瑞星卡卡安全论坛

讲师：万事达

讲义地址：http://bbs.ikaka.com/showtopic-8643544.aspx

本次课程答疑时间：2010年7月7日 14:00-16:00

答疑形式：提问者看过讲义后可先发表问题咨询，讲师在答疑时间内会将答复直接回复在提问者的问题所在楼层内

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

早早上课，前排占座

支持，不错

:kaka1: 学习ing~~↖(^ω^)↗

老师辛苦了，我来上课

又是充实的一天

占座，学习ing:kaka12:

又上新课啦！！！！抓紧看看！！！

下载 吃饭 睡觉 学习 :kaka12:

啊，下午有课，只能下载看课件了！！！

老师辛苦了，我来上课

先下载学习着～～～～:kaka1:

先占座，学习去。。。。。

上课上课~~

老师辛苦啦 我先学习后再提问哈

万事达老师，辛苦了！
今天的课程补充材料比较多。对于这些补充材料我会好好研究，比如说ARP欺骗之类。
现在，仅就今天的讲义内容提出以下疑问，望回答。
1、RFW中的【安全级别】和【工作模式】当中所说的规则，分别是指什么规则，是IP规则，还是访问规则？还是两者都有？如果两者都有，那么两个设置会不会冲突？
2、请解释一下什么叫做【访问规则优先】
3、从瑞星2008开始，防火墙加入了【模块检查】的功能，请问该功能在防马方面有何作用。
4、按照我的理解，RFW中添加出站检测，可以有效降低互联网上DDOS攻击发生的几率。不知道对不对
5、在RIS2010中，网络监控，默认关闭【ARP欺骗防御】【应用程序网络访问网络监控】和【IP包过滤】三个项目。如果说ARP欺骗防御是局域网用户需要而不是所有用户需要而被默认关闭，那么为什么其他两个功能要被默认关闭呢？他们是传统防火墙的基本功能吧？
6在【恶意网址拦截】中的【监控程序】中，如果有多个浏览器，需不需要手动添加？还是瑞星会自动添加？
7【恶意网址拦截】中的【排除程序】瑞星除了会自动添加瑞星自己的部分组件外还会不会自动添加其他程序？

剩下的补充资料还没看完，如有问题我会发到交流区，多谢老师！
                                                                                                                                                                    实习生：panxiaoting

万事达回复：
1.2者完全不同，安全级别对应的规则是IP规则，工作模式对应的是所有规则。
2.访问规则（IP规则）优先是为了调整防火墙监控的顺序，优先不同顺序不同，具体的排序可以参考讲义。
3.该功能可以防止了木马模块注入到正常进程中，访问网络。
4.DDOS攻击无法防御，涉及到硬件的攻击只能使用硬件防火墙。
5.策略原因，安装RIS和单独安装RFW的监控是不同，单独安装RFW时，这几项都是开启的；RIS是出于综合考虑，所以默认关闭。
6.需要手动添加。
7.不会。

老师辛苦了，谢谢老师。先在提一些关于防火墙的问题，其他的正在研究，会继续提的。
1、瑞星个人防火墙等级含义中常提到“规则”一词（如：除非规则禁止，除非规则放行），这个“规则”是关于什么的规则？软件中已经编写好的等待匹配的吗？是可以每天都更新的吗？
2、防火墙的可信区在哪里啊？
3、瑞星的三种工作模式是不是对系统资源的消耗程度不同啊？
4、进程信息中的“安全级别”与瑞星云安全有关，这个怎么解释？

万事达回复：
1.这里指IP规则，规则是不会每天更新的。
2.IP包过滤设置中可以看到。
3.对资源占用没有差别，只是规则不同而已。
4.随着云安全的变化，进程信息中的相关“安全级别"也会有变化。

晚了晚了，学习学习~~

老师，您好，边看边有问题了，希望您给与解答，可能比较菜，望老师见谅哦！
1、瑞星防火墙设置不同级别，是为了迎合不同电脑的不同配置，还是迎合用户的个人喜好？为什么不是软件检索，匹配有危险就自动拦截啊？
2、不同安全级别中，所谓的“规则”是怎样来定义的？对于这个“规则"不是很明白，是我们瑞星自己研发，然后我们自己对它更新，还是一种防火墙安全等级中的协议？

万事达回复：
1.安全级别主要是针对不同的使用环境来进行选择。你说的软件检索，匹配危险这个请详细说明下。
2.是防火墙的默认规则，当然自己也可以自由设置。

1.LAN下敏感端口是多少？
2.网络安全级别三级有什么区别？
3.有的用户在安装完成瑞星防火墙后一些网页类视频软件，如迅雷看看和CCTVBOX不能正常使用要怎么处理？
4.网络攻击拦截中的大规模网马群是什么概念，貌似只有瑞星有这一说。
5.出站攻击防御中的 SYN ICMP UDP是不是只能检测本机往外发送的数据包？
6.面对外来的DDOS攻击，瑞星防火墙怎样应对？
7.所谓的在网络隐身是不是就是禁止别人ping入已达到隐身的目的？
8.好像和第三问有点重复，用户在使用正规软件的时候入betwin，网络游戏的时候不能正常使用，应该怎样更好的解决。

万事达回复：
1.一般有23，135，137-139，445，3389等等。
2.区别在讲义2楼已经说明了。
3.可以检查访问规则是否拦截，如果拦截了，可以设置放过。
4.该功能主要是防止黑客/病毒利用本地系统或程序的漏洞对本地进行控制，是规则判定的，规则库瑞星会随时更新。
5.只能检测本机往外发送。
6.软件防火墙无法防御，只能使用硬件防火墙。
7.这个有很多种，例如别人无法看到你的IP，无法ping你。
8.可以尝试依次关闭防火墙监控来判断是否防火墙的问题，是否防火墙的某些功能问题，如果是防火墙的问题需要提交相关部门分析处理。

万老师您好！我有几个问题，想请您帮忙解答一下：
1.我用瑞星扫描到两个非安全更新，一个是KB975051(Microsoft Office 2003安全更新)，另一个是KB79306(Windows更新程序)，然后我更新了这两个补丁，但是当我重新扫描漏洞时，为什么还是提示有两个非安全更新呢？
2.瑞星防火墙提示我有个IP为* . * . * . *正对我的电脑进行浏览器攻击(Microsoft Office 远程代码执行漏洞),于是我就将这个IP加入了黑名单，但是之后还是受到了来自这个IP的攻击，我应该怎样设置才能彻底阻断攻击呢？


万事达回复：
1.涉及office补丁的，可以先看自己的office是否精简版，另外一个补丁需要提供相关信息分析测试。
2.提供下攻击截图和设置截图。

老师您好，请问一下为什么默认设置的“ARP欺骗防御”和“出站攻击防御”是不开启的呢？
    还有我好像没找到在哪可以查看已开放的端口及使用状态？只发现了标签页-系统信息-网络连接 里显示了进程使用的端口。

万事达回复：
大家安装的防火墙属于单机版防火墙，主要是用于个人电脑，这种使用环境这2项监控是不用开启的。如果是所处环境较为复杂可以开启。
在防火墙的'IP包过滤"设置中可以看到具体规则及所使用的端口。

上课喽。。。:kaka12: 大家都换头像了呀

很想知道模块到底是个什么概念。跟进程什么的类似么？

万事达回复：

运行一个程序，就产生了一个进程。如果这个程序调用了其他exe或dll来实现某种功能，那么这些exe或dll就是这个进程的模块。

想请问一下万老师！
    在看了为什么要装防火墙这一章的时候，我对一个问题有了疑问！装了杀毒软件以后，我们都知道杀毒软件也是可以自动查杀来历不明或者危险的程序，这不是和防火墙一样，也是有效的阻止了对自己电脑有害的攻击，在这一方面防火墙比杀毒软件有什么更明显的优势吗？

万事达回复：
杀毒软件主要是防御、监控、查杀病毒；防火墙是防范网络攻击。网络攻击有很多种：例如利用漏洞的攻击，ARP攻击等等。

问题1：允许ping出（回显应答）和允许ping出（回显请求）有什么不同么？
将允许ping出（回显应答）设置为拒绝后，ping www.baidu.com
显示：

 附件: 您所在的用户组无法下载或查看附件
将允许ping出（回显请求）设置为拒绝后，ping www.baidu.com
显示

 附件: 您所在的用户组无法下载或查看附件
数据包都丢失了，效果一样的？



万事达回复：设置拒绝肯定都是 request timed out

嘿嘿，我又要开始提问题了。:kaka12:

1。常见进程名称。老师，在系统信息里面有很多网络连接，能不能介绍一些常见得系统进程和常见的病毒进程。

万事达回复：
这个百度吧，太多了。 。。。。

2。关于ARP攻击。我想请问您一下，校园网不等于一个比较大型的局域网吗？为什么有人告诉我在校园网内不要开arp攻击防御？那会使电脑无法上网？

万事达回复：
ARP防御设置中绑定网关即可，不会影响上网。

3。关于恶意网址拦截问题。我有时上网搜索时，发现搜索结果旁边有个瑞星的网址安全级别显示，这个是我安装瑞星防火墙提供的功能吗？还有我搜索我们学院的网址，它显示安全，但是进入后他又会弹出提示框，说发现恶意攻击，已拦截。我们学院的网站应该是比较安全的，而且连续好久了一直提示，是不是我们学院网站网页代码有问题？

万事达回复：
安全级别显示是防火墙的功能，关于你学院网站的问题，把你的网址发到恶意网址交流区会有版主分析的。