瑞星卡卡2010暑假实习第二课问题统计整理 bbs.ikaka.com

沉很 - 2010-7-7 18:33:00

瑞星卡卡2010暑假实习第二课问题汇总

整理：沉很
1、
问：RFW中的【安全级别】和【工作模式】当中所说的规则，分别是指什么规则，是IP规则，还是访问规则？还是两者都有？如果两者都有，那么两个设置会不会冲突？
答：2者完全不同，安全级别对应的规则是IP规则，工作模式对应的是所有规则。

2、
问：请解释一下什么叫做【访问规则优先】
答：访问规则（IP规则）优先是为了调整防火墙监控的顺序，优先不同顺序不同，具体的排序可以参考讲义

3、
问：从瑞星2008开始，防火墙加入了【模块检查】的功能，请问该功能在防马方面有何作用
答：该功能可以防止了木马模块注入到正常进程中，访问网络

4、
问：按照我的理解，RFW中添加出站检测，可以有效降低互联网上DDOS攻击发生的几率。不知道对不对
答：DDOS攻击无法防御，涉及到硬件的攻击只能使用硬件防火墙

5、
问：在RIS2010中，网络监控，默认关闭【ARP欺骗防御】【应用程序网络访问网络监控】和【IP包过滤】三个项目。如果说ARP欺骗防御是局域网用户需要而不是所有用户需要而被默认关闭，那么为什么其他两个功能要被默认关闭呢？他们是传统防火墙的基本功能吧？
答：策略原因，安装RIS和单独安装RFW的监控是不同，单独安装RFW时，这几项都是开启的；RIS是出于综合考虑，所以默认关闭。

6、
问：在【恶意网址拦截】中的【监控程序】中，如果有多个浏览器，需不需要手动添加？还是瑞星会自动添加？
答：需要手动添加

7、
问：【恶意网址拦截】中的【排除程序】瑞星除了会自动添加瑞星自己的部分组件外还会不会自动添加其他程序？
答：不会

8、
问：瑞星个人防火墙等级含义中常提到“规则”一词（如：除非规则禁止，除非规则放行），这个“规则”是关于什么的规则？软件中已经编写好的等待匹配的吗？是可以每天都更新的吗？
答：这里指IP规则，规则是不会每天更新的

9、
问：防火墙的可信区在哪里啊？
答：IP包过滤设置中可以看到

10、问：瑞星的三种工作模式是不是对系统资源的消耗程度不同啊？
答：对资源占用没有差别，只是规则不同而已

11、问：进程信息中的“安全级别”与瑞星云安全有关，这个怎么解释？
答：.随着云安全的变化，进程信息中的相关“安全级别"也会有变化
12、问：瑞星防火墙设置不同级别，是为了迎合不同电脑的不同配置，还是迎合用户的个人喜好？为什么不是软件检索，匹配有危险就自动拦截啊？
答：安全级别主要是针对不同的使用环境来进行选择。你说的软件检索，匹配危险这个请详细说明下

13、问：不同安全级别中，所谓的“规则”是怎样来定义的？对于这个“规则"不是很明白，是我们瑞星自己研发，然后我们自己对它更新，还是一种防火墙安全等级中的协议？
答：是防火墙的默认规则，当然自己也可以自由设置

14、问：LAN下敏感端口是多少？
答：一般有23，135，137-139，445，3389等等

15、问：网络安全级别三级有什么区别？
答：低：系统在信任的网络中，除非规则禁止的，否则全部放过
中：系统在局域网中，默认允许共享，但是禁止一些危险的端口
高：系统直接连接Internet，除非规则放行，否则全部拦截

16、问：有的用户在安装完成瑞星防火墙后一些网页类视频软件，如迅雷看看和CCTVBOX不能正常使用要怎么处理？
答：可以检查访问规则是否拦截，如果拦截了，可以设置放过

17、问：网络攻击拦截中的大规模网马群是什么概念，貌似只有瑞星有这一说
答：该功能主要是防止黑客/病毒利用本地系统或程序的漏洞对本地进行控制，是规则判定的，规则库瑞星会随时更新

18、问：出站攻击防御中的 SYN ICMP UDP是不是只能检测本机往外发送的数据包？
答：收发都进行检测

19、问：面对外来的DDOS攻击，瑞星防火墙怎样应对？
答：软件防火墙无法防御，只能使用硬件防火墙

20、问：.所谓的在网络隐身是不是就是禁止别人ping入已达到隐身的目的？
答：这个有很多种，例如别人无法看到你的IP，无法ping你

沉很 - 2010-7-7 18:33:00

21、问：好像和第三问有点重复，用户在使用正规软件的时候入betwin，网络游戏的时候不能正常使用，应该怎样更好的解决？
答：可以尝试依次关闭防火墙监控来判断是否防火墙的问题，是否防火墙的某些功能问题，如果是防火墙的问题需要提交相关部门分析处理

22、问：请问一下为什么默认设置的“ARP欺骗防御”和“出站攻击防御”是不开启的呢？另外如何查看具体规则和使用端口？
答：大家安装的防火墙属于单机版防火墙，主要是用于个人电脑，这种使用环境这2项监控是不用开启的。如果是所处环境较为复杂可以开启。
在防火墙的'IP包过滤"设置中可以看到具体规则及所使用的端口。
23、问：想知道模块到底是个什么概念。跟进程什么的类似么？
答：运行一个程序，就产生了一个进程。如果这个程序调用了其他exe或dll来实现某种功能，那么这些exe或dll就是这个进程的模块。

24、问：装了杀毒软件以后，我们都知道杀毒软件也是可以自动查杀来历不明或者危险的程序，这不是和防火墙一样，也是有效的阻止了对自己电脑有害的攻击，在这一方面防火墙比杀毒软件有什么更明显的优势吗？
答：杀毒软件主要是防御、监控、查杀病毒；防火墙是防范网络攻击。网络攻击有很多种：例如利用漏洞的攻击，ARP攻击等等。

25、问：允许ping出（回显应答）和允许ping出（回显请求）有什么不同么？
将允许ping出（回显应答）设置为拒绝后，ping www.baidu.com，显示request timed out
答：设置拒绝肯定都是 request timed out

26、问：常见进程名称。老师，在系统信息里面有很多网络连接，能不能介绍一些常见得系统进程和常见的病毒进程。
答：这个百度吧，太多了。

27、问：关于ARP攻击。我想请问您一下，校园网不等于一个比较大型的局域网吗？为什么有人告诉我在校园网内不要开arp攻击防御？那会使电脑无法上网？
答：ARP防御设置中绑定网关即可，不会影响上网。

28、问：关于恶意网址拦截问题。我有时上网搜索时，发现搜索结果旁边有个瑞星的网址安全级别显示，这个是我安装瑞星防火墙提供的功能吗？还有我搜索我们学院的网址，它显示安全，但是进入后他又会弹出提示框，说发现恶意攻击，已拦截。我们学院的网站应该是比较安全的，而且连续好久了一直提示，是不是我们学院网站网页代码有问题？
答：安全级别显示是防火墙的功能，关于你学院网站的问题，把你的网址发到恶意网址交流区会有版主分析的。

29、问：上一些常用网址夜会显示恶意网址拦截，询问你是否继续访问，继续访问会有风险。把它加入防火墙白名单内，过一阵子再次访问还是会有同样提示，是不是防火墙的白名单也有一定的有效期，过期作废？
答：白名单没有有效期，加入即起作用。提示的恶意网址还是不要访问的好。如果有类似网址可以发给我测试。

30、问：瑞星防火墙遇到未知的程序是否是联网与服务端进行核对程序安全性，然后自动做出选择？
答：根据工作模式的不同，会有不同处理方式

31、问：对于杭州志愿者论坛的规则包，瑞星官方吃什么态度，是建议用户增加这些ip规则更好的保护还是建议用户使用默认规则？瑞星官方是否对这些规则进行过审核？
答：建议使用默认规则

32、问：瑞星防火墙里的网站黑名单是及时从服务器获取核对，还是依靠升级本地名单？单一安装防火墙而不不安装瑞星杀毒，是否瑞星防挂马行为防御就失效了？
答：升级本地名单，防火墙没有防挂马行为防御功能，谈不上是否失效。如果你说的是恶意网址拦截功能，该功能是起作用的，至于杀毒软件主动防御/木马行为防御功能，如果没有安装杀毒软件，肯定不起作用。

33、问：瑞星防火墙2010安装的时间为什么断网(如图)？原因是？
答：安装硬件驱动所以需要断网

34、问：安装完成后点否不重新启动电脑，此时点瑞星防火墙，没反应，必须重启。觉觉有些怪怪的，因为我在虚拟机XP上面安装2010版时，是升级到最新的软件后才重启。没有强制效的重启提示？
答：组件需要重启后才会起作用。后半个问题没明白，有时更新重要组件也是需要重启的，瑞星都会提示。

35、问：在瑞星杀毒软件2010版、瑞星个人防火墙2010版、瑞星全功能安全软件2010版中，都看到了一个“瑞星安装包制作程序”。瑞星安装包制作程序有什么用？如何制作操作呢？
答：点击运行后按照提示进行制作，制作的安装包拥有本地已安装瑞星的版本，这样如果重新安装时避免了长时间升级过程。

36、问：讲义上说普通用户切换到管理员用户需要输入管理员用户的密码！为啥第一次切换的时候提示输入密码了，后面多次再切换的时候就不提示输入密码了呢？
答：在未关闭防火墙界面时都不会再提示，如果希望提示，关闭防火墙界面重新打开设置即可。
原因是：既然可以输对一次且没有关闭防火墙设置的时候，瑞星默认是拥有该权限的。避免了大量设置时提示不断的问题。

37、问：我安装防火墙的时候并没有需要序列号啊，是不是因为我之前安装杀毒软件的时候已经填过了序列号，紧接着安装防火墙，所以不需要再次输入了？
答：和之前是否安装杀软没关系，现在安装瑞星都不会提示要求输入序列号，安装后升级才会提示是否激活，不输入序列号无法激活升级。

38、问：记得我以前用windows优化大师，关闭的时候就弹出来一个错误对话框上面写着 “0x023f2108”指令应用的“0x023f2108”内存。该内存不能为'read'。要终止程序，请单击确定。要是退出瑞星防火墙就不会有
这种情况,关闭其他一些程序也有类似情况，只是指令的名称不一样。
答：防火墙和WINDOWS优化大师没有冲突，出现这种情况可能的原因是：系统，硬件，软件冲突等等，可以逐一排除。

39、问：请问老师普通账户和管理员的区别有哪些？
如果在【软件安全】里不选择【启用瑞星密码】，那么普通账户就可以轻松成为管理员，进行一些越权操作，
那么【切换账户】功能就失去作用了，希望这个功能在以后版本中得到改善。错误之处请老师您指教！
答：切换帐户的功能就是和启用密码配合使用的，不启用密码没有实际意义。

40、问：老师,在“恶意网站拦截”---”排除程序“中有一些默认的程序，我想问一下，哪些程序可以会被设成默认的”排除拦截“程序？
答：瑞星的程序以及经过云安全认证的相关程序

沉很 - 2010-7-7 18:33:00

41、问：在看了【黑名单-白名单-端口开关-可信区-安全级别】以后，如果把某一个IP列为黑名单后，这个IP地址的电脑就不会在访问我的电脑，如果以后这台电脑给我的电脑发一些数据的时候，是直接屏蔽的吗？还是会提示我有选择的权利呢？
答：直接屏蔽，没有提示

42、问：ARP欺骗防御方式中，“定时检查本机ARP缓存”我看默认的为1分钟检查一次，这样会不会对系统造成过重的负担。“禁止本机对外发送虚假ARP数据包”，什么情况下本机会对外发送虚假的数据包？
答：以根据自己的电脑性能进行设置，一般默认一分钟不会对系统造成负担。本机中毒可能会对外发包。

43、问：三种工作模式除了是否提醒用户操作外，还有没有其他的区别啊？
答：是由规则来决定的，体现在用户面前的就是是否有提示

44、问：“信任程序智能识别模式”，如何确定程序是否可以信任？
答：经过云安全认证的程序才是被信任的

45、问：所谓的规则和访问规则是否指访问控制中的程序规则、模块规则以及网络监控中的IP过滤等规则？
答：包括但不仅限于，另外网络攻击，出站攻击也有规则

46、问：网络监控功能项，出站攻击防御中几个强度，对于设置高、低的级别，是否设置级别为高，对电脑安全性就越好？当选择了高级别，那么此时相比于低级别来说，它有没有其他的负面影响？
答：没有负面影响

47、问：IP包过滤，是使用网络知识，确定IP地址的危险性，还是其他的？？是怎么来判断的啊？
答：一般使用默认规则即可。规则设置越多性能越低；不需要增加与应用相关的规则，系统在应用需要时打开端口；也不需要增加防范性规则，系统已经内置并且自动升级

48、问：我是在我们学校图书馆上无线网，装了瑞星防火墙了以后，为什么断网的次数变得很频繁了，以前是很少有这种现象的
答：可以关闭防火墙所有监控排除是否防火墙导致

49、问：我是觉得安全等级是不同环境下使用，是用户自己来确定使用哪个等级，还是由我们先编好使用的环境，等遇到某一环境时与我们已经编好的来匹配？呵呵，不好意思，不知道表达清楚没有？
答：安全等级的调整是由自己所处的环境来决定，例如自己是单机上网，则高安全级别即可；如果是局域网需要共享，则需要设置中级

50、问：防火墙能不能通过一个网站的中文名称，来禁止访问这个网站。能实现吗?
答：目前无法实现

51、问：”出站攻击防御“是为了防止自己成为”肉鸡“，也就是防止自己向网络进行“Flood攻击”对吧？那在设置中用到的三项检测项目(检测”SYN Flood攻击“，检测”ICMP Flood攻击“和检测”UDP Flood攻击”）是对端口的进口数据包还是出口数据包进行检测？
如果是对出口的数据包进行检测的话，那有没有对进口数据包检测的项目
答：仅对出口的数据包进行检测

52、问：关于arp攻击和ARP病毒的差异，开启ARP防御是不是就可以将两者全部拦截，P2P终结者等之类的软件造成的影响是不是也就可以消除了？
答：是一个意思，开启ARP防御可以保证本机安全。目前瑞星防火墙是不对P2P终结者等工具拦截

53、问：我住的地方ARP攻击比较严重，有人使用P2Pover和聚生网管等软件限制别人网速，请问使用瑞星防火墙可以解决这一问题么？
答：目前防火墙不拦截该类工具

54、问：为什么“网络监控”--“开机启用”中的“ARP欺骗防御”被默认取消，难道没有必要吗？还是有什么其他的考虑？
答：一般家庭都是单机上网，没必要开启该功能。如果是局域网环境才需要开启

55、问：如果同时设置瑞星密码和系统登录密码会不会冲突，先进行哪个密码的检查？
答：不会冲突；瑞星密码仅在设置瑞星时才会提示(卸载不提示）。

56、问：arp欺骗中第二章图片中，路由欺骗下一个名词是什么啊？数据什么？
答：数据窃听

57、问：为什么瑞星的好多操作之前都要输入验证码
答：提高自我保护能力，避免病毒关闭

58、问：请老师能不能把ARP的原理稍微解释下？因为看完老师大概的解释和上一届的一个同学的帖子，虽然都解释得很清楚，但是我其实还是很不了解他怎么做到的
答：讲义包有一篇：”计算机网络技术文档_ARP欺骗、网关、还有一堆难懂的网络名词“比较通俗易懂，可以参考

59、问：TCP的概念。老师能不能解释一下呢？
答：TCP是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议。名词解释建议百度，结果很详细了。

60、问：syn_sent的含义中的第三次握手，是什么意思？和TCP有什么关系？

答：第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

沉很 - 2010-7-7 18:33:00

61、问：在生动解释那些网络名词里面，李大爷联系电信局，然后电信局转到小明家的王爷那里，这个就是路由器的工作原理？
答：是的
62、问：DHCP和DNS有什么区别？
答：DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)，一般用于局域网内客户机的IP地址分配；
DNS 是域名系统 (Domain Name System) 的缩写
在上网的时候，域名便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析（如上面的www.needidc.com 与 218.30.66.101 之间的转换），域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器
63、问：请问 ARP欺骗防御可以拦截哪些攻击？
答：可以拦截通过发送虚假的ARP包给局域网内的其他电脑或网关。
可以拦截通过冒充别人的身份来欺骗局域网中的其他的电脑，使得其他的电脑无法正常通信的攻击。
64、问：关于局域网防护，如果使用的是交换机而不是路由器，效果一样吗

答：效果一样。
65、问：瑞星的云安全和其它类似机构的云安全是不是没有任何联系，各自独立运行？

答：是的
66、问：DOC、PPT的ODAY漏洞是什么？

答：ODAY漏洞是指官方未发现或未发布修补补丁的漏洞
67、问：系统自动加载项和系统自动运行项的含义和区别是什么？
答：一个是随系统启动，一个是系统启动后加载
自动启动项是选择自动启动的应用软件，开机加载项是启动必须的一些系统服务 .
68、问：网络攻击拦截中的后门攻击、远程溢出攻击具体是指什么？
答：后门：绕过安全性控制而获取对或系统访问权的方法。后门攻击即是利用后门进行攻击。
溢出漏洞的全名：缓冲区溢出漏洞
因为它是在程序执行的时候在缓冲区执行的错误代码，所以叫缓冲区溢出漏洞。同理针对此类漏洞的攻击即为溢出攻击。
69、问：如何决定或者设置是“访问规则优先”还是“IP规则优先”？

答：根据自己的需求来决定
70、问：安全级别等级的【中】，在其解释中说“禁止一些较危险的端口”，具体指哪些？就是那些敏感端口嘛？

答：具体端口不方便透漏，不仅仅指敏感端口
71、问：之前看过说Linux操作系统不用装杀毒软件，因为病毒在里面不起作用，是这样的嘛？但是有装防火墙，只是为了防治网络的病毒或是什么攻击吗？

答：只能说针对该系统的病毒较少，不是没有。目前瑞星防火墙还不支持该系统
72、问：现在的瑞星出站攻击防御是不是已经改成开启了，arp欺骗防御还是没有开启？

答：防火墙的默认设置是开启的，ARP防御关闭

瑞星卡卡安全论坛