主题：感受天网2006（雅典娜篇）

  ?\Q0kr.T%  
作者：ubuntu {ERjeuDm]  
版权声明：本文采用创作共用协议 在遵守创作共用协议，非商用，非盈利 以及保留作者和版权声明的前提下，您可以任意转载本文。将本文用于商业用途请先联系作者，以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。 xZ+]QDKC  
本文作者保留对违反本声明的行为进行法律诉讼的权利。 @O/,a7Tt  
T|bZ9_?+2  
我对天网不是很熟，有争议的地方，大家可以提出来，合理的我会改正。 \_U*t!  
先回答好些人关心的程序校验，一个字：没。证据： "&-C$J5 Id  
1.运行IE，勾上“以后按照这次的操作进行”，备份IE目录。把Opera的路径改成IE的，Opera.exe改为IEXPLORE.EXE，再运行，雅典娜没反应。 uvv.WbZ  
2.升级Opera，再运行，雅典娜没反应。 ,Rz}=j  
结论：雅典娜只认路径，不认识MD5，SHA256之类的。 o;QZe&  
安装卸载 o, LK[Q  
雅典娜没以前那么霸道，已经安装其他防火墙的情况下，再装雅典娜，居然没蓝屏，可以一起胡搞瞎搞啦。使用前，记得先备份安装目录下的Rules，先看看自带的帮助。卸载后，非即插即用设备里的 SKNFW.sys和以前一样还是没删除。 jdlG#j-\  
雅典娜的默认界面是系统设置 mHs:t{q  
9,WG!4:+W  
发现安装VMware后，自动检测的局域网IP不对，是虚拟网卡的。好在不影响使用。 .$wLLE^*  
饿滴神啊，雅典娜的新技能：入侵检测 hk;bk?:m  
不过我运气不好，一直米碰到入侵的朋友。 *h:kmT  
VGZ6  
应用程序规则 qd(hQsfqYU  
默认IE的，太松了，这谁负责的，该扣。。。。。。 |M E{gy`5  
w1i?#!|  
查了下帮助，是错的，这谁写的，直接开了吧，不用扣。。。。。。 )eR$:uO  
@q)E=G1<o0  
TCP/UDP协议服务是服务端，带服务两字的是服务端，发送信息的是客户端，OK！ JIV
8q HC  
强化以后的IE规则 XKSX#cia  
!01i%W'  
IE根本不需要提供TCP服务，也没必要发送UDP信息。至于允许UDP服务，是为了loopback，和远程无关，你也可以不允许，不影响上网浏览。 h8.FX-0& =  
eP= j.$  
TCP可访问的远程端口不能搞全部。80,443,21，其它自己根据情况加入。 tcOnM w  
v}P!HczmMP  
FF，Maxthon和IE一样，端口也一样。NOD32升级和IE一样，端口只有80。 &t6Tcy  
%6i=lyH-  
Opera不需要loopback 5~l2!PY  
PEzia}m  
P2P就不限制啦 @?a4i  
W~NYU  
svchost允许Windows Update自动更新 }n[Bq#  
wPH+n-&e  
应用程序网络状态 <25ccE9^c  
TCP 在XXX端口监听 就是TCP服务，已连接XXX端口就是客户端 &7Kb]Ti  
UDP 在XXX端口监听 就是UDP服务 g1V)$s7  
自定义IP规则 s0!kwrBsp  
整个规则包是发送不限制。接收用规则限制。 kqf8=y  
不使用局域网的，把和局域网有关的规则的勾去掉。 m6MaX}&zv  
规则不能混排，要按顺序IP，ICMP，IGMP，TCP，UDP，狂晕中。好在顺序是自上而下，否则我就看不懂了。 S@A<6  
ICMP部分，没什么NB的，老一套。允许ICMP In 0,3,11,局域网8，禁止ICMP Ping In 8，最后是防御ICMP攻击，拒绝所有ICMP数据包。对发送ICMP，没限制，建议加入允许发送的ICMP规则，然后禁止发送其它ICMP。 or.\)(m#(  
官方ICMP,IGMP规则 5"gL
.Ez  
rzT{-DZB[4  
IGMP部分，建议用不到IGMP的由接收改为双向。 kM`7EP
k  
TCP部分，防御XMAS攻击移动到TCP数据包监视下面。 CQ18%w6  
我以前以为弄一堆木马规则是噱头，真正设计良好的防火墙，根本不需要。待我仔细把雅典娜的规则看一遍，发现在雅典娜的架构下，你必须加入这些木马规则。 Ja [#[BJ?  
下面是一条TCP木马规则 X6kaL3L}  
{US>)I  
下面是一条禁止所有人连接的规则 !*bdG(pK  
oHsP
?%U  
你会发现禁止所有人连接的规则包括了任何所谓的TCP木马规则，真正设计良好的防火墙只需要禁止所有人连接的规则，而不需要所谓的TCP木马规则。为什么，雅典娜需要呢？因为还有这样一条规则：允许已经授权程序打开的端口。为什么有这条规则，是为不会修改规则的人制定的。 OjATSmZ@@  
o?\Gm  
但凡是前面程序规则里授权打开的服务端口，允许远程连接。前面我说了，雅典娜只认路径，应用程序控制几乎为0，一个恶意程序可以轻易的利用已经授权程序打开的端口做它该做的。 <kbnu7?a*  
解决的办法：在IP规则里将允许已经授权程序打开的端口放在所有木马规则之下。官方规则是这么干的。 q+%!<]7X  
在程序规则里，禁止不必要的服务访问网络。我前面讲过。 UkfA}b^@
v  
安装SSM，GSS，PG之类的加强程序控制。 b1)\Zi  
雅典娜对TCP数据包的过滤可以通过TCP标志位(TCP Flag)进行控制，应该说很不错，比大多数防火墙的可控性要强。但是为什么只有XMAS一条，防止标志位攻击的规则还有很多，比如FIN Scan和NULL Scan，希望官方能加进去，充分发挥雅典娜的优势。 v,0<9!'v  
Z= ik{/  
UDP部分，允许DNS（域名解释）应该把本地端口限制到1024-5000，复制成两条，一般上网都是两个DNS。并且应该指导用户将对方IP改为ISP指定的DNS IP。然后加入一条阻止接收其它IP UDP 53的规则。而不是像现在，允许接收所有IP UDP 53的数据包。 f4 O]`U  
O6]u!NqG  
允许已经授权程序打开的端口 应该在木马规则之下，不知道为什么包括官方在内的各种规则包都在木马规则之上？ ]_#SAhOR)  
[网络服务]开放 时间同步 服务 不管用户是否使用也应该将对方IP固定207.46.232.189，207.46.130.100，对方端口123。 gh61H:tkR  
总体上看，自定义规则的质量一般，不如LNS的EnhancedRulesSet，更别提Phant0m啦，有待提高。 <<<NXsH  
资讯通，没什么好讲的。希望负责资讯通的，不要像做帮助那帮人学。 (&c,twa~  
提醒一下，应用程序过滤刻不容缓，入侵检测和它比94那花瓶。有空换肤，不如把修改规则的界面人性化点，本地端口和对方端口能不能也像对方IP地址弄个下拉列表，可以选择单个端口，端口范围，所有端口。从0到0，从80到80是在是别扭。自定义规则还需要强化。另外日志里应该提示是被那条规则拦截的，以方便修改规则是否进行日志记录。 PWG;&ma  
普通用户选择雅典娜无可厚非，但是要想办法弥补它在应用程序过滤的缺陷。 7LdzZS0OM  

软件就不多介绍了，有需要的朋友自行下载~~~ Q@Dkl F  
|Eu*P  
原版下载：http://pfw.sky.net.cn/downloads/SkynetPFW_Retail_Release_v3.0_Build0710.EXE

顶~~~~~~我只用自带的防火墙~~~~~~~我就喜欢自己中木马 然后在反入侵比较好玩~~