主题：感受天网2006（雅典娜篇）

  WG\ _eRj  
作者：ubuntu 8zlvzp  
版权声明：本文采用创作共用协议 在遵守创作共用协议，非商用，非盈利 以及保留作者和版权声明的前提下，您可以任意转载本文。将本文用于商业用途请先联系作者，以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。 %D:VcY9OC  
本文作者保留对违反本声明的行为进行法律诉讼的权利。 D|m3.si  
GQhy4ji'z  
我对天网不是很熟，有争议的地方，大家可以提出来，合理的我会改正。 ry=8Oq&[~  
先回答好些人关心的程序校验，一个字：没。证据： .Tq8Qdl  
1.运行IE，勾上“以后按照这次的操作进行”，备份IE目录。把Opera的路径改成IE的，Opera.exe改为IEXPLORE.EXE，再运行，雅典娜没反应。 Qox/abC h  
2.升级Opera，再运行，雅典娜没反应。 3c,4 wyn  
结论：雅典娜只认路径，不认识MD5，SHA256之类的。 Y~{<Hs  
安装卸载 U!uJ)mm  
雅典娜没以前那么霸道，已经安装其他防火墙的情况下，再装雅典娜，居然没蓝屏，可以一起胡搞瞎搞啦。使用前，记得先备份安装目录下的Rules，先看看自带的帮助。卸载后，非即插即用设备里的 SKNFW.sys和以前一样还是没删除。 %Y=r5'6l  
雅典娜的默认界面是系统设置 [r3sk24  
vWM&4|Q1~  
发现安装VMware后，自动检测的局域网IP不对，是虚拟网卡的。好在不影响使用。 $':5uU1}  
饿滴神啊，雅典娜的新技能：入侵检测 6D2ot&5WW  
不过我运气不好，一直米碰到入侵的朋友。 !m9hL>5vR  
(GpP=lSSeY  
应用程序规则 @{_X@Wv4iV  
默认IE的，太松了，这谁负责的，该扣。。。。。。 *c/V('D/  
=p=/@FN  
查了下帮助，是错的，这谁写的，直接开了吧，不用扣。。。。。。 \<T7EV.  
|nnFjGC`~  
TCP/UDP协议服务是服务端，带服务两字的是服务端，发送信息的是客户端，OK！ 'kC#GTZi  
强化以后的IE规则 \zFCph
4  
lZ[J1:%  
IE根本不需要提供TCP服务，也没必要发送UDP信息。至于允许UDP服务，是为了loopback，和远程无关，你也可以不允许，不影响上网浏览。 ~?fl8RF\  
c_+fA  
TCP可访问的远程端口不能搞全部。80,443,21，其它自己根据情况加入。 U!c+i#:t  
XxdD)I  
FF，Maxthon和IE一样，端口也一样。NOD32升级和IE一样，端口只有80。 4[]*=  
d-e/0F!  
Opera不需要loopback Shy.:XI  
WoGnJ0N q  
P2P就不限制啦 $ ~%Y}Xt*  
KA{QGaZ/  
svchost允许Windows Update自动更新 q. Jx|x  
;}U]^LT=  
应用程序网络状态 Kg>B$fBx)  
TCP 在XXX端口监听 就是TCP服务，已连接XXX端口就是客户端 Z]TQ+9t  
UDP 在XXX端口监听 就是UDP服务 ILH[q>  
自定义IP规则 Vq`/]&  
整个规则包是发送不限制。接收用规则限制。 N}7b^0k  
不使用局域网的，把和局域网有关的规则的勾去掉。  +@f  
规则不能混排，要按顺序IP，ICMP，IGMP，TCP，UDP，狂晕中。好在顺序是自上而下，否则我就看不懂了。 ~aQR_S  
ICMP部分，没什么NB的，老一套。允许ICMP In 0,3,11,局域网8，禁止ICMP Ping In 8，最后是防御ICMP攻击，拒绝所有ICMP数据包。对发送ICMP，没限制，建议加入允许发送的ICMP规则，然后禁止发送其它ICMP。 t g-(e=S4P  
官方ICMP,IGMP规则 <bg6k .s  
=LK`mNA  
IGMP部分，建议用不到IGMP的由接收改为双向。 @}!?}QU  
TCP部分，防御XMAS攻击移动到TCP数据包监视下面。 : fYfXm  
我以前以为弄一堆木马规则是噱头，真正设计良好的防火墙，根本不需要。待我仔细把雅典娜的规则看一遍，发现在雅典娜的架构下，你必须加入这些木马规则。 CVkJMH_  
下面是一条TCP木马规则 CPcUB4a%#  
GeB&S!F  
下面是一条禁止所有人连接的规则 PHIc7*_  
nXb_\9E  
你会发现禁止所有人连接的规则包括了任何所谓的TCP木马规则，真正设计良好的防火墙只需要禁止所有人连接的规则，而不需要所谓的TCP木马规则。为什么，雅典娜需要呢？因为还有这样一条规则：允许已经授权程序打开的端口。为什么有这条规则，是为不会修改规则的人制定的。 8?kB+}@6X  
Op~:z<z  
但凡是前面程序规则里授权打开的服务端口，允许远程连接。前面我说了，雅典娜只认路径，应用程序控制几乎为0，一个恶意程序可以轻易的利用已经授权程序打开的端口做它该做的。 Lk#)VGk:  
解决的办法：在IP规则里将允许已经授权程序打开的端口放在所有木马规则之下。官方规则是这么干的。 ;Wk3>\nT-  
在程序规则里，禁止不必要的服务访问网络。我前面讲过。 7SYe:^Dx  
安装SSM，GSS，PG之类的加强程序控制。 #`%S[)RT  
雅典娜对TCP数据包的过滤可以通过TCP标志位(TCP Flag)进行控制，应该说很不错，比大多数防火墙的可控性要强。但是为什么只有XMAS一条，防止标志位攻击的规则还有很多，比如FIN Scan和NULL Scan，希望官方能加进去，充分发挥雅典娜的优势。 4h--x~ @  
h@ ZC{B  
UDP部分，允许DNS（域名解释）应该把本地端口限制到1024-5000，复制成两条，一般上网都是两个DNS。并且应该指导用户将对方IP改为ISP指定的DNS IP。然后加入一条阻止接收其它IP UDP 53的规则。而不是像现在，允许接收所有IP UDP 53的数据包。 t!J>853  
VbJE zl  
允许已经授权程序打开的端口 应该在木马规则之下，不知道为什么包括官方在内的各种规则包都在木马规则之上？ xele;)Y  
[网络服务]开放 时间同步 服务 不管用户是否使用也应该将对方IP固定207.46.232.189，207.46.130.100，对方端口123。 q8/k$5E  
总体上看，自定义规则的质量一般，不如LNS的EnhancedRulesSet，更别提Phant0m啦，有待提高。 |r;>2b/ x  
资讯通，没什么好讲的。希望负责资讯通的，不要像做帮助那帮人学。 L1Yj9i
 
提醒一下，应用程序过滤刻不容缓，入侵检测和它比94那花瓶。有空换肤，不如把修改规则的界面人性化点，本地端口和对方端口能不能也像对方IP地址弄个下拉列表，可以选择单个端口，端口范围，所有端口。从0到0，从80到80是在是别扭。自定义规则还需要强化。另外日志里应该提示是被那条规则拦截的，以方便修改规则是否进行日志记录。 l,b,U/3R.  
普通用户选择雅典娜无可厚非，但是要想办法弥补它在应用程序过滤的缺陷。 Nr,I`x\N
 

软件就不多介绍了，有需要的朋友自行下载~~~ KY%qzq,n  
X#ha*u~U  
原版下载：http://pfw.sky.net.cn/downloads/SkynetPFW_Retail_Release_v3.0_Build0710.EXE

顶~~~~~~我只用自带的防火墙~~~~~~~我就喜欢自己中木马 然后在反入侵比较好玩~~