允许的服务和高级选项

“防火墙”和“网络攻击防护”部分中的高级选项使您能够配置从信任区域对运行在计算机上的某些服务的访问。

您可以启用或禁用对多种类型的攻击和漏洞利用(可能会损害您的计算机)的检测。

note

在某些情况下,您不会收到有关阻止的通信的威胁通知。有关查看防火墙日志中所有已阻止的通信的说明,请参见记录日志并从中创建规则或例外部分。

important

此窗口中特定选项的可用性可能不同,具体取决于 ESET 产品和防火墙模块的类型或版本,以及操作系统的版本。

icon_section 允许的服务

该组中的设置旨在简化从信任区域访问此计算机服务的相关配置。其中许多配置都会启用/禁用预定义的防火墙规则。您可以在高级设置 (F5) > 网络防护 > 防火墙 > 高级 > 允许的服务中编辑允许的服务。

允许在信任区域中共享文件和打印机 - 允许信任区域中的远程计算机访问共享文件和打印机。

允许在受信任的区域中对系统服务使用 UPNP - 允许对系统服务使用 UPnP 协议的传入和传出请求。UPnP(通用即插即用,又称为 Microsoft Network Discovery)可在 Windows Vista 和更高的操作系统中使用。

允许信任区域中的传入 RPC 通信 - 启用来自信任区域的 TCP 连接,允许访问 MS RPC Portmapper 和 RPC/DCOM 服务。

允许信任区域中的远程桌面 - 启用通过 Microsoft 远程桌面协议(RDP)建立的连接并允许信任区域中的计算机通过使用 RDP 的程序(例如,远程桌面连接)访问您的计算机。

启用通过 IGMP 登录多播组 - 允许传入/传出 IGMP 和传入 UDP 多播流,例如使用 IGMP 协议(Internet 组管理协议)的应用程序生成的视频流。

允许桥接连接通信 - 选中此选项可避免中断桥接连接。桥接网络使用主机计算机的以太网适配器将虚拟机连接到网络。如果使用桥接网络,虚拟机可以访问网络上的其他设备(反之亦然),就好像它是网络上的物理计算机。

允许对信任区域中的系统服务自动执行 Web Services Discovery (WSD) - 允许信任区域中的传入 Web Services Discovery 请求通过防火墙。 WSD 是指用于在本地网络中查找服务的协议。

允许信任区域中的多播地址解析 (LLMNR) - LLMNR(本地链接多播名称解析)是基于 DNS 数据包的协议,它允许 IPv4 和 IPv6 主机对同一本地链接上的主机执行名称解析,而无需 DNS 服务器或 DNS 客户端配置。该选项允许信任区域中的传入多播 DNS 请求通过防火墙。

支持 Windows 家庭组 - 启用对 Windows 7 和更高操作系统的家庭组支持。家庭组可以在家庭网络上共享文件和打印机。要配置家庭组,请导航到开始 > 控制面板 > 网络和 Internet > 家庭组

icon_section 入侵检测

入侵检测会监控设备网络通信以查找恶意活动。您可以编辑这些设置高级设置 (F5) > 网络防护 > 网络攻击防护 > 高级选项 > 入侵检测

协议 SMB - 检测和阻止 SMB 协议中的各种安全问题

协议 RPC - 检测和阻止为分布式计算环境 (DCE) 开发的远程过程调用系统中的各种 CVE。

协议 RDP - 检测和阻止 RDP 协议中的各种 CVE(如上所述)。

ARP 投毒攻击检测 - 检测在中间人攻击时触发的 ARP 投毒攻击,或检测网络切换时的探查。网络应用程序或设备使用 ARP(地址解析协议)来确定以太网地址。

TCP/UDP 端口扫描攻击检测 - 检测端口扫描软件的攻击 - 应用程序旨在探查主机的开放端口,通过向各种端口地址发送客户端请求,查找活跃的端口并利用服务的漏洞。请阅读词汇表中关于此类攻击的更多信息。

攻击检测之后阻止不安全的地址 - 将已检测为攻击源的 IP 地址添加到黑名单,以在一定时间内阻止连接。

攻击检测之后显示通知 - 启用屏幕右下角的系统托盘通知。

还为针对安全漏洞的传入攻击显示通知 - 如果检测到针对安全漏洞的攻击或威胁试图以此方式进入系统,则会发出警报。

icon_section 数据包检测

一种过滤通过网络传输的数据的数据包分析。您可以编辑这些设置高级设置 (F5) > 网络防护 > 网络攻击防护 > 高级选项 > 数据包检测

允许在 SMB 协议下对管理员共享的传入连接 - 管理员共享是默认的网络共享,它和系统文件夹 (ADMIN$) 共享系统中的硬盘分区(C$D$ 等等)。禁用对管理员共享的连接将降低许多安全风险。例如,Conficker 蠕虫会执行字典攻击,以便连接到管理员共享。

拒绝旧的(不受支持的) SMB 方言 - 拒绝使用旧的 SMB 方言(不受 IDS 支持)的 SMB 会话。由于现代 Windows 操作系统向后兼容旧的操作系统(例如 Windows 95),因此它支持旧的 SMB 方言。攻击者可以在 SMB 会话中使用一种旧方言从而避免通信检测。如果计算机无需与使用旧版本的 Windows 的计算机共享文件(或使用 SMB 通信),请拒绝旧的 SMB 方言。

拒绝无扩展安全性的 SMB 会话 - 可以在 SMB 会话协商期间使用扩展的安全性,以便提供比 LAN 管理器挑战/响应 (LM) 身份验证更安全的身份验证机制。LM 方案是一种较弱的验证机制,因而不建议使用。

拒绝在 SMB 协议下在信任区域外的服务器上打开可执行文件 - 当您尝试从不属于防火墙中信任区域的服务器上的共享文件夹中打开可执行文件(.exe、.dll...)请注意,从受信任源复制可执行文件可能是合法的。时,将弃用连接。 请注意,从受信任的源复制可执行文件可能合法,但是此检测应降低在恶意服务器上意外打开某个文件的风险(例如,通过单击指向共享的恶意可执行文件的超链接而打开的文件)。

拒绝在 SMB 协议下对连接信任区域内/外的服务器的 NTLM 身份验证 - 使用 NTLM(两种版本)身份验证方案的协议受到用于转发攻击(在 SMB 协议下,也称为 SMB 中继攻击)的凭据的约束。拒绝对信任区域外的服务器的 NTLM 身份验证可以降低由信任区域外恶意服务器转发凭据而带来的风险。同样地,可以拒绝对信任区域内的服务器的 NTLM 身份验证。

允许与安全帐户管理器服务的通信 - 有关此服务的详细信息,请参阅 [MS-SAMR]

允许与本地安全验证服务的通信 - 有关此服务的详细信息,请参阅 [MS-LSAD][MS-LSAT]

允许与远程注册表服务的通信 - 有关此服务的详细信息,请参阅 [MS-RRP]

允许与服务控制管理器服务的通信 - 有关此服务的详细信息,请参阅 [MS-SCMR]

允许与服务器服务的通信 - 有关此服务的信息,请参阅 [MS-SRVS]

允许与其他服务的通信 - 其他 MSRPC 服务。