中国网管论坛 » 病毒讨论专版 » 防火墙规则检测

rock827 发表于 2007-11-19 15:19

防火墙规则检测

规则检测分五种数据包类型，分别是：IP,TCP,UDP,ICMP,IGMP
[img]http://forum.jiangmin.com/UploadFile/2007-7/2007723192552486.jpg[/img]
需要注意的是，由于TCP，UDP，ICMP，IGMP都是基于IP协议的，也就是设置对IP数据包的规则检测也就包括了对

TCP，UDP，ICMP，IGMP数据包的检测.所以对设置IP类型的规则时一定要小心谨慎.

当规则匹配时，有三种处理方法：拦截，放行，以及忽略.

[img]http://forum.jiangmin.com/UploadFile/2007-7/2007723192612662.jpg[/img]
拦截：当规则匹配时，拦截该数据包.当规则命中时，不再继续匹配下一条规则.
      放行：当规则匹配时，放行该数据包，使它正常的进入系统, 当规则命中时，不再继续匹配下一条规则.
      忽略：当规则匹配时，通知用户，由用户决定是许可还是拦截数据包.

　    注意：该操作不能使用在发送和接送数据包时，因为在发送和接送数据包时，都需要迅速及时的给出响应操作.以

免影响整个系统的效率和稳定性.

当规则命中时，不再继续匹配下一条规则.

　    许可：等同于处理许可.
　    拦截：等同于处理拦截.

　    许可所有此应用程序被该规则命中的请求：防火墙会自动增加一条规则，以便今后许可该应用程序发出的请求，

而不需通知用户.

　    拦截所有此应用程序被该规则命中的请求：防火墙会自动增加一条规则，以便今后拦截该应用程序发出的请求，

而不需通知用户.

　    忽略： 当规则命中时，只做附加的处理，如记录等.当规则命中时，继续匹配下一条规则(忽略处理，一般和记录

日志一起合用，用来记录，监视网络的状况)

　    拦截和放行有互补作用的，比如你想只允许外部网络只能访问本地计算机的WEB服务，而对其他服务的请求一概拒

绝，那么你可以设置第一条规则为许可本地TCP类型的，任一外部地址对本地80号端口（WEB服务）的请求，然后再设置

拦截对本地TCP类型的任一外部地址对本地任一端口的请求.由于防火墙是顺序去查找匹配规则的，所以当有WEB服务请求

数据包来到时，第一条规则首先被匹配并被通行.而当任一其他服务请求数据包来到时，都被第二条规则所拦截.


网络条件

      发送数据包时：当本地发送到一个数据包到外部网络时事件触发.（适用于所有类型）
　    接收数据包时：当本地接收到一个数据包来自外部网络时事件触发.（适用于所有类型）
　    连接时：当本地发送一个TCP连接请求至外部网络时事件触发.（仅适用于TCP类型）
　    收到连接请求时：当本地接收到一个来自外部网络的服务请求时事件触发.（仅适用于TCP类型）
　    绑定本地地址时：当本地有应用程序需要将UDP连接绑定到一个端口时，事件触发.（仅适用于UDP类型）
　    记录：当规则匹配时，记录该规则处理的信息，以备用户查阅.报警：当规则匹配时，发出警告声通知用户.

　      IP：     对IP协议类型的数据包进行处理.
　      TCP： 对TCP协议类型的数据包进行处理.
　      UDP： 对UDP协议类型的数据包进行处理.
　      ICMP：对ICMP协议类型的数据包进行处理
[img]http://forum.jiangmin.com/UploadFile/2007-7/2007723192742533.jpg[/img]
ICMP类型设置

　　  仅对ICMP类型规则检测有效,可以根据需要增加,删除ICMP类型和代码.

　    对于IGMP类型的数据包,防火墙不对IP地址进行检测.

　　  检测指定应用程序: 规则仅对指定应用程序有效.不填写表明任何应用程序都有效.

        系统级检测: 是检测整个系统发送的网络数据包.

　　  由于防火墙当匹配命中某一规则时，并且处理方法不是忽略的情况下，那么防火墙将不在匹配后续的规则.由于这

一点，防火墙规则放置的顺序就显得格外的重要.

　　  当系统接送或发送一个数据包时，是顺序匹配包的.越前面的规则越在前面越先匹配。用户可以使用 上下移动。

其中IP组的规则优先权最高，每一个进出的数据包都要首先经过IP组的规则检测.其次再视该数据包的类型分别匹配不同

的规则组（如是TCP数据包就匹配TCP组的规则）.

[img]http://forum.jiangmin.com/UploadFile/2007-7/2007723192814381.jpg[/img]
IP规则访问网络时，所应用的选项.
   
        使用程序访问网络时；指定应用程序访问网络时；系统访问网络时

   修改规则

        当需要对当前的IP规则进行修改时，使用此选项；这里可以对当前的设置进行修改
[img]http://forum.jiangmin.com/UploadFile/2007-7/200772319296698.jpg[/img]
删除规则

         如果当前的规则不适合使用，可以删除重新设置

   启用自定义方案
     
         用户可以自己选择规则中的内容，选择后请点击“自定义方案”保存，安全等级变为“自定义”
[img]http://forum.jiangmin.com/UploadFile/2007-7/2007723193059552.jpg[/img]

查看完整版本: 防火墙规则检测