McAfee 的基本规则设置 (走出误区――重新认识端口规则)

一、对于出站和入站，在文字的定义上，8.0和8.5是一样的
       出站：禁止本地进程访问这些网络端口
       入站：禁止网络中的端口访问这些本地端口

二、VSE8.5i对比VSE8.0i，有了一定程度的变化，当然其中也包括了端口规则的变化
       在8.0时代，端口规则只能是出站入站端口分开作，因为8.0在端口封阻的方向上只允许单项选择，要不就是出站，要不就是入站，不能在同一条规则上同时作出站和入站的封阻。而且在出站规则上，对阻挡程序没有选择，一律封锁，只能作排除。
       而8.5时代，端口规则就发生了很大的变化。首先是在一条规则上可以同时作出站和入站的封阻了；然后是对于出站端口的设置上，加入了进程的选择，不是先默认封阻所有进程的出站了，而是让用户填写，可以选择一个进程、多个进程、甚至所有进程。

三、问题的出现
       在P3出现之前，问题还没有出现，当P3来临，入站端口成为了大家的讨论对象的时候，问题随之出现了——出站封阻和入站封阻规则要分开作了。
       在大家还把出站和入站端口都作在同一条规则上的时代，大家都还没有注意到“要包含的进程”的真正使用点，这就为后面的误区铺了路。
       误区：入站端口封阻规则可以指定封阻进程，可以排除进程。
       当P3出现之后，为了解决P3出现的问题，麦粉_安然发表了《VSE8.5i Patch 3 存在的Bug和“Bug”的分析和解决方法》。不知道大家是否有仔细看过这帖，里面说明了出站和入站的区别——出站既说进程也说端口，就是可以规定那些进 程不能访问那些端口段；而入站端口则是只谈端口不谈进程，封阻的是网络上系统对本地端口的访问。

四、误解的原因
       入站和出站端口使用同一界面设置，导致了误解的出现。

       其实入站规则和出站规则所要填写的信息是不一样的：
       出站规则要填写的信息是“规则名称”、“要包含的进程”，“要阻止的端口”，并根据使用情况填写“要排除的进程”；
       入站规则要填写的信息却只有“规则名称”和“要阻止的端口”，因为入站规则根本没有排除进程，而且也不谈包含进程。
       只需要做两个实验就可以知道，入站规则是不谈“只包含个别进程”和“排除个别进程的”：
       首先清空IE的临时文件（缓存），然后再做下面的实验
       1、封阻入站端口1024～49151，包含进程为thund*.exe，没有排除，那么你将不能浏览网页了；
       2、封阻入站端口1024～49151，包含进程为*，排除你的浏览器，然后你得到的结果还是不能浏览网页。
       PS：这是我作出来的结果，大家自己实验一下，如果我操作有误，可能得出错误的结论，那么请大家指正。

       那么究竟是什么导致了大家的误解呢？
       入站和出站端口使用同一界面设置，对于出站规则，必须填写“要包含的进程”，才能建立规则，才能点击对话框上的“确定”，虽然入站规则不需要填写包含进程，却由于对话框的“确定”键不能点击，必须在“要包含的进程”上填写信息才能建立。

五、总结
       对于P3以后，咖啡内部定义入站的改变（当然，规则设置界面上的定义是一直没有变的），必须引起我们的注意，对于端口规则的编写，必须慎重。

总结一下8.5入站和出站的特点
1、出站规则
     信息填写：必须的信息和必须填写的信息都是“规则名称”、“要包含的进程”，“要阻止的端口”；根据使用情况选择填写“要排除的进程”。
     定义：阻止包含的进程访问规定的端口段，对排除的进程不进行分组。
2、入站规则
     信息填写：必须的信息是“规则名称”和“要阻止的端口”，而必须填写的信息都是“规则名称”、“要包含的进程”，“要阻止的端口”。
     定义：阻止网络中的系统访问这些本地端口，不论是哪些进程。