我说两个看法:
一、同众多的杀软、防火墙一样,mcafee也有先天不足的地方:
1、需要用户的介入才能彻底根除病毒,不能从上个版本中继承相关的指令设定;
2、整套软件占用空间太大,升级时需要下载的数据量较多,在中国国内的服务还尚未达到全国;
3、进程镶嵌过多,而且设置过于复杂,比如其中的Frameworkservice.exe框架进程,一旦关闭,就会影响升级,且这个进程不能自动的去启动服务;更要命的是这个框架在运行指令中容易出现溢出,假如这个时候刚好遇到攻击,那么它将回显给对方一个准确的本地IP地址(即使事先使用了代理IP也没有用);
4、其中的naPrdMgr.exe进程和Frameworkservice.exe进程互动,是用来传递信息的,但不在注册表启动项和服务项目里出现,如果Frameworkservice.exe被停止,则它也不会在任务管理器里出现,因此在受到攻击时容易被用户忽略。
二、从整体上看,mcafee的外置规则大都是硬性规则,也就是说是直接关闭端口了事,而在内置的特征代码都是以关键语句为判断标准,缺少内外核心指令的链动,因此在多端口连续攻击的情况下,mcafee将出现规则、代码缺失,引发漏洞。
三、楼主所说的“设置”其实只是一种硬性的端口关闭,不能正常过滤数据包,如果按楼主的这种设置,那么,就完全没有必要任何防火墙了,只要通过系统自带的组策略等组件就可以实现所有端口的关闭,而实际上一些木马常用的端口也是正常数据包的通道,比如80端口。
