程序规则
点击 防火墙 下面的 设置 ,也打开了一个规则设置窗口,初一看,和HIPS(程序过滤,下同)的规则设置很类似,有两个标签是相同的:程序、资源。但其实,只是程序标签是真的相同,刚才也说了,卡8中HIPS和防火墙是共用程序规则模块的,刚才设置的程序规则这里都能看得到,而且一模一样(不一样才怪);而资源标签是不一样的,HIPS中,是用来设置要监控的文件和注册表的,防火墙中是用来设置协议、端口、IP地址的。在卡8中,创建网络规则时(你可以去网络包标签中打开一个规则看看),你不能直接指定协议、端口范围、IP地址范围,你要先把要用的协议、端口准备好,叫做网络服务,然后命个名,把要用的IP址范围准备好,叫做网络地址,然后命个名。当然,在设置规则的同时也可以添加这些,它们都将在资源标签里可以看得到。初看这样挺麻烦的,不过在设置这些网络资源时,遵循按类型来添加,如邮件、WEB(这些是网络服务的例子)、A部门、B部门(这些是网络地址的例子),在以后添加新规则的时候,非常具有复用性,非常方便。
防火墙的规则设置窗口中第三个标签是网络包(或也有译为网络包规则的吧),很多人会觉得这里面太乱,最上面一组规则叫Packet rules,其实就是Batch层次的规则,然后下面密密麻麻是所有程序的规则。的确,直接在这里设置程序的网络规则太恐怖了,找个程序都难。可是,为什么要在这里设置程序的网络规则呢,在前面的程序标签里,双击一个程序,找到规则标签,然后设置,不是很好么。回忆一下卡7,里面的防火墙设置窗口,也有一个网络包的标签,但只有Batch层次的规则可查看修改,卡8里的把程序层次的规则也列在下面,但你完全没必要在这里查看修改,那纯粹是自虐。好了,到这里,我们可以说:卡8中防火墙设置依然方便,只是形式略有不同。同时,再强调一次:卡8中,大部分情况下,已没有必要设置这些麻烦的端口规则。
卡8没有直接提供隐身模式了。想要打开隐身模式,在Batch rules里找到Any incoming TCP stream和Any incoming UDP stream,设置为拒绝就OK了。注意后面是有stream的,入站流不同于入站,只是其它机器发起的入站连接。所谓隐身模式,也就是,只接受本机发起的连接的入站数据,比如看网页,本机会先建立与服务器的连接,然后接收服务器发过来的数据,而像别人扫描你,连接是对方发起的,如果不理会的话,别人就不知道是你不理会还是这个地址真的没机器。卡8不直接提供隐身模式应该主要是考虑到现在越来越普及的P2P应用,在P2P应用中,很多入站数据是其它P2P客户端主动发起的。在Batch rules中,我们可以看到,如果接入公共网络,卡8会封掉若干危险的服务端口,像3389、135、137、138、139、445等,以及一些ICMP类型。再考虑到IPS,安全性应该是足够的。不过在我机器上,IPS似乎工作不正常,我也懒得找工具来测试。哪位感兴趣的测测吧。
网友评论