瑞星个人防火墙2008版,针对目前流行的黑客攻击、钓鱼网站、网络色情等做了针对性的优化,采用未知木马识别、家长保护、反网络钓鱼、多账号管理、上网保护、模块检查、可疑文件定位、网络可信区域设置、IP攻击追踪等技术,可以帮助用户有效抵御黑客攻击、网络诈骗等安全风险。
一、普通设置
进入详细设置【普通】选项,进行系统选项、日志记录种类等设置,单击【保存设置】进行保存。
系统选项
启动方式
自动:选中后,防火墙随系统的启动而启动,此设置为默认设置。
手工:选中后,防火墙需要手动启动。
规则顺序:可选择访问规则优先或IP规则优先。当访问规则和IP规则有冲突的时候,防火墙将依照此规则顺序执行。例如,应用规则规定 IE 程序可以访问网络,IP规则规定不允许访问瑞星网站,如果用户选择应用规则优先,则可以访问瑞星网站;如果用户选择 IP 规则优先,由于IP规则不允许访问瑞星网站,即使应用规则允许 IE 访问网络,也无法访问瑞星网站。
启动帐户:设置防火墙启动时的帐户,只有在用户重新启动防火墙的时候才可以看到结果。
启用声音报警:若选中此项,当用户的计算机受到攻击时防火墙将会发出声音报警,可以单击【浏览】选择声音文件。
状态通知:默认勾选此项,若取消勾选,则不显示提示防火墙状态的气泡通知。
日志记录种类
指定哪些类型的事件记录在日志中。有:【修订规则】、【系统动作】、【修改配置】、【清除木马病毒】、【禁止应用】。
单击【更多设置】进行日志详细选项的设置,如日志文件大小,每页显示记录等。提供日志满后自动备份功能,默认勾选【日志文件满后自动备份】,用户可以设定备份文件总大小,单击【浏览】选择备份文件路径,按【确定】保存设置。
不在访问规则中的程序访问网络的默认动作
五种模式
屏保模式:在屏保模式下对于应用程序网络访问请求的策略,默认是自动拒绝。
锁定模式:在屏幕锁定状态下对于应用程序网络访问请求的策略,默认是自动拒绝。
交易模式:在交易模式下对于应用程序网络访问请求的策略,默认是自动拒绝。
未登录模式:在未登录模式下对于应用程序网络访问请求的策略,默认是自动拒绝。
静默模式:不与用户交互的模式。在静默模式下对于应用程序网络访问请求的策略,默认是自动拒绝。
五种模式中屏保模式、未登录模式和锁定模式可根据计算机状态自动切换,其它二种模式为手工切换。
三种默认动作
询问我:提示用户,由用户选择处理方式。
以上普通设置修改后,单击【保存设置】按钮确定并保存。如要恢复默认设置,可按【恢复默认】。
二、高级设置
进入方法
方法一:
打开防火墙主程序
在菜单中依次选择【设置】/【详细设置】
在左侧树形菜单中单击【选项】下的【高级】
方法二:
右键单击防火墙托盘图标
在弹出菜单中选择【系统设置】
在左侧树形菜单中单击【选项】下的【高级】
设置项目
启用未登录保护:若勾选此项,表示在系统未登录状态下开启防火墙保护功能。默认为选中。
启动防火墙时进行木马病毒扫描:若勾选此项,表示在启动防火墙时,自动扫描木马病毒。
连接瑞星安全资讯中心:若勾选此项,表示在联网时切换到安全资讯页面可自动连到瑞星反病毒资讯网,显示相关信息。默认为选中。
程序连接网络被拒绝时提示用户:若勾选此项,表示程序连接网络失败时,会提示用户。默认为选中。
启用程序防篡改功能:若勾选此项,表示可以启用应用程序防篡改保护功能。
未知程序访问网络时进行木马病毒扫描:若勾选此项,表示当有程序进行网络活动的时候,对该进程调用未知木马病毒进行扫描,如果该进程为可疑的木马病毒,则对用户进行告警。默认为选中。
设置管理员帐户密码:用户可通过设置管理员帐户密码,防止普通用户在未经允许的情况下修改防火墙配置或关闭防火墙。
设置提示窗口停留时间
应用程序访问网络提示窗口:输入应用程序访问网络的提示窗口停留时间,默认为60秒。
IP 数据包信息窗口:输入 IP 数据包信息的窗口停留时间,默认为30秒。
气泡通知窗口:输入气泡通知窗口的停留时间,默认为10秒。
以上这些提示窗口的停留时间都可以根据用户的需要自行设定。
漏洞扫描提醒时间
用户可以设置漏洞扫描的定时提醒,时间单位为天。例如默认提醒时间是5天,则5天以上用户没有进行漏洞扫描,就会在【工作状态】页的系统漏洞信息处显示提醒信息。
其它功能
恢复默认:将当前设置恢复为默认值
保存设置:保存当前设置
三、规则设置
(1)黑名单
此处为禁止与本机通讯的计算机列表,例如:攻击本机的计算机可加入此区域
显示内容
列表中显示当前黑名单中计算机的名称、地址、来源、生效时间
打勾的项表示生效
相关操作
1.增加规则
单击【增加】按钮 或 在右键菜单中选择【增加】,打开【增加黑名单】窗口
输入名称、地址类型、地址/地址范围,单击【保存】即可
选中待修改的规则,规则加亮显示,在右键菜单中选择【编辑】,打开【编辑黑名单】窗口
修改对应项目,单击【保存】完成修改,或单击【取消】放弃此次修改
您也可以双击对应项目打开【编辑黑名单】窗口
3.删除规则
选中待删除的规则,规则加亮显示,单击【删除】按钮 或 在右键菜单中选择【删除】
您也可以选中项目按【Delete】键来删除规则。
选择规则时可配合【Ctrl】键与【Shift】键进行多选。
(2)白名单
此处为完全信任的计算机列表,列表中的计算机对本机有完全访问权限。例如:VPN服务器可加入此区域。
显示内容
列表中显示当前白名单中计算机的名称、地址。
打勾的项表示生效
相关操作
增加规则
单击【增加】按钮或在右键菜单中选择【增加】,打开【增加白名单】窗口
输入名称、地址类型、地址/地址范围,单击【保存】即可
编辑规则
选中待修改的规则,规则加亮显示,在右键菜单中选择【编辑】,打开【编辑白名单】窗口
修改对应项目,单击【保存】完成修改,或单击【取消】放弃此次修改
您也可以双击对应项目打开【编辑白名单】窗口
删除规则
选中待删除的规则,规则加亮显示,单击【删除】按钮 或 在右键菜单中选择【删除】
您也可以选中项目按【Delete】键来删除规则。
选择规则时可配合【Ctrl】键与【Shift】键进行多选。
(3)端口开关
在此处您可以允许或禁止端口中的通讯,可简单开关本机与远程的端口。
显示内容
列表中显示当前端口规则中每一项的端口、动作、协议、计算机
打勾的项表示生效
相关操作
增加规则
单击【增加】按钮或在右键菜单中选择【增加】,打开【增加端口开关】窗口
输入端口列表、协议类型、计算机、执行动作,单击【确定】即可
输入端口号时,多个端口以英文逗号分隔,如:2,4-8,10
编辑规则
选中待修改的规则,规则加亮显示,在右键菜单中选择【编辑】,打开【编辑端口开关】窗口
修改对应项目,单击【确定】完成修改,或单击【取消】放弃此次修改
您也可以双击对应项目打开【编辑端口开关】窗口
删除规则
选中待删除的规则,规则加亮显示,单击【删除】按钮 或 在右键菜单中选择【删除】
确认删除
您也可以选中项目按【Delete】键来删除规则。
选择规则时可配合【Ctrl】键与【Shift】键进行多选。
(4)可信区
通过可信区的设置,可以把局域网和互联网区分对待。
在此处,您可以进行可信区列表和可信区服务的设置。 在可信区内指定局域网计算机的IP,默认对方计算机不在此区域。
如果您的计算机是直接连到互连网的(例如拨号上网),就不要把IP加入可信区。
显示内容
列表中显示当前可信区中项目的名称、本地地址、对方地址
相关操作
增加规则
单击【添加】按钮 或 在右键菜单中选择【增加】,打开【可信区设置】窗口
输入名称、本地地址、对方地址,单击【确定】即可
【本地地址】为“指定地址”时,可以单击【浏览】在列表中选择一个本地地址。
编辑规则
选中待修改的规则,规则加亮显示,在右键菜单中选择【编辑】,打开【可信区设置】窗口
修改对应项目,单击【确定】完成修改,或单击【取消】放弃此次修改
您也可以双击对应项目打开【可信区设置】窗口
删除规则
选中待删除的规则,规则加亮显示,单击【删除】按钮 或 在右键菜单中选择【删除】
确认删除
您也可以选中项目按【Delete】键来删除规则。
选择可信区服务
选中相应规则,在下方勾选【允许Ping入/出】、【LAN下放行对方敏感端口】、【LAN下放行敏感端口】
(5)IP规则
此处设置IP层的过滤规则。
需要注意的是,规则越多性能越低;不需要增加与应用相关的规则,系统在应用需要时打开端口;也不需要增加防范性规
则,系统已经内置并且自动升级。
显示内容
列表中显示当前使用的IP规则,具体列出规则名称、状态、协议、对方端口、本地端口、是否报警
规则按过滤顺序排序
打勾的项表示生效
相关操作
增加规则
单击【增加】按钮 或 在右键菜单中选择【增加】,打开【添加IP规则向导】窗口
输入规则名称,并选择规则匹配成功后执行的动作
单击左侧菜单中的【地址】或单击【下一步】按钮,填写本地地址与对方地址。若指定本地地址,可单击【浏览】按钮选
择一个本地地址
单击左侧菜单中的【协议】或单击【下一步】按钮,进行协议设置,详见『协议设置』
单击左侧菜单中的【报警方式】或单击【下一步】按钮,选择匹配成功后的报警方式,分别为:
托盘动画:防火墙托盘图标变为并且闪烁
气泡通知:通过气泡窗口通知用户,气泡窗口会自动消失
弹出窗口:通过弹出窗口通知用户
记录日志:是否记录日志
声音报警:通过发出报警声音通知用户
插入规则
选定一条已有规则
单击【插入】按钮,弹出【IP规则向导】窗口
其余操作与『增加规则』相同
插入的规则会排列在第1步时选定的规则之前
编辑规则
选中待修改的规则,规则加亮显示,在右键菜单中选择【编辑】,打开【编辑IP规则】窗口
修改对应项目,基本内容与『增加』相同。单击【保存】完成修改,或单击【退出】放弃此次修改
您也可以双击对应项目打开【编辑IP规则】窗口
删除规则
选中待删除的规则,规则加亮显示,单击【删除】按钮 或 在右键菜单中选择【删除】
确认删除
您也可以选中项目按【Delete】键来删除规则。
选择规则时可配合【Ctrl】键与【Shift】键进行多选。
导入规则
单击【导入】按钮,在弹出的文件选择窗口中选中规则文件(*.fwr),再单击【打开】
如果列表中已有规则,导入时会询问是否删除现有规则,您可以选择【是】、【否】或【取消】
导出规则
单击【导出】按钮,在弹出的保存窗口中填写文件名,再单击【保存】
如果您选择的文件已存在,导出时会询问是否覆盖
移动规则
选中待移动的规则,规则加亮显示
在右键菜单中选择【向上移动】/【向下移动】,可将对应规则向上/下移动
您也可以选中项目后按【Ctrl】+【↑】/【↓】键移动规则。
四、网站访问规则
网站访问规则设置,用户通过设置网站访问规则,屏蔽不适合青少年浏览的网站,给孩子创建一个绿色健康的上网环境。
基本设置
启用上网保护
勾选此项,防火墙启动上网保护功能,通过调用瑞星黑名单库,过滤钓鱼网址和病毒木马网址防止钓鱼和病毒等恶意网站的侵害。当上网保护功能关闭后,所有的URL过滤功能自动关闭。
启用家长保护
勾选此项,防火墙将启用家长保护功能。如要关闭家长保护功能,取消勾选即可。复选框的选择,不需保存可立即生效。 只有在启用家长保护后,所有网站访问规则才能够生效。
监控指定的端口
勾选此项并输入端口号然后单击【保存】按钮,防火墙将会监控用户所指定的对方网站端口。在用户不指定端口的情况下,防火墙默认监控80端口。
监控代理上网
如果用户通过代理服务器上网,勾选此项,单击【添加】按钮输入用户所使用的代理服务器的信息。防火墙将会监控代理上网。
(1)黑名单
黑名单中的网站将被禁止访问,用户可将要屏蔽的网站添加到URL黑名单列表中。
相关操作
增加:单击【增加】按钮,输入网站URL,选择使用帐户类型后,单击【确定】保存。
删除:选定要删除的规则,单击【删除】按钮,按【确定】删除。
导入:单击【导入】按钮,在弹出对话框中选择要导入的规则文件,单击【打开】导入规则文件。在弹出的提示框中用户
可以单击“是”选择导入前删除全部现有规则;或单击“否”不删除现有规则。
导出:用户可以选择导出某条或全部规则。选定一条或几条规则,单击【导出】按钮,可将规则导出为*.fwr格式文件。不
选定规则,直接单击【导出】按钮,将导出此名单列表中全部规则。
(2)白名单
白名单中的网站不会被禁止访问,用户可将信任的网站添加到白名单列表中。
相关操作
增加:单击【增加】按钮,输入网站URL,选择使用帐户类型后,单击【确定】保存。
删除:选定要删除的规则,单击【删除】按钮,按【确定】删除。
导入:单击【导入】按钮,在弹出对话框中选择要导入的规则文件,单击【打开】导入规则文件。在弹出的提示框中用户
可以单击“是”选择导入前删除全部现有规则;或单击“否”不删除现有规则。
导出:用户可以选择导出某条或全部规则。选定一条或几条规则,单击【导出】按钮,可将规则导出为*.fwr格式文件。不
选定规则,直接单击【导出】按钮,将导出此名单列表中全部规则。
五、ARP 欺骗
ARP欺骗是通过发送虚假的ARP包给局域网内的其他计算机或网关,通过冒充别人的身份来欺骗局域网中的其他的计算机,使得其他的计算机无法正常通信,或者监听被欺骗者的通信内容。瑞星个人防火墙2008版针对这个问题增加了ARP欺骗防御功能,用户通过设置ARP规则保护计算机的正常通讯。瑞星个人防火墙默认不勾选【启用ARP欺骗防御】选项(如图)。
【定时检查本机ARP缓存】:定时检查防火墙内的ARP缓存表和系统的ARP缓存表,将二者进行比较。默认每一分钟检查一次,用户也可以自己设置时间间隔;
【启用ARP静态地址绑定规则】:勾选此项后,用户设置的ARP静态地址绑定规则才生效;
【拒绝IP地址冲突攻击】:勾选此选项后,当防火墙侦测到局域网中的计算机的IP地址冲突时,会自动阻止所受的攻击并将所受攻击事件记录到日志中;
【发现可疑或欺骗ARP包时如何提示用户】:用户可以选择【气泡通知】、【托盘动画】和【声音报警】三种方式,用户可以同时勾选这三个选项。勾选【记录日志】,防火墙会记录下ARP欺骗事件。
防火墙会自动搜集局域网中各计算机的IP-MAC地址对应表,当发现地址有冲突时,会显示提示框(如图)。单击【添加到ARP静态表中】,防火墙会将用户选择的地址添加到ARP静态表中。
ARP 静态规则
ARP静态规则里存储用户信任的计算机IP-MAC地址对应表(如图),如果有其他的计算机冒充该表内的计算机将被防火墙阻止,并报警提示用户。
用户可以通过添加ARP静态规则来维护一个局域网内的各个计算机的IP地址和MAC地址对应表。这样就能发现某个MAC地址会冒用某个IP。具体操作如下:
单击页面中的【增加】按钮,进入【ARP静态规则】页面(如图 ):
输入计算机名称,单击【获取网关地址】,防火墙自动添加本地计算机网关IP地址和对应的MAC地址;用户也可以输入想要确定的计算机IP地址,单击【自动获取】得到该计算机的MAC地址,最后单击【确定】完成。
注意:用户只有勾选了【启用ARP静态地址绑定规则】选项才会生效。
当发现ARP包内容有地址冲突时,会显示气泡通知(如图):
单击【详细信息】,显示冲突包内容,用户可以选择真实的计算机,单击【更新到静态规则里】后,选中的计算机的IP地址和MAC地址被更新到【ARP静态规则】里。单击【编辑ARP静态规则】,进入编辑页面(如图)。