主题：感受天网2006（雅典娜篇）

  aUEnQ%YU"  
作者：ubuntu LkUi^1((e  
版权声明：本文采用创作共用协议 在遵守创作共用协议，非商用，非盈利 以及保留作者和版权声明的前提下，您可以任意转载本文。将本文用于商业用途请先联系作者，以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。 (/3E,6gMk^  
本文作者保留对违反本声明的行为进行法律诉讼的权利。 z]R)Bh  
xs$-^FnD  
我对天网不是很熟，有争议的地方，大家可以提出来，合理的我会改正。 8Z(\iZ5Rgj  
先回答好些人关心的程序校验，一个字：没。证据： EY'48S  
1.运行IE，勾上“以后按照这次的操作进行”，备份IE目录。把Opera的路径改成IE的，Opera.exe改为IEXPLORE.EXE，再运行，雅典娜没反应。 eLN[`hJ  
2.升级Opera，再运行，雅典娜没反应。 E#mp
j~{-  
结论：雅典娜只认路径，不认识MD5，SHA256之类的。 y'U-y"7y  
安装卸载 dmUa\1g#  
雅典娜没以前那么霸道，已经安装其他防火墙的情况下，再装雅典娜，居然没蓝屏，可以一起胡搞瞎搞啦。使用前，记得先备份安装目录下的Rules，先看看自带的帮助。卸载后，非即插即用设备里的 SKNFW.sys和以前一样还是没删除。 _&/2-3]\B  
雅典娜的默认界面是系统设置 6eAJ>9@x  
=FXq=x%9+  
发现安装VMware后，自动检测的局域网IP不对，是虚拟网卡的。好在不影响使用。 t{Gc,S!]5  
饿滴神啊，雅典娜的新技能：入侵检测 \xexl1_;  
不过我运气不好，一直米碰到入侵的朋友。 XFWo"%}w  
mA0|W#NB  
应用程序规则 -3&mgd  
默认IE的，太松了，这谁负责的，该扣。。。。。。 +{"w5o<CO  
]`_eaW?Ua  
查了下帮助，是错的，这谁写的，直接开了吧，不用扣。。。。。。 ueV,p?Wo  
:N ]H"u9X  
TCP/UDP协议服务是服务端，带服务两字的是服务端，发送信息的是客户端，OK！ E sx`UG|  
强化以后的IE规则 $5Tjo T  
[HSN*LXe  
IE根本不需要提供TCP服务，也没必要发送UDP信息。至于允许UDP服务，是为了loopback，和远程无关，你也可以不允许，不影响上网浏览。 JD{AwE
@Ro  
P/doNv}iG  
TCP可访问的远程端口不能搞全部。80,443,21，其它自己根据情况加入。 zc%HBZ3p  
}
}wZ  
FF，Maxthon和IE一样，端口也一样。NOD32升级和IE一样，端口只有80。 R'x
^Y"  
u4.2u}A/R%  
Opera不需要loopback }R2afTn[;  
#tlhH\Pr[  
P2P就不限制啦 q;H5S<]/  
^F`\B'8MF  
svchost允许Windows Update自动更新 lxXIu8  
@[w.!GW%  
应用程序网络状态 glgXSOj  
TCP 在XXX端口监听 就是TCP服务，已连接XXX端口就是客户端 yu@u0vlc  
UDP 在XXX端口监听 就是UDP服务 5{O9<~,  
自定义IP规则 %Y<3v\`_  
整个规则包是发送不限制。接收用规则限制。 "BD$-]  
不使用局域网的，把和局域网有关的规则的勾去掉。 lehuJgz'OO  
规则不能混排，要按顺序IP，ICMP，IGMP，TCP，UDP，狂晕中。好在顺序是自上而下，否则我就看不懂了。 $BWA=2$  
ICMP部分，没什么NB的，老一套。允许ICMP In 0,3,11,局域网8，禁止ICMP Ping In 8，最后是防御ICMP攻击，拒绝所有ICMP数据包。对发送ICMP，没限制，建议加入允许发送的ICMP规则，然后禁止发送其它ICMP。 fd*<m8  
官方ICMP,IGMP规则 iVqXf;eB!5  
4dI=  
IGMP部分，建议用不到IGMP的由接收改为双向。 )SsO,E+t=U  
TCP部分，防御XMAS攻击移动到TCP数据包监视下面。 Xo~kB)|,  
我以前以为弄一堆木马规则是噱头，真正设计良好的防火墙，根本不需要。待我仔细把雅典娜的规则看一遍，发现在雅典娜的架构下，你必须加入这些木马规则。 !:9s>0';N  
下面是一条TCP木马规则 Q[UYNQ0w  
8PwPI
%Pb  
下面是一条禁止所有人连接的规则 2)47$eu  
o&U/e\zy  
你会发现禁止所有人连接的规则包括了任何所谓的TCP木马规则，真正设计良好的防火墙只需要禁止所有人连接的规则，而不需要所谓的TCP木马规则。为什么，雅典娜需要呢？因为还有这样一条规则：允许已经授权程序打开的端口。为什么有这条规则，是为不会修改规则的人制定的。 ~U`|+ 5  
'v'=t<wgl  
但凡是前面程序规则里授权打开的服务端口，允许远程连接。前面我说了，雅典娜只认路径，应用程序控制几乎为0，一个恶意程序可以轻易的利用已经授权程序打开的端口做它该做的。 ,NoWAmv  
解决的办法：在IP规则里将允许已经授权程序打开的端口放在所有木马规则之下。官方规则是这么干的。 iE=:}"pI"  
在程序规则里，禁止不必要的服务访问网络。我前面讲过。 #wP$LKk  
安装SSM，GSS，PG之类的加强程序控制。 Qvhz$W[P>  
雅典娜对TCP数据包的过滤可以通过TCP标志位(TCP Flag)进行控制，应该说很不错，比大多数防火墙的可控性要强。但是为什么只有XMAS一条，防止标志位攻击的规则还有很多，比如FIN Scan和NULL Scan，希望官方能加进去，充分发挥雅典娜的优势。 7F 1nBd  
<Z\j#p:  
UDP部分，允许DNS（域名解释）应该把本地端口限制到1024-5000，复制成两条，一般上网都是两个DNS。并且应该指导用户将对方IP改为ISP指定的DNS IP。然后加入一条阻止接收其它IP UDP 53的规则。而不是像现在，允许接收所有IP UDP 53的数据包。 "|W``&pM  
i4r8146D[  
允许已经授权程序打开的端口 应该在木马规则之下，不知道为什么包括官方在内的各种规则包都在木马规则之上？ UA}N  
[网络服务]开放 时间同步 服务 不管用户是否使用也应该将对方IP固定207.46.232.189，207.46.130.100，对方端口123。 |t&gyj  
总体上看，自定义规则的质量一般，不如LNS的EnhancedRulesSet，更别提Phant0m啦，有待提高。 vFgX]&bE  
资讯通，没什么好讲的。希望负责资讯通的，不要像做帮助那帮人学。 '"fZGz?  
提醒一下，应用程序过滤刻不容缓，入侵检测和它比94那花瓶。有空换肤，不如把修改规则的界面人性化点，本地端口和对方端口能不能也像对方IP地址弄个下拉列表，可以选择单个端口，端口范围，所有端口。从0到0，从80到80是在是别扭。自定义规则还需要强化。另外日志里应该提示是被那条规则拦截的，以方便修改规则是否进行日志记录。 Jw)-6WJ!uO  
普通用户选择雅典娜无可厚非，但是要想办法弥补它在应用程序过滤的缺陷。 }@Ou]o  

软件就不多介绍了，有需要的朋友自行下载~~~ e.?;mD  
rhA>;9\  
原版下载：http://pfw.sky.net.cn/downloads/SkynetPFW_Retail_Release_v3.0_Build0710.EXE

顶~~~~~~我只用自带的防火墙~~~~~~~我就喜欢自己中木马 然后在反入侵比较好玩~~