McAfee 的基本规则设置 (走出误区――重新认识端口规则)

一、对于出站和入站,在文字的定义上,8.0和8.5是一样的
       出站:禁止本地进程访问这些网络端口
       入站:禁止网络中的端口访问这些本地端口

二、VSE8.5i对比VSE8.0i,有了一定程度的变化,当然其中也包括了端口规则的变化
       在8.0时代,端口规则只能是出站入站端口分开作,因为8.0在端口封阻的方向上只允许单项选择,要不就是出站,要不就是入站,不能在同一条规则上同时作出站和入站的封阻。而且在出站规则上,对阻挡程序没有选择,一律封锁,只能作排除。
       而8.5时代,端口规则就发生了很大的变化。首先是在一条规则上可以同时作出站和入站的封阻了;然后是对于出站端口的设置上,加入了进程的选择,不是先默认封阻所有进程的出站了,而是让用户填写,可以选择一个进程、多个进程、甚至所有进程。

三、问题的出现
       在P3出现之前,问题还没有出现,当P3来临,入站端口成为了大家的讨论对象的时候,问题随之出现了——出站封阻和入站封阻规则要分开作了。
       在大家还把出站和入站端口都作在同一条规则上的时代,大家都还没有注意到“要包含的进程”的真正使用点,这就为后面的误区铺了路。
       误区:入站端口封阻规则可以指定封阻进程,可以排除进程。
       当P3出现之后,为了解决P3出现的问题,麦粉_安然发表了《VSE8.5i Patch 3 存在的Bug和“Bug”的分析和解决方法》。不知道大家是否有仔细看过这帖,里面说明了出站和入站的区别——出站既说进程也说端口,就是可以规定那些进 程不能访问那些端口段;而入站端口则是只谈端口不谈进程,封阻的是网络上系统对本地端口的访问。

四、误解的原因
       入站和出站端口使用同一界面设置,导致了误解的出现。

       其实入站规则和出站规则所要填写的信息是不一样的:
       出站规则要填写的信息是“规则名称”、“要包含的进程”,“要阻止的端口”,并根据使用情况填写“要排除的进程”;
       入站规则要填写的信息却只有“规则名称”和“要阻止的端口”,因为入站规则根本没有排除进程,而且也不谈包含进程。
       只需要做两个实验就可以知道,入站规则是不谈“只包含个别进程”和“排除个别进程的”:
       首先清空IE的临时文件(缓存),然后再做下面的实验
       1、封阻入站端口1024~49151,包含进程为thund*.exe,没有排除,那么你将不能浏览网页了;
       2、封阻入站端口1024~49151,包含进程为*,排除你的浏览器,然后你得到的结果还是不能浏览网页。
       PS:这是我作出来的结果,大家自己实验一下,如果我操作有误,可能得出错误的结论,那么请大家指正。

       那么究竟是什么导致了大家的误解呢?
       入站和出站端口使用同一界面设置,对于出站规则,必须填写“要包含的进程”,才能建立规则,才能点击对话框上的“确定”,虽然入站规则不需要填写包含进程,却由于对话框的“确定”键不能点击,必须在“要包含的进程”上填写信息才能建立。

五、总结
       对于P3以后,咖啡内部定义入站的改变(当然,规则设置界面上的定义是一直没有变的),必须引起我们的注意,对于端口规则的编写,必须慎重。

总结一下8.5入站和出站的特点
1、出站规则
     信息填写:必须的信息和必须填写的信息都是“规则名称”、“要包含的进程”,“要阻止的端口”;根据使用情况选择填写“要排除的进程”。
     定义:阻止包含的进程访问规定的端口段,对排除的进程不进行分组。
2、入站规则
     信息填写:必须的信息是“规则名称”和“要阻止的端口”,而必须填写的信息都是“规则名称”、“要包含的进程”,“要阻止的端口”。
     定义:阻止网络中的系统访问这些本地端口,不论是哪些进程。

你可能感兴趣的:(规则,端口,设置,误区,McAfee)