主题：感受天网2006（雅典娜篇）

  TnvHO_P,  
作者：ubuntu pz*/4  
版权声明：本文采用创作共用协议 在遵守创作共用协议，非商用，非盈利 以及保留作者和版权声明的前提下，您可以任意转载本文。将本文用于商业用途请先联系作者，以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。 )V[w:=*  
本文作者保留对违反本声明的行为进行法律诉讼的权利。 x*loACee.  
"W?l R4  
我对天网不是很熟，有争议的地方，大家可以提出来，合理的我会改正。 x*,q Rew  
先回答好些人关心的程序校验，一个字：没。证据： Hm+6QgCs  
1.运行IE，勾上“以后按照这次的操作进行”，备份IE目录。把Opera的路径改成IE的，Opera.exe改为IEXPLORE.EXE，再运行，雅典娜没反应。 ZXssvjWQV}  
2.升级Opera，再运行，雅典娜没反应。 4*N@=v  
结论：雅典娜只认路径，不认识MD5，SHA256之类的。 [3{:H"t  
安装卸载 M(.uu`B  
雅典娜没以前那么霸道，已经安装其他防火墙的情况下，再装雅典娜，居然没蓝屏，可以一起胡搞瞎搞啦。使用前，记得先备份安装目录下的Rules，先看看自带的帮助。卸载后，非即插即用设备里的 SKNFW.sys和以前一样还是没删除。 _g^K$+F'}  
雅典娜的默认界面是系统设置 CI~hmL0  
wS F!Xx0  
发现安装VMware后，自动检测的局域网IP不对，是虚拟网卡的。好在不影响使用。 ),D`ZRXS  
饿滴神啊，雅典娜的新技能：入侵检测 gZ`#tlA~  
不过我运气不好，一直米碰到入侵的朋友。 iGEQXIr3  
E i\J
9zt  
应用程序规则 )RAv[U1  
默认IE的，太松了，这谁负责的，该扣。。。。。。 %9~kA5Qj  
KV^:sxU  
查了下帮助，是错的，这谁写的，直接开了吧，不用扣。。。。。。 ^-e3=&  
~WYE"(  
TCP/UDP协议服务是服务端，带服务两字的是服务端，发送信息的是客户端，OK！ 75hFyh;u  
强化以后的IE规则 PK.h E{R  
#GDh/t2@  
IE根本不需要提供TCP服务，也没必要发送UDP信息。至于允许UDP服务，是为了loopback，和远程无关，你也可以不允许，不影响上网浏览。 /H\^l.|vk  
4t+/
 
TCP可访问的远程端口不能搞全部。80,443,21，其它自己根据情况加入。 O)$N}V0  
9:CVN@E  
FF，Maxthon和IE一样，端口也一样。NOD32升级和IE一样，端口只有80。 ~ X]"P4 u  
o5*74Mv  
Opera不需要loopback h|c:!VN@  
=B/s HN  
P2P就不限制啦 (?*mh?  
Y-neD?VN  
svchost允许Windows Update自动更新 ySr091Q  
m 1'&{O:  
应用程序网络状态 K*HVn2OV  
TCP 在XXX端口监听 就是TCP服务，已连接XXX端口就是客户端 &|'Kut?8  
UDP 在XXX端口监听 就是UDP服务 32iWYN  
自定义IP规则 #cp$ltY  
整个规则包是发送不限制。接收用规则限制。 ;4S [ba1/  
不使用局域网的，把和局域网有关的规则的勾去掉。 :r vO8.\  
规则不能混排，要按顺序IP，ICMP，IGMP，TCP，UDP，狂晕中。好在顺序是自上而下，否则我就看不懂了。 )<}VP&:X  
ICMP部分，没什么NB的，老一套。允许ICMP In 0,3,11,局域网8，禁止ICMP Ping In 8，最后是防御ICMP攻击，拒绝所有ICMP数据包。对发送ICMP，没限制，建议加入允许发送的ICMP规则，然后禁止发送其它ICMP。 (zM+7tJH  
官方ICMP,IGMP规则 43}&w.AS  
(<>Sz(  
IGMP部分，建议用不到IGMP的由接收改为双向。 C~ }Wo5  
TCP部分，防御XMAS攻击移动到TCP数据包监视下面。 Y>dg10=  
我以前以为弄一堆木马规则是噱头，真正设计良好的防火墙，根本不需要。待我仔细把雅典娜的规则看一遍，发现在雅典娜的架构下，你必须加入这些木马规则。 BZ\EqB  
下面是一条TCP木马规则 |$.sB|_ N  
ZaNyNxbp>z  
下面是一条禁止所有人连接的规则 5Re`D|8
 
R uFu,H-  
你会发现禁止所有人连接的规则包括了任何所谓的TCP木马规则，真正设计良好的防火墙只需要禁止所有人连接的规则，而不需要所谓的TCP木马规则。为什么，雅典娜需要呢？因为还有这样一条规则：允许已经授权程序打开的端口。为什么有这条规则，是为不会修改规则的人制定的。 U47k5s(J  
K;ry4/Vap  
但凡是前面程序规则里授权打开的服务端口，允许远程连接。前面我说了，雅典娜只认路径，应用程序控制几乎为0，一个恶意程序可以轻易的利用已经授权程序打开的端口做它该做的。 ^;bGP.!p  
解决的办法：在IP规则里将允许已经授权程序打开的端口放在所有木马规则之下。官方规则是这么干的。 35@Ibe~  
在程序规则里，禁止不必要的服务访问网络。我前面讲过。 e%@[d<Ta\  
安装SSM，GSS，PG之类的加强程序控制。  4s1kZ`e  
雅典娜对TCP数据包的过滤可以通过TCP标志位(TCP Flag)进行控制，应该说很不错，比大多数防火墙的可控性要强。但是为什么只有XMAS一条，防止标志位攻击的规则还有很多，比如FIN Scan和NULL Scan，希望官方能加进去，充分发挥雅典娜的优势。 O'&X aaZV  
fdCxMKlu;  
UDP部分，允许DNS（域名解释）应该把本地端口限制到1024-5000，复制成两条，一般上网都是两个DNS。并且应该指导用户将对方IP改为ISP指定的DNS IP。然后加入一条阻止接收其它IP UDP 53的规则。而不是像现在，允许接收所有IP UDP 53的数据包。 <Hr@~<@~  
Be14$7r  
允许已经授权程序打开的端口 应该在木马规则之下，不知道为什么包括官方在内的各种规则包都在木马规则之上？ L3G)?rPFC#  
[网络服务]开放 时间同步 服务 不管用户是否使用也应该将对方IP固定207.46.232.189，207.46.130.100，对方端口123。 (7Ca\H3$  
总体上看，自定义规则的质量一般，不如LNS的EnhancedRulesSet，更别提Phant0m啦，有待提高。 /k3n{?$/  
资讯通，没什么好讲的。希望负责资讯通的，不要像做帮助那帮人学。 )qe$rD;N  
提醒一下，应用程序过滤刻不容缓，入侵检测和它比94那花瓶。有空换肤，不如把修改规则的界面人性化点，本地端口和对方端口能不能也像对方IP地址弄个下拉列表，可以选择单个端口，端口范围，所有端口。从0到0，从80到80是在是别扭。自定义规则还需要强化。另外日志里应该提示是被那条规则拦截的，以方便修改规则是否进行日志记录。 G5XnGl}Q  
普通用户选择雅典娜无可厚非，但是要想办法弥补它在应用程序过滤的缺陷。 AP?{N:+  

软件就不多介绍了，有需要的朋友自行下载~~~ x_H7=\pX
]  
Bdk{.oh6  
原版下载：http://pfw.sky.net.cn/downloads/SkynetPFW_Retail_Release_v3.0_Build0710.EXE

顶~~~~~~我只用自带的防火墙~~~~~~~我就喜欢自己中木马 然后在反入侵比较好玩~~