ESS防火墙配置全攻略.docx

1、ESS防火墙配置全攻略ESS防火墙配置全攻略1.1 “过滤模式”：ESS的防火墙有三种模式，分别是“自动模式”、“交互模式”和“基于策略的模式”。l 自动模式：ESS使用内建的规则库来处理网络请求，其规则无法修改，会造成部分网络程序无法正常运行，但是此模式不需用户干预，用起来十分省心。这个模式是ESS默认的模式，如果出现程序无法访问网络，请切换到“交互模式”即可解决。曾经在官论发帖询问“标准传出连接”都是哪些，结果没人搭理我，郁闷！2交互模式：除了ESS内置规则外的其它网络请求，ESS会弹框要求用户判断是否允许，如果允许并选中“记住操作”，那么下次该程序防网，将不在弹框报警。3基于策略的模式：

2、这个太霸道了，普通用户千万不要用此模式。此模式根据已经定义的规则去判断是否允许程序防网，而且阻止也没有任何提示。要保证计算机的正常使用，你事先要手动自行建立大量的规则。官方帮助文档的解释自动过滤模式是默认的模式。它适用于希望防火墙用起来简单、方便且无需定义规则的用户。自动模式允许给定系统的所有出站通信并阻止所有网络端发起的新连接。 交互过滤模式代表一种舒适的方式，可对个人防火墙建立量身定制的配置。如果检测到通信却没有可应用的规则时，程序会显示一个对话框窗口，报告未知的连接。对话框窗口中还提供允许或拒绝该通信的选项，并且允许或拒绝决定可被系统记忆，作为个人防火墙的新规则。如果此时用户选择创建新规

3、则，今后所有此类连接都将根据新规则被允许或阻止。 基于策略的模式会阻止所有未被特定规则定义为允许的连接。此种模式允许高级用户定义规则，仅允许需要和安全的连接。所有其它未指定的连接均会被个人防火墙阻止。 1.2 “规则和区域”：1.2.1 “信任区域”：这里有2个选项，官方说的很明白，不解释了。如果你在家里访问单位的服务器，可以将此服务器的IP地址加入此区域，并手动建立一条规则，省的ESS老是弹框报警：“常规”选项卡按图配置；“本地”选项卡保持默认不变；“远程”选项卡按图配置1.2.2 “区域和规则编辑器”：这里是防火墙的控制中心，“交换模式”和“策略模式”下防火墙阻挡和允许的规则都在这里定义，

4、为方便用户自定义，ESET将其分成2个部分，1个是“应用程序树视图”，1个是“所有规则的详细视图”。“应用程序树视图”以定义应用程序的防网规则为主，这里你可以定义某一个特定程序的防网规则。举个例子，现在我要允许迅雷的UPNP.exe的传入、传出通信，以保证迅雷UPNP功能的正常（详细名词解释请参考官方帮助文档）如果你使用电骡、BT，也照此办理即可，不过要将uPNP.exe换成电骡、BT的应用程序名。“所有规则的详细视图”里边是所有的规则，分两个部分，一个是系统预置规则，一个是用户自定义的规则，通过背景的颜色来区分：系统预置规则不能编辑，只能通过对其前边的勾进行操作来启用/禁用此条规则。用户自定

5、义规则可以自己编辑。现在举个例子，你的计算机建了一个网站，其它用户可以通过80端口来访问此网站。由于防火墙的限制，象此类“传入”请求在“交互模式”下是要弹窗报警的，如果不定义一个规则，还不得把你累死。那么该网站的要求就是允许任一个远程用户的任一个端口访问本服务器的80端口，针对安装了ESS的服务器，翻译成ESS的语言就是：“常规”选项卡：“方向”为入站，“操作”为允许，“协议”为TCP；“本地”选项卡：“本地端口”为80（或ESS内置的HTTP）；这里也可以在“应用程序”选项卡，添加提供HTTP服务的程序名字，以提高安全性。“远程”选项卡：“远程端口”和“远程地址”不填，因为你不知道访问网站的

6、用户都是谁，当然，如果你想仅允许特定的用户访问你的网站，那就可以在这里填写他的IP地址。注意，远程端口不要填“80”，因为远程用户访问网站80端口的本地端口是随机的。特别说明：1、 随着计算机的使用，“区域和规则编辑器”里边的规则越来越多，点击“设置”按钮时，ESS不会立即响应，等待的时间也越来越长。部分原因是你一旦点击“设置”，ekrn会对里边的应用程序进行扫描。 2、 可以通过删除“C:Documents and SettingsAll UsersApplication DataESETESET Smart Security”下epfwdata.binEpfwUser.datEpfwTem

7、p.dat三个文件来重置规则，但是“WEB访问防护”相关配置也会变化，可能是非典型操作造成ESS晕了。 3、 迅雷会利用“Explorer.EXE”防网，正常情况下Explorer.EXE是不会有访问网络动作的，看见ESS提示此类请求，一律禁止。4、 svchost.exe在使用UPNP功能时会有访网动作，木马也会利用svchost.exe来防网，请谨慎对待。1.2.3 “区域”：这里主要是将信任的计算机添加到“信任区域”用的，1.2.1已经讲过了。1.3 “IDS 和高级选项”:1.3.1这里是ESS的一些高级选项，注意将“允许在信任区域使用 UPNP”前打勾，以保证迅雷的传输速度。1.3.

8、2 特别说一下ESS可以对付局域网ARP欺骗，但是效果一般，可以在“ARP 攻击检测”前打勾即可。详细测试可以在【精睿网络安全】ESET版区和被屏蔽安软评测版区查到。如果你使用第三方ARP防火墙，建议将ESS“ARP 攻击检测”前的勾去掉，否则部分ARP防火墙无法正常工作。测试结果表明，使用金山ARP，ESS的勾必须去掉，使用彩影ARP，不必去掉ESS的勾。其实，如果ARP病毒攻击网关的话，做为安装在客户机上的ESS防火墙是无能为力的，其联网速度只有降低了。只要你在ESS防火墙日志里发现ARP欺骗和DNS投毒，赶紧报告网管才是上策。1.4 “应用程序修改检测”：这个功能比较有用，“程序将监视应用程序的变化（更新、感染或其它修改）。如果被修改的应用程序试图建立连接，个人防火墙将会通知您。” 比如。你的IE被木马修改或插入DLL，并且此木马通过IE链接外网，如果没有这个功能，这个木马会成功链接外网，因为你的规则肯定是允许IE访问外网的，现在有了这个功能，ESS就会弹窗报警。（我也不确定这个解释是否正确，因为没有实际测试过）1.5 “协议过滤”：主要用于EAV，前边已详细分析过了。1.6 “连接视图”：其配置建议如下主要用于这里：