瑞星卡卡安全论坛企业产品讨论区瑞星2009公测瑞星2009测试版问题反馈瑞星个人防火墙2009公测 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

12   1  /  2  页   跳转

[意见建议] 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

    瑞星杀毒软件2009公测版出炉后,防火墙也随之出炉。经过一段时间的测试,发现了瑞星2009防火墙的许多新功能,同时也发现了其中的一些不足。
    安装过程
   








在安装过程中,出现了网络程序设置界面,对常见的访问网络的应用程序设置访问规则。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727)
分享到:
gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

安装后的设置界面



“云安全”:2009版防火墙新增的入侵检测功能可以拦截到一些利用系统以及第三方软件漏洞传播的网马,这样便可以收集更多的可疑网址,并将他们上传到瑞星服务器为大家共享。但上报可疑文件一项不知是如何实现的,测试中未发现防火墙有检测可疑文件的功能。





局域网可信区设置





ARP欺骗设置





09系列新增加的瑞星密码功能在防火墙中的体现。
本帖被评分 1 次
gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

打开瑞星防火墙主界面,发现和08版的墙有了很大变化。



工作状态界面





系统信息-网络连接 (可以看到目前联网的程序以及他们连接的IP地址)
gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议


系统信息-进程信息 (右键可以结束/挂起相应进程,查看文件属性,上报可疑文件,另外还可以通过加亮微软和瑞星签名项排除一些非病毒进程,对于病毒排查有一定帮助)


双击某个进程


有该进程的基本信息,模块列表和该进程的网络连接情况
我们可以看到瑞星可以对该进程的数字签名进行验证,有助于手动杀毒。


该进程加载的模块列表。但这里却没有对所有加载的模块进行数字签名认证。




查看该进程的网络连接情况。


gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议



09版变动最大的地方在这里,把原先瑞星防火墙的很多防御体系做了重新整合。这里我们可以把09版防火墙的防御体系分为两种:防外和防内。通俗的说分为病从口入关和祸从口出关。
gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

病从口入关(防外):
网络攻击拦截
恶意网址拦截
Arp欺骗防御


祸从口出关(防内):
应用程序网络访问监控
出站攻击防御

传统规则设置

病从口入关
1.
网络攻击拦截
这个功能是瑞星09防火墙的一个最新功能,他能根据已经设置好的内置规则将符合规则的利用漏洞传播的数据包拦截在电脑外部,不再单单依靠杀毒软件等到病毒进入到系统内才查杀,是瑞星防火墙的一大突破。后面我们将看到它的巨大威力。


        2.  恶意网址拦截
由瑞星08的网址过滤发展而来。


可以拦截瑞星防火墙内置的恶意网址,也可以自定义网址黑名单。基于瑞星2009杀毒软件反挂马模块和瑞星“云”安全计划的实施,我们相信瑞星的恶意网址库更新会是最快的。同时令我们欣喜的是,瑞星09可以控制任何程序(浏览器)访问某个恶意网址。稍后我们将做测试。


最后编辑K的二次方 最后编辑于 2008-10-22 01:18:02
gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

3.  Arp欺骗防御

08的基本相同,唯一不同的是增加了本机向外发送虚假arp数据包的监控。实现了双向监控。




祸从口出关(防内):
1. 应用程序网络访问监控
  这个也就是原先的访问规则模块和模块规则的整合。



程序访问规则。这里面我们可以看到瑞星默认的规则中去掉了很多不必要且很“危险”的规则。在2008防火墙中Explorer.exe,winlogon.exe等进程是默认允许访问网络的,但这些进程在实际中是不应该访问网络的,这便给病毒一个“契机”。直接注入到类似进程中便可“穿透”防火墙。09在这方面只保留了alg.exe,lsass.exe,svchost.exe这三个确实需要访问网络的程序规则。其他的需要用户确认或者智能判定。





模块访问规则。这个规则在08中默认不启动,怕给用户太多提示。而09中默认勾选,这样就可以防止那些利用dll注入其他进程访问网络的情况。





模块访问询问对话框
gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议



几个设置选项。其中瑞星信任程序智能识别模式一方面可以方便用户,不给用户带来更多提示;但同时也会给病毒带来便利,后面我们将说到这点。


2. 出站攻击防御



这也是瑞星09的一个新功能,目的是防止本机过多的往外发包。在局域网中最能体现出来,可以防止本机对外攻击其他局域网中的机器。
gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

传统规则设置:



黑名单功能:防止指定IP的机器攻击本机。



相对于黑名单而言,白名单对本机的访问则完全不受限制。





端口开关:可以设置禁止或者开启本机上的某个端口。







可信区





IP规则。高级用户可以自行配置规则。
gototop
 

回复: 把好“病从口入,祸从口出”关 - 瑞星2009防火墙测试报告以及建议

瑞星2009测试试验。
1.
arp双向拦截试验
使用arp欺骗工具对局域网中的其他机器进行arp欺骗,瑞星能拦截到本机向外发送的伪造数据包。




2.
恶意网址拦截控制其他浏览器功能
在恶意网址拦截的监控程序部分加上opera.exe。(监控opera




并在网站黑名单中加入www.baidu.com
之后使用opera访问www.baidu.com 我们可以看到防火墙阻止了opera对该网站的访问。



3.
网络攻击拦截的试验
没有对该项所有规则进行检验,只是访问了几个恶意网址。看到的效果如下



该功能配合瑞星杀毒软件2009的反挂马技术能够拦截到几乎所有的恶意网址。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT