高级过滤选项

“防火墙”和“网络攻击防护”部分让您可以配置高级过滤选项，来检测可能会对计算机执行的多种类型的攻击和漏洞。

允许的服务

该组中的设置旨在简化从信任区域访问此计算机服务的相关配置。其中许多配置都会启用/禁用预定义的防火墙规则。

•允许在信任区域中共享文件和打印机 - 允许信任区域中的远程计算机访问共享文件和打印机。

•允许在信任区域对系统服务使用 UPNP - 允许对系统服务使用 UPnP 协议的传入和传出请求。UPnP（通用即插即用，又称为 Microsoft Network Discovery）可在 Windows Vista 和更高的操作系统中使用。

•允许信任区域中的传入 RPC 通信 - 启用来自信任区域的 TCP 连接，允许访问 MS RPC Portmapper 和 RPC/DCOM 服务。

•允许信任区域中的远程桌面 - 启用通过 Microsoft 远程桌面协议 (RDP) 的连接，并允许信任区域中的计算机使用采用 RDP（例如，远程桌面连接）的程序来访问您的计算机。

•允许通过 IGMP 登录多播组 - 允许传入/传出 IGMP 和传入 UDP 多播流，例如使用 IGMP 协议（Internet 组管理协议）的应用程序生成的视频流。

•允许桥接通信 - 如果启用该选项，则允许桥接通信。

•允许 Metro 应用程序 - 根据 Metro 应用程序清单，允许在 Metro 环境中运行的 Windows 应用商店应用程序的通信。 此选项将重写 Metro 应用程序的所有规则和例外，不管您在 ESET 防火墙设置中选择的是交互模式还是基于策略的模式。

•允许对信任区域中的系统服务自动执行 Web Services Discovery (WSD) - 允许信任区域中的传入 Web Services Discovery 请求通过防火墙。WSD 是指用于在本地网络中查找服务的协议。

•允许信任区域中的多播地址解析 (LLMNR) - LLMNR（本地链接多播名称解析）是基于 DNS 数据包的协议，它允许 IPv4 和 IPv6 主机对同一本地链接上的主机执行名称解析，而无需请求 DNS 服务器或 DNS 客户端配置。该选项允许信任区域中的传入多播 DNS 请求通过防火墙。

•支持 Windows 家庭组 - 启用对 Windows 7 和更高操作系统的家庭组支持。家庭组能够共享家庭网络上的文件和打印机。要配置家庭组，请导航到开始 > 控制面板 > 网络和 Internet > 家庭组。

入侵检测

•协议 SMB - 检测和阻止 SMB 协议中的各种安全问题，即：

•流氓服务器挑战攻击身份验证检测 - 保护您免受身份验证期间使用流氓挑战获取用户凭据的攻击。

•命名管道打开期间 IDS 逃避检测 - 检测 SMB 协议中用于打开 MSRPC 命名管道的已知逃避技术。

•CVE 检测（常见漏洞和暴露）- 对各种攻击、形式、安全漏洞和 SMB 协议漏洞实施的检测方法。请参阅 CVE 网站 (cve.mitre.org)，搜索和获取有关 CVE 标识符 (CVE) 的更详细信息。

•协议 RPC - 检测和阻止为分布式计算环境 (DCE) 开发的远程过程调用系统中的各种 CVE。

•协议 RDP - 检测和阻止 RDP 协议中的各种 CVE（如上所述）。

•ARP 投毒攻击检测 - 检测在中间人攻击时人为触发的 ARP 投毒攻击，或检测网络切换时的探查。网络应用程序或设备使用 ARP（地址解析协议）来确定以太网地址。

•允许响应信任区域以外的 ARP 请求 - 如果您想要系统响应来自信任区域以外 IP 地址的 ARP 请求，请选择此选项。网络应用程序使用 ARP（地址解析协议）来确定 Ethernet 地址。

•DNS 投毒攻击检测 - 检测 DNS 投毒 - 消除对 DNS 请求的虚假回答（由攻击者发送），该回答可将您定向到虚假和恶意网站。DNS（域名系统）是分布式的数据库系统，它们可在用户友好的域名和数字 IP 地址之间转换，并允许用户使用其域名直接引用网站。请阅读词汇表中更多关于此类攻击的信息。

•TCP/UDP 端口扫描攻击检测 - 检测端口扫描软件的攻击。应用程序旨在探查主机的开放端口，通过向各种端口地址发送客户端请求，查找活跃的端口并利用服务的漏洞。请阅读词汇表中更多关于此类攻击的信息。

•攻击检测之后阻止不安全的地址 - 将已检测为攻击源的 IP 地址添加到黑名单，以在一定时间内阻止连接。

•攻击检测之后显示通知 - 启用屏幕右下角的系统托盘通知。

•还为针对安全漏洞的传入攻击显示通知 - 如果检测到针对安全漏洞的攻击或威胁试图以此方式进入系统，则会发出警报。

数据包检测

•允许在 SMB 协议下对管理员共享的传入连接 - 管理员共享是默认的网络共享，它和系统文件夹 (ADMIN$) 共享系统中的硬盘分区（C$ 和 D$ 等等）。禁用对管理员共享的连接将降低许多安全风险。例如，Conficker 蠕虫会执行字典攻击，以便连接到管理员共享。

•拒绝旧的(不受支持的)SMB 方言 - 拒绝使用旧的 SMB 方言（不受 IDS 支持）的 SMB 会话。由于现代 Windows 操作系统可向后兼容旧的操作系统（例如 Windows 95），因此它支持旧的 SMB 方言。攻击者可以在 SMB 会话中使用一种旧方言从而避免通信检测。如果计算机无需与使用旧版本的 Windows 的计算机共享文件（或使用一般的 SMB 通信），请拒绝旧的 SMB 方言。

•拒绝无扩展安全性的 SMB 会话 - 可以在 SMB 会话协商期间使用扩展的安全性，以便提供比 LAN 管理器挑战/响应 (LM) 身份验证更安全的身份验证机制。LM 方案是一种较弱的验证机制，因而不建议使用。

•拒绝在 SMB 协议下在信任区域外的服务器上打开可执行文件 - 当您尝试从不属于防火墙中信任区域的服务器上的共享文件夹打开可执行文件（.exe、.dll...）时，将弃用连接。请注意，从受信任的源复制可执行文件可能合法，但是此检测应降低在恶意服务器上意外打开某个文件的风险（例如，通过单击指向共享的恶意可执行文件的超链接而打开的文件）。

•拒绝在 SMB 协议下对连接信任区域内/外的服务器的 NTLM 身份验证 - 使用 NTLM（两种版本）身份验证方案的协议受到用于转发攻击（在 SMB 协议下，也称为 SMB 中继攻击）的凭据的约束。拒绝对信任区域外的服务器的 NTLM 身份验证可以降低由信任区域外恶意服务器转发凭据而带来的风险。同样地，您可以拒绝对信任区域内的服务器的 NTLM 身份验证。

•允许与安全帐户管理器服务的通信 - 有关此服务的详细信息，请参阅 [MS-SAMR]。

•允许与本地安全验证服务的通信 - 有关此服务的详细信息，请参阅 [MS-LSAD] 和 [MS-LSAT]。

•允许与远程注册表服务的通信 - 有关此服务的详细信息，请参阅 [MS-RRP]。

•允许与服务控制管理器服务的通信 - 有关此服务的详细信息，请参阅 [MS-SCMR]。

•允许与服务器服务的通信 - 有关此服务的信息，请参阅 [MS-SRVS]。

•允许与其他服务的通信 - 其他 MSRPC 服务。MSRPC 是指 DCE RPC 机制的 Microsoft 实现。此外，MSRPC 可以将 SMB（网络文件共享）协议中的命名管道用于传输 (ncacn_np transport)。MSRPC 服务提供用于远程访问和管理 Windows 系统的接口。在 Windows MSRPC 系统中发现了很多被恣意使用的安全漏洞（Conficker 蠕虫和 Sasser 蠕虫等等）。禁用与不需要的 MSRPC 服务的通信可降低许多安全风险（例如，远程代码执行或服务故障攻击）。

•检查 TCP 连接状态 - 检查所有 TCP 数据包是否属于现有连接。如果数据包不存在于连接中，则将中断。

•保持未使用的 TCP 连接 - 为了正常工作，某些应用程序即使在 TCP 连接可能处于未使用状态时，也要求保持所建立的 TCP 连接。选中该选项可避免中断不使用的 TCP 连接。

•TCP 协议过载检测 - 此方法的原理是让计算机/服务器处理多个请求，另请参见 DoS（拒绝服务攻击）。

•ICMP 协议消息检查 - 阻止利用 ICMP 协议的弱点所发起的攻击，这可能导致计算机没有响应 - 另请参阅 DoS（拒绝服务攻击）。

•ICMP 协议检测中的隐密数据 - 检查 ICMP 协议是否用于数据传输。许多恶意技术使用 ICMP 协议来绕过防火墙。

请参阅此 ESET 知识库文章了解此帮助页的更新版本。