主题：感受天网2006（雅典娜篇）

  @,-xaZ[  
作者：ubuntu ^L;`F  
版权声明：本文采用创作共用协议 在遵守创作共用协议，非商用，非盈利 以及保留作者和版权声明的前提下，您可以任意转载本文。将本文用于商业用途请先联系作者，以获得授权。作者不对读者使用本文中软件造成的损失承担任何责任。 U&6!2s-  
本文作者保留对违反本声明的行为进行法律诉讼的权利。 QMzBx*g(  
c4R6E~S  
我对天网不是很熟，有争议的地方，大家可以提出来，合理的我会改正。 ^AUmIyf_  
先回答好些人关心的程序校验，一个字：没。证据： [Uezi1
I  
1.运行IE，勾上“以后按照这次的操作进行”，备份IE目录。把Opera的路径改成IE的，Opera.exe改为IEXPLORE.EXE，再运行，雅典娜没反应。 pt;kN&A^  
2.升级Opera，再运行，雅典娜没反应。 Ve&
(izIh  
结论：雅典娜只认路径，不认识MD5，SHA256之类的。 @^vVou_  
安装卸载 g|PVOY+|^  
雅典娜没以前那么霸道，已经安装其他防火墙的情况下，再装雅典娜，居然没蓝屏，可以一起胡搞瞎搞啦。使用前，记得先备份安装目录下的Rules，先看看自带的帮助。卸载后，非即插即用设备里的 SKNFW.sys和以前一样还是没删除。 'W~O?  
雅典娜的默认界面是系统设置 }XiS:  
J}coWjw`q  
发现安装VMware后，自动检测的局域网IP不对，是虚拟网卡的。好在不影响使用。 Nd&u*&S  
饿滴神啊，雅典娜的新技能：入侵检测 kg$<^:uX  
不过我运气不好，一直米碰到入侵的朋友。 ".qh]RVjV
 
:_tsS)Q2m  
应用程序规则 %cD7}o:u  
默认IE的，太松了，这谁负责的，该扣。。。。。。 1x]U&{do  
ti'a^(  
查了下帮助，是错的，这谁写的，直接开了吧，不用扣。。。。。。 zb}:wUR  
>sP-)ZeuU[  
TCP/UDP协议服务是服务端，带服务两字的是服务端，发送信息的是客户端，OK！ 33\{S$p  
强化以后的IE规则 \HDRr*KO  
Y>+\:O  
IE根本不需要提供TCP服务，也没必要发送UDP信息。至于允许UDP服务，是为了loopback，和远程无关，你也可以不允许，不影响上网浏览。 Frt_X%  
a`CsLBv&  
TCP可访问的远程端口不能搞全部。80,443,21，其它自己根据情况加入。 PCs+` WP!M  
;b$(T5  
FF，Maxthon和IE一样，端口也一样。NOD32升级和IE一样，端口只有80。 #nc{MR#R  
YSt']  
Opera不需要loopback ~_SV`io  
Z8Fbx+~"  
P2P就不限制啦 S5'BXE,  
#`/KF_a3\>  
svchost允许Windows Update自动更新 5isejR{r  
7[55  
应用程序网络状态 Z-b^{uP  
TCP 在XXX端口监听 就是TCP服务，已连接XXX端口就是客户端 K ^1bR(a  
UDP 在XXX端口监听 就是UDP服务 _EOQ*K#=Ct  
自定义IP规则 9q;\;-  
整个规则包是发送不限制。接收用规则限制。 @7%nMTZ@&v  
不使用局域网的，把和局域网有关的规则的勾去掉。 38%]GQ  
规则不能混排，要按顺序IP，ICMP，IGMP，TCP，UDP，狂晕中。好在顺序是自上而下，否则我就看不懂了。 s} ,p>8  
ICMP部分，没什么NB的，老一套。允许ICMP In 0,3,11,局域网8，禁止ICMP Ping In 8，最后是防御ICMP攻击，拒绝所有ICMP数据包。对发送ICMP，没限制，建议加入允许发送的ICMP规则，然后禁止发送其它ICMP。 :?{ **&=  
官方ICMP,IGMP规则 VuFH >8n  
e.i5j^5u  
IGMP部分，建议用不到IGMP的由接收改为双向。 UR?[ba_h  
TCP部分，防御XMAS攻击移动到TCP数据包监视下面。 iwL\Ha  
我以前以为弄一堆木马规则是噱头，真正设计良好的防火墙，根本不需要。待我仔细把雅典娜的规则看一遍，发现在雅典娜的架构下，你必须加入这些木马规则。 8@qYzSx[  
下面是一条TCP木马规则 8J%^gy>m]  
;t@zH+*}  
下面是一条禁止所有人连接的规则 . #;ZM[v  
0vUX^<  
你会发现禁止所有人连接的规则包括了任何所谓的TCP木马规则，真正设计良好的防火墙只需要禁止所有人连接的规则，而不需要所谓的TCP木马规则。为什么，雅典娜需要呢？因为还有这样一条规则：允许已经授权程序打开的端口。为什么有这条规则，是为不会修改规则的人制定的。 &?*M+q34  
j ij:}.d6  
但凡是前面程序规则里授权打开的服务端口，允许远程连接。前面我说了，雅典娜只认路径，应用程序控制几乎为0，一个恶意程序可以轻易的利用已经授权程序打开的端口做它该做的。 =_8  
解决的办法：在IP规则里将允许已经授权程序打开的端口放在所有木马规则之下。官方规则是这么干的。 k:<yy^g$X  
在程序规则里，禁止不必要的服务访问网络。我前面讲过。 "-vm=d~\  
安装SSM，GSS，PG之类的加强程序控制。 }}Eko7'^  
雅典娜对TCP数据包的过滤可以通过TCP标志位(TCP Flag)进行控制，应该说很不错，比大多数防火墙的可控性要强。但是为什么只有XMAS一条，防止标志位攻击的规则还有很多，比如FIN Scan和NULL Scan，希望官方能加进去，充分发挥雅典娜的优势。 J(S.iTD  
CJ&0<Z}{m  
UDP部分，允许DNS（域名解释）应该把本地端口限制到1024-5000，复制成两条，一般上网都是两个DNS。并且应该指导用户将对方IP改为ISP指定的DNS IP。然后加入一条阻止接收其它IP UDP 53的规则。而不是像现在，允许接收所有IP UDP 53的数据包。 `Y/DttjL  
)oa6;=go  
允许已经授权程序打开的端口 应该在木马规则之下，不知道为什么包括官方在内的各种规则包都在木马规则之上？ &&|*GAjJ  
[网络服务]开放 时间同步 服务 不管用户是否使用也应该将对方IP固定207.46.232.189，207.46.130.100，对方端口123。 ow ~(k5k:  
总体上看，自定义规则的质量一般，不如LNS的EnhancedRulesSet，更别提Phant0m啦，有待提高。 0W9,uC2:N  
资讯通，没什么好讲的。希望负责资讯通的，不要像做帮助那帮人学。 ;|b D
@%@  
提醒一下，应用程序过滤刻不容缓，入侵检测和它比94那花瓶。有空换肤，不如把修改规则的界面人性化点，本地端口和对方端口能不能也像对方IP地址弄个下拉列表，可以选择单个端口，端口范围，所有端口。从0到0，从80到80是在是别扭。自定义规则还需要强化。另外日志里应该提示是被那条规则拦截的，以方便修改规则是否进行日志记录。 xF5q=%n  
普通用户选择雅典娜无可厚非，但是要想办法弥补它在应用程序过滤的缺陷。 R1X9  

软件就不多介绍了，有需要的朋友自行下载~~~ (H<S&5[  
DTt/nmKAqJ  
原版下载：http://pfw.sky.net.cn/downloads/SkynetPFW_Retail_Release_v3.0_Build0710.EXE

顶~~~~~~我只用自带的防火墙~~~~~~~我就喜欢自己中木马 然后在反入侵比较好玩~~