Kaspersky Endpoint Security 12.7 for Windows

用 XML 定义网络数据包规则

防火墙允许以 XML 格式导出网络数据包规则。然后可以修改文件,例如,添加大量相同类型的规则。

XML 文件包含两个主要节点:RulesResourcesRules节点列出网络数据包规则。此节点包含默认配置的规则(预定义规则)以及用户添加的规则(自定义规则)。

网络数据包规则标记

<key name="0000"> <tDWORD name="RuleId">100</tDWORD> <tDWORD name="RuleState">1</tDWORD> <tDWORD name="RuleTypeId">4</tDWORD> <tQWORD name="AppIdEx">0</tQWORD> <tDWORD name="ResIdEx">812</tDWORD> <tDWORD name="ResIdEx2">0</tDWORD> <tDWORD name="AccessFlag">2</tDWORD> </key>

XML 格式的网络数据包规则设置

参数

描述

<key name="0000">

规则优先级。值越低,优先级越高。

整数

优先级值必须由 4 位数字组成。XML 文件中的节点必须按优先级值排列,从 0000 开始。

RuleId

规则 ID。

预定义规则

100通过 TCP 请求 DNS 服务器

101通过 UDP 请求 DNS 服务器

102发送电子邮件消息

110任何网络活动受信任网络)。

125任何网络活动本地网络)。

130远程桌面网络活动

131通过本地端口的 TCP 连接

132通过本地端口的 UDP 连接

133传入的 TCP 流

134传入的 UDP 流

137ICMP 目的地无法接通传入响应

138ICMP 回显应答传入数据包

140ICMP 超时传入响应

142传入的 ICMP 流

266ICMPv6 回显请求传入数据包

RuleState

规则状态。

0 – 预定义规则已禁用

1 – 预定义规则已启用

2 – 自定义规则已禁用

3 – 自定义规则已启用

RuleTypeId

规则类型 ID。

4 – 网络数据包规则。

AppIdEx

网络数据包规则所属的应用程序的 ID。

如果规则不属于任何应用程序,则值是 0

ResIdEx

具有规则设置的资源的主 ID。您可以使用此标识符在“Resources”节点中查找具有规则设置的块。

整数

ResIdEx2

网络类型 ID。

0任何地址

50受信任网络

51本地网络

52公用网络

<Network Identifier>来自列表的地址 (地址是手动定义的)。

AccessFlag

操作参数的值。

0允许

2根据应用程序规则

3阻止

4允许记录事件

6根据应用程序规则记录事件

7阻止记录事件

</key>

 

 

Resources”节点包含网络数据包规则设置。自定义网络数据包规则设置列于“<key name="0004">”块中。

自定义网络数据包规则标记

<key name="0026"> <key name="Data"> <key name="RemotePorts"> </key> <key name="LocalPorts"> </key> <key name="AdapterBindings"> <key name="0000"> <key name="IpAddresses"> <key name="0000"> <key name="IP"> <key name="V6"> <tQWORD name="Hi">0</tQWORD> <tQWORD name="Lo">0</tQWORD> <tDWORD name="Zone">0</tDWORD> <tSTRING name="ZoneStr"/> </key> <tBYTE name="Version">4</tBYTE> <tDWORD name="V4">16909060</tDWORD> <tBYTE name="Mask">32</tBYTE> </key> <key name="AddressIP"> </key> <tSTRING name="Address"/> </key> </key> <key name="MacAddresses"> <key name="0000"> <tDWORD name="Type">0</tDWORD> <tQWORD name="AddressData0">1108152157446</tQWORD> <tQWORD name="AddressData1">0</tQWORD> </key> </key> <tSTRING name="AdapterName">ADAPTER TEST 123</tSTRING> <tDWORD name="InterfaceType">3</tDWORD> </key> </key> <tTYPE_ID name="unique">3213697024</tTYPE_ID> <tBYTE name="Proto">2</tBYTE> <tBYTE name="Direction">2</tBYTE> <tBYTE name="IcmpType">0</tBYTE> <tBYTE name="IcmpCode">0</tBYTE> <tDWORD name="Flags">1</tDWORD> <tBYTE name="TTL">255</tBYTE> </key> <key name="Childs"> </key> <tDWORD name="Id">1073747214</tDWORD> <tDWORD name="ParentID">7</tDWORD> <tDWORD name="Flags">38</tDWORD> <tSTRING name="Name">TEST1</tSTRING> </key>

自定义网络数据包规则设置

参数

描述

<key name="Data">

参数 ID 块。

整数

RemotePorts

远程端口参数的值。

远程端口范围列表。

LocalPorts

本地端口参数的值。

本地端口范围列表。

AdapterBindings

网络适配器参数的值。

IpAddressesIP 地址参数的值。

MacAddressesMAC 地址参数的值。

AdapterName – 网络适配器的名称。

InterfaceType界面类型参数的值:

  • 0其他
  • 1环回网络
  • 2有线网络(以太网)
  • 3无线网络(Wi-Fi)
  • 4隧道
  • 5PPP 连接
  • 6PPPoE 连接
  • 7VPN 连接
  • 8Modem 连接

unique

结构的内部 ID。

整数

建议保持此参数不变。

Proto

协议参数的值。

0 – 已禁用。

1ICMP

2IGMP

6TCP

17UDP

47GRE

58ICMPv6

Direction

方向参数的值。

1入站(包)

2出站(包)

3入站/出站

4入站

5出站

IcmpType

ICMP 类型参数的值。

ICMP 协议

0Echo Reply(ICMP)或已禁用。

3Destination Unreachable(ICMP)。

4Source Quench

5Redirect

6Alternate Host Address

8Echo Request

9Router Advertisement

10Router Solicitation

11Time Exceeded

12Parameter Problem

13Timestamp

14Timestamp Reply

15Information Request

16Information Reply

17Address Mask Request

18Address Mask Reply

30Traceroute

31Datagram Conversion Error

32Mobile Host Redirect

33IPv6 Where-Are-You

34IPv6 I-Am-Here

35Mobile Registration Request

36Mobile Registration Reply

37Domain Name Request

38Domain Name Reply

40Photuris

ICMPv6 协议

1Destination Unreachable

2Packet Too Big

3Time Exceeded

4Parameter Problem

128Echo Request

129Echo Reply

130Multicast Listener Query

131Multicast Listener Report

132Multicast Listener Done

133Router Solicitation

134Router Advertisement

135Neighbor Solicitation

136Neighbor Advertisement

137Redirect Message

138Router Renumbering

139ICMP Node Information Query

141Inverse Neighbor Discovery Solicitation Message

142Inverse Neighbor Discovery Advertisement Message

143Version 2 Multicast Listener Report

144Home Agent Address Discovery Request Message

145Home Agent Address Discovery Reply Message

146Mobile Prefix Solicitation

147Mobile Prefix Advertisement

148Certification Path Solicitation Message

149Certification Path Advertisement Message

151Multicast Router Advertisement

152Multicast Router Solicitation

153Multicast Router Termination

IcmpCode

ICMP 代码参数的值。

0代码 0 或已禁用。

1代码 1

2代码 2

Flags

结构属性指针。

整数

建议保持此参数不变。

TTL

生存时间(TTL)参数的值。

以秒为单位的值。如果禁用,则值为 0

</key>

 

 

Id

资源的主 ID(参见“Rules”节点)。

整数

ParentID

父组 ID。

整数

建议保持此参数不变。

Flags

规则状态。

6 – 规则已禁用。

38 – 规则已启用。

Name

网络数据包规则名称。

字符串

页面顶部

[Topic 245114]