瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 【求助】关于CIS的NETWORK SETTINGS
超级游戏迷 - 2008-10-28 21:57:00
我是彻底拔掉网线安装CIS的,安装完成后发现自己的网络知识严重欠缺,主要体现在对以下FIREWALL的各个项目的设置心中无数。请hotboy大版主能简单解答下我下面的几个提问(点到为止即可):

1、Stealth Ports Wizard(隐藏端口向导)
对它的注释还算清楚,应该是“该向导允许你创建一个影响其他计算机可见程度的全局防火墙规则”,但之后出现的对话框就很陌生了。类似我这样的家庭ADSL宽带拨号用户该选择哪一项呢?
(1)define a new trust network stealth my port to everyone(定义一个新的向任何人隐藏自身端口的网络)
(2)alert me to incoming connecions stealth my port on a per-case basis(出现陌生网络接入时发出警告)
(3)block all incoming connections stealth my port to everyone(阻碍所有网络接入,并向所有人隐藏自身端口)
从英文注释来看,第三项目应该是最安全的选项,但不知是否会影响类似迅雷等BT下载工具的运行(第三项中的block all incoming connections这个注释该如何理解?)?



2、my port set(我的端口设置)
象现在我的机这样的全裸机,在联网之前,是否应该首先在这里禁掉一些危险端口(如135、445、3389等,CIS默认规则中没有屏蔽这些危险端口)?如果不设置就联网是否安全?

3、my network zone(我的网络地带)
在断网安装CIS后,此处只有一个规则,即ILOOPBACK ZONE(返回地带),下面有个IP IN [127.0.0.1/255.0.0.0]的项目。这个IP地址的意思我是清楚的。但所不了解的是,联网后,是否需要在这里手工设置IP地址、默认网关、子网掩码和DNS服务器地址?如果要设置,又该如何设置呢(a host name这个项目该如何填写?a mac adress这个项目是否CIS能自动识别)?





现在机器还处在物理断开网络连接的状态中,我也看了帮助文件,但由于英语水平和网络知识不济,有点糊涂,希望hotboy大版主不吝赐教。

这里先行谢过……:default7:

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
hotboy - 2008-10-29 0:21:00
1、Stealth Ports Wizard的选择将直接影响全局规则,adsl可以直接应用第三项,不影响迅雷等使用,block all incoming connections注释翻译成选择这个选项意味着你的电脑所有端口在网络上都是隐藏的,防火墙将阻止所有的连入请求,家庭用户使用这个选项是最方便和最安全的。选择这一项表示你的端口对所有网络都是不可见的,不管你是否信任它们。家庭用户(使用单台电脑没有组成家庭局域网)会发现这是最方便安全的。当有联入请求时自动阻止并没有提示。你可以观察summary面板中network中inbound将永远为零,说明comodo阻止了所有进站。这个选项记录日志。
2、my port set中只是设置端口分组功能,要阻止相应端口,需要在防火墙规则中使用全局规则来设置,可以参考相应软件在此增加端口分组,比如P2P组、迅雷端口组、危险端口组等,不设置就联网基本上安全,因为上一个设置已经隐藏了所有端口,并且全补丁的话并不危险,不过还是设置一下好。比如新建一个Dangerous Ports 危险端口组,添加:135、137-139、445,全局规则里可以添加Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
3、my network zone,Loopback Zone 确切意思是本地环回地址,加了掩码是为了防止伪造地址。adsl上网并不需要设置什么,这个模块主要是设置网络组,方便以后设置防火墙规则。设置网络组的好处是可以方便的进行配置,允许还是拒绝访问。比如你可以把某一网络组在“隐藏端口配置”中设置为信任并允许访问本机。或者把网络组添加到“我的阻止网络区”禁止它访问本机。
超级游戏迷 - 2008-10-29 0:29:00
谢谢 hotboy,我明白了……:default7:
超级游戏迷 - 2008-10-29 2:33:00


引用:
原帖由 hotboy 于 2008-10-29 0:21:00 发表
比如新建一个Dangerous Ports 危险端口组,添加:135、137-139、445,全局规则里可以添加Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
大版主上面所说的这个步骤,经过琢磨现已完成,不知是否理解正确:

第一步:在【firewall】---【common task】---【my port sets】下,新建一个Dangerous Ports 危险端口组,如图1:


第二步:在【firewall】---【advanced】---【network security police】---【golbal rules】下,新建一个block dangerous ports项目,设置情况分别如下:
图2:


图3:


图4:


图5:


图6:
超级游戏迷 - 2008-10-29 2:56:00
明天的问题,hotboy的头发要白了……:default6:

刚才试着用这个裸机上了网,升了下级,然后通过查看SUMMARY界面下ND的提示,发现三个SVCHOST.EXE的连接请求被拒绝,可能设置还是有问题:
图7:


怀疑与【firewall】---【advanced】---【firewall behavior settings(防火墙行为设置)】的设置有关,下面是我的设置:
图8:


图9:


上面两个设置都是粗粗看了各安全级别的注释后临时设置的,可能存在一些理解上问题……:default24:
天月来了 - 2008-10-29 11:20:00
偶尔路过

这英文的实在看不了

反正还有其他好玩的软件

这毛豆就先不玩了
超级游戏迷 - 2008-10-29 14:25:00


引用:
原帖由 天月来了 于 2008-10-29 11:20:00 发表
偶尔路过

这英文的实在看不了

反正还有其他好玩的软件

这毛豆就先不玩了
玩一下,要不然英语全忘完了……:default2:
hotboy - 2008-10-29 22:07:00
基本是正确的,TCPorUDP那里只禁用out就可以了,不用in/out

firewall behavior settings尽量调高等级,一般设置选第二个,报警设置选very
超级游戏迷 - 2008-10-29 23:14:00


引用:
原帖由 hotboy 于 2008-10-29 22:07:00 发表
基本是正确的,TCPorUDP那里只禁用out就可以了,不用in/out

firewall behavior settings尽量调高等级,一般设置选第二个,报警设置选very
感谢指正……:default7:

看了下http://bbs.kafan.cn/viewthread.php?tid=174493这个帖子,如果能彻底读懂它,基本也就差不多了,不

过以我现有的水平……:default20:
超级游戏迷 - 2008-10-29 23:23:00
哈哈终于明白了,Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]这个规则名称实际上已经指明了方向是“out from IP any(本机任意IP)to IP any(目标j计算机任意IP)”,数据包传输方向相对与本机而言是一个OUT行为,所以只要选择“OUT”即可……:default15:
hotboy - 2008-10-30 1:15:00
已升级至3.5.54375.427
超级游戏迷 - 2008-10-30 2:33:00
已更新,感谢提醒……:kaka12:

仍在研究中,如有问题的话再与你联系……:kaka9:
1
查看完整版本: 【求助】关于CIS的NETWORK SETTINGS