瑞星卡卡安全论坛

2010年2月2日[认识、掌握、使用瑞星防火墙2010版]-讲义

讲师：万事达

本次课程答疑时间：2010年2月2日（周二）14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

本次课程作业：无

认识、掌握、使用瑞星防火墙2010版讲义：http://bbs.ikaka.com/showtopic-8643544.aspx

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; InfoPath.2)

坚持呀，努力学习，加油！

没人:kaka2: ，继续学习:kaka17:

:kaka2: 提问 ：1.    1.0.0.2 是IP        1.0.0.1是网关      到底是网关在进行DNS查询还是1.0.0.2进行DNS查询？DNS查询完反馈后的情况又是怎样的？

            2. 网关会去先找IP 然后再找IP对应的MAC地址（ARP欺骗简单说就是修改ARP表中IP地址对应的MAC地址，和修改网关）我这么理解有没有错？

            3 .举个路由欺骗的实例吧

            4.防火墙的IP过滤和WINDOWS的IP安全策略的优先级是怎样的？会不会冲突？

好好学习，天天向上:kaka12:

问题:
ARP表和DHCP服务器所所管理的东西是一样的吗?(个人理解里面的内容是一样的,但是感觉还是还是有区别的,请老师指点)

是报头

简单说，IPV4报头是把上一层的数据加上了源IP地址和目标IP地址，详见如下

IPV4报头有12个必需的字段和可选IP选项字段，位于要发送的数据之前。如果使用IP层已有的库或其他组件，一般不必考虑报头中的大多数字段，但程序代码需要提供源端和目的端地址。
1、版本（4比特）
IP协议版本已经经过多次修订，1981年的RFC0791描述了IPV4，RCF2460中介绍了IPV6。
2、报头长度（4比特）
报头长度是报头数据的长度，以4字节表示，也就是以32字节为单位。报头长度是可变的。必需的字段使用20字节（报头长度为5，IP选项字段最多有40个附加字节（报头长度为15）。
3、服务类型（8比特）
该字段给出发送进程建议路由器如何处理报片的方法。可选择最大可靠性、最小延迟、最大吞吐量和最小开销。路由器可以忽略这部分。
4、数据报长度（16比特）
该字段是报头长度和数据字节的总和，以字节为单位。最大长度为65535字节。
5、标识符（16比特）
原是数据的主机为数据报分配一个唯一的数据报标识符。在数据报传向目的地址时，如果路由器将数据报分为报片，那么每个报片都有相同的数据标识符。
6、标志（3比特）
标志字段中有2为与报片有关。
位0：未用。
位1：不是报片。如果这位是1，则路由器就不会把数据报分片。路由器会尽可能把数据报传给可一次接收整个数据报的网络；否则，路由器会放弃数据报，并返回差错报文，表示目的地址不可达。IP标准要求主机可以接收576字节以内的数据报，因此，如果想把数据报传给未知的主机，并想确认数据报没有因为大小的原因而被放弃，那么就使用少于或等于576字节的数据。
位2：更多的报片。如果该位为1，则数据报是一个报片，但不是该分片数据报的最后一个报片；如果该位为0，则数据报没有分片，或者是最后一个报片。
7、报片偏移（13比特）
该字段标识报片在分片数据报中的位置。其值以8字节为单位，最大为8191字节，对应65528字节的偏移。
例如，将要发送的1024字节分为576和424字节两个报片。首片的偏移是0，第二片的偏移是72（因为72×8＝576）。
8、生存时间（8比特）
如果数据报在合理时间内没有到达目的地，则网络就会放弃它。生存时间字段确定放弃数据报的时间。
生存时间表示数据报剩余的时间，每个路由器都会将其值减一，或递减需要数理和传递数据报的时间。实际上，路由器处理和传递数据报的时间一般都小于1S，因此该值没有测量时间，而是测量路由器之间跳跃次数或网段的个数。发送数据报的计算机设置初始生存时间。
9、协议（8比特）
该字段指定数据报的数据部分所使用的协议，因此IP层知道将接收到的数据报传向何处。TCP协议为6，UDP协议为17。
10、报头检验和（16比特）
该字端使数据报的接收方只需要检验IP报头中的错误，而不校验数据区的内容或报文。校验和由报头中的数值计算而得，报头校验和假设为0，以太网帧和TCP报文段以及UDP数据报中的可选项都需要进行报文检错。
11、源IP地址（32比特）
表示数据报的发送方。
12、目的IP地址（32比特）
表示数据报的目的地。





自己百度看一下不就知道了

提问
1瑞星防火墙默认为什么把arp欺骗关闭呢，从哪方面考虑的？
2瑞星防火墙通过什么机制识别出机器在受僵尸网络"控制"？识别僵尸网络"攻击"是单从包的接收频率考虑的吗？
谢谢老师。。

ip包头是版本吧！

ARP欺骗主要是发生在局域网中，个人用户因为是直接与互联网相连接的，所以默认没有必要打开arp欺骗防护

谢谢你哦`我BAIDU了,不过因为我搜的是包头....

相关的有关ip包头内容请查看http://cisco.chinaitlab.com/TCP/798054.html
ARP表和DHCP服务器所所管理的东西完全不一样
arp表负责mac地址与ip地址的一一对应。dhcp服务器是在电信ppoe网络服务终端进行发放ip地址的.相关详细内容请百度

提问
1.tcp/ip客户程序为什么使用大于1023的随机分配端口？
2.为什么unix上的root用户可以访问1024以下的端口？
3.协议栈不太明白？

对于IP包过滤的设置有点问题
里面有一条是  禁止TCP135 445，状态是拒绝。
左键点击“拒绝”，弹出一个菜单，里面有放行和拒绝
这样以来就有4种状态
打勾+放行
不打勾+放行
打勾+禁止
不打勾+禁止
按理来说，只要两种状态即可，为何要弄出4中状态，而且有歧义，分不清到底哪种状态是禁止TCP135 445
请老师指点:kaka4:

1.tcp/ip客户程序使用从1024到65535的端口是因为一个系tcp/ip客户程序进程需要网络通信时，它向主机申请一个端口，主机从1024到65535中可用的端口号中分配 一个供它使用。当这个客户程序关闭时，同时也就释放了所占用的端口号。1024到55535为动态端口的范围:kaka12:
2.协议栈是指网络中各层协议的总和，相关内容请百度，参考网络7层模型:kaka9:

提问
RPC的NFS服务？
ACK位不明白？
UDP没有ack位的原因？
icmp消息？

本人不懂防火墙故今天本人不解答:kaka5:

ack就是客户端的确认字符 ，TCP/IP协议中接收站发给发送站一个ack用于确认发来的数据已经接受无误。udp没有ack的原因是udp采用广播形式，不需要确定接收端是否收到数据包。icmp用于在IP主机、路由器之间传递控制消息，比方说ping命令就是使用的icmp协议

1、防火墙对一般用户而言的意义是什么？
2、对反弹木马拦截作用明显吗？特别是插入IE进程的那种
3、若将本软件部署到网关服务器，同时开启ARP防御功能，则出站的数据会被判定为ARP对外攻击而被拦截吗？
4、若本机中了ARP病毒，能不能拦截并定位到病毒程序？

防火墙可不可以把网络中传播的数据中的病毒过滤掉呢？
防火墙可以主动将网络中传播的病毒杀掉？
现在的主动防御是在病毒启动之前进行防御，还是病毒启动之后的防御？

防火墙不会把数据中的病毒过滤掉而留下数据，只会将含有病毒的数据包丢弃掉，据我所知的防火墙不具备杀毒功能吧……:kaka1:

今天来晚了~~:kaka4:

1：Mac地址和网关双向绑定就可以防止ARP欺骗了吗？
2：动态IP（Cable modem） PPPOE 静态IP 这三者的区别是什么？
3：下载文件中包含病毒，瑞星防火墙能主动的拦截吗？
4：防火墙可信区设置中，LAN下放行对方敏感端口和LAN下放行敏感端口都包括哪些端口？
5：为什么瑞星个人防火墙在默认设置下不开启ARP欺骗防御功能？是不是因为瑞星防火墙针对的是家庭用户？
6：还有就是网上流行的DDOS攻击方式，瑞星防火墙怎样有效防御？

提问
白名单 ，可信区的设置两者的区别是？

1 在静默模式所有的报警都不提示用户，而其他二种模式下有报警会提示用户，那什么时候会出现报警现象？\
2  路由器是指的哪一部分 是网关部分吗  路由表保存的是不是网关对应的IP地址  网关的IP地址会不会变动？
3  为什么对付ARP病毒 最彻底的方法是在交换机端口和本地端口之间进行双向的IP,MAC绑定？

网络攻击拦截通过怎样的安全防护技术在系统受到危害之前实现拦截入侵呢？

1.其它模式下可能根据程序的行为来提示吧，而静态的会按默认的规则进行自行处理。不知道这样理解对不

:kaka1:

arp表管理的是ip地址和mac地址的对应表。
dhcp是自动地址分配器。

1.大家现在安装的是单机版的防火墙，一般都是单机上网所以默认关闭此功能，如果是局域网环境可以开启此功能或者使用网络版的瑞星。
2.防火墙有出站攻击防御，是用来防止此类现象发生的。
是通过端口号和行为来识别；不一定是从接收频率考虑。

提问：
1.瑞星防火墙在高级模式下可以实现电脑上所有端口的隐藏吗？即实现计算机在网络上的隐身？
2.网络攻击和恶意网址拦截是否支持非IE内核浏览器？
3.出站攻击防御选项的检测攻击强度的高低调节的是什么？

请问老师，
安全级别中提及的信任网络，这个信任网络是指云安全中的信任网络吗？等级为低的时候局域网中的共享允许是否还像中级一样禁止一些较危险的端口呢？哪些是算是危险端口啊？