - 2008-10-22 1:27:00
瑞星2009测试试验。
1.
arp双向拦截试验
使用arp欺骗工具对局域网中的其他机器进行arp欺骗,瑞星能拦截到本机向外发送的伪造数据包。




2.
恶意网址拦截控制其他浏览器功能
在恶意网址拦截的监控程序部分加上opera.exe。(监控opera




并在网站黑名单中加入www.baidu.com
之后使用opera访问www.baidu.com 我们可以看到防火墙阻止了opera对该网站的访问。



3.
网络攻击拦截的试验
没有对该项所有规则进行检验,只是访问了几个恶意网址。看到的效果如下



该功能配合瑞星杀毒软件2009的反挂马技术能够拦截到几乎所有的恶意网址。
K的二次方 - 2008-10-22 1:28:00
总结一下,我们可以看出瑞星防火墙2009具有以下几大亮点:
亮点之一:网络攻击拦截
亮点之二:恶意网址拦截可以控制任何浏览器
亮点之三:增加了arp欺骗的双向拦截

另外在测试中发现了一些不足,现提出,希望今后在正式版中能够改进。
1.
瑞星智能判别模式的问题
测试中发现瑞星的访问规则智能判别模式有时候会帮助病毒访问网络,因为有的病毒会启动一个正常的程序,并写内存或者创建远程线程访问网络,如果病毒此时调用msn访问网络,msn是具有数字签名的,瑞星会自动放过,充当病毒的帮凶。建议改进瑞星智能判别规则。当且仅当explorer.exe等程序(用户点击)启动正常的程序的时候才放过。
2.
增加判断其他进程调用已经允许访问网络的程序的判定
很多病毒(如灰鸽子)会启动一个IE进程访问网络,而IE默认是允许访问网络的,因此此时防火墙需要做一个智能判断,判断该IE是否是被其他可疑进程启动后才访问网络的。防止此类病毒在防火墙眼皮底下做坏事。

以上就是本人对于瑞星2009防火墙的一点测试建议,希望工程师采纳,同时祝愿瑞星2009越来越强大!
majia001 - 2008-10-22 1:43:00
楼主发帖辛苦了,帖子很精彩。
二楼时已经见到,不过估计是长贴,不插楼,等发完再顶。



引用:

“云安全”:2009版防火墙新增的入侵检测功能可以拦截到一些利用系统以及第三方软件漏洞传播的网马,这样便可以收集更多的可疑网址,并将他们上传到瑞星服务器为大家共享。但上报可疑文件一项不知是如何实现的,测试中未发现防火墙有检测可疑文件的功能。

同问。

询问框有改进……估计不少人提过,到09才变……汗……

貌似瑞星防注入之类还是一般般,不过配合杀软主防,防毒防马还过得去。
瑞星工程师13 - 2008-10-22 9:54:00
感谢您的对瑞星产品的深入测试及解析。

您的意见建议我们已经收集反馈。
逗你玩xixi - 2008-10-22 11:54:00
不错的文章对新生很有帮助。。和了解各个功能的用处。。
rav狂 - 2008-10-22 13:39:00
:kaka1: :kaka1: 好贴一定要顶,希望能看到楼主更多此类的测评.
killvxk - 2008-10-22 13:58:00
该用户帖子内容已被屏蔽
熔今铸古 - 2008-10-22 17:17:00
没有说明实质的问题。
wzefsf - 2008-10-23 18:24:00
该用户帖子内容已被屏蔽
dengnj1980 - 2008-11-1 0:06:00
该用户帖子内容已被屏蔽
1
查看完整版本: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议