在Kerio winroute firewall6.0.1透明代理模式下，需要三个条件才能进行BT下载
1.连接到发布BT的WEB服务器，以便提交自己的监听端口和获取正在下载的其它人的连接端口。
2.发起主动连接。
3.接受别人的连接。

如果不对KWF做设置，BT肯定不会下到任何东西。
分析：
发布BT的WEB服务器，使用的端口各不相同，有8000，6969，7802……，大家使用的BT软件各不不相同，其监听端口也不同，并且还可以自己修改，所以即使获得了别人连接端口，也无法主动连接成功。KWF策略不允许。
不做端口映射，别人也无法连到你的机器。
下面提出我的解决方法：
对于第一、二个条件，由于使用的端口太杂乱，无法定义一种服务，使其通过，可以在KWF中建一用户，然后定义一条策略，使其能使用任何服务，即any。用BT下载时，只需先登录防火墙即可。
对第三个条件，必须做端口映射，或开UPNP服务。
这样才能使BT下载达到全速。

（2004-07-13 11:35）

来源：KWF中文站

关于Kerio Winroute Firewall的使用详解在KWF中文站，可以通过以下URL浏览：

http://onlyforyou.west263.com/skill.htm

该页面上提供PDF版本的下载

此使用详解是根据5.x版本来写的，6.x中新增加的功能及VPN功能的使用详解，可以在本站的技术文章中找到。

 

来源：Kerio

Knowledgebase:什么是协议检查器

译自kerio.com中Knowledgebase[What is a Protocol Inspector?], by feijing, 2004.09.05

答案

协议检查器是WinRoute防火墙的一部分，它能理解高层次的互联网语言，比如HTTP或者FTP。它被称为检查器是因为它会在检查流量之后才将它们放行。

讨论

互联网协议的简单说明

互联网上的计算机之间使用许多不同类型的语言（或者称之为协议）来交谈。这之中，最基本的是IP协议（Internet Protocol），它用来取得各计算机的地址以及解释怎样从一个地址去往其它的地址。

IP协议中并没有包含太多信息，所以在IP协议层之上还建立有其它的语言，比如传输控制协议（TCP），它用来说明某些IP消息集全都属于同一个会话（或传输）。

尽管如此，那也只说明了在两台计算机之间如何通信，而没有说明你通信的内容。在TCP协议层之上建立有许多语言来说明你通信的内容，最常见的语言是超文本传输协议（HTTP），用来将web页面从web服务器传输到web浏览器。

以前的防火墙

旧的防火墙只能理解低层次的互联网语言，如IP（Internet Protocol）或者TCP（Transmission Control Protocol）。这样的结果是，防火墙只能基于那些低层语言所包含的有限信息来过滤流量。你可以指定允许流量去向何方，却不能指定允许通过的内容。

WinRoute防火墙及协议检查器

协议检查器是WinRoute防火墙的一部分，它能理解高层次的互联网语言，比如FTP（File Transfer Protocol，用来下载文件）或者HTTP（Hypertext Transfer Protocol，用来浏览web网站）

这些语言的每一个消息都是由许多TCP或IP消息组成的。这些更小的消息被称为packets（封包），它们被WinRoute防火墙收集、解码，然后提交给相应的协议检查器。

它们有什么好处？

协议检查器让WinRoute防火墙有能力去做许多旧防火墙所不能做的事情。

比如说，由于WinRoute防火墙能理解HTTP，所以它能集成Cobion Orange过滤器并且基于分类过滤用户访问的web站点。WinRoute防火墙还可以搜索web页面上的一些被禁止的词汇，从而拒绝对这些页面的访问。

为了更高的安全，WinRoute还可以控制互联网FTP服务器与您公司网络间所允许的消息类型。

最后，许多互联网协议不能正确地通过防火墙。使用协议检查器，WinRoute防火墙可以在它们通过时修复它们，使其正常工作。

WinRoute防火墙与UPnP（通用即插即用）

--------------------------------------------------------------------------------

答 案

UPnP是通用即插即用（Universal Plug and Play）的简写。UPnP是一种让用户不必去配置防火墙即可让网络好好工作的方法。运行在局域网内的UPnP应用程序可以在防火墙上定义它自己的NAT转换规则，以允许外界的计算机访问它。目前我们所知使用UPnP的唯一应用程序是Microsoft的MSN Messenger。

UPnP涉及安全问题 -- 在你启用UPnP之前请确信你理解它。

讨 论

我如何为UPnP来配置WinRoute防火墙？

1. 打开Kerio管理控制台，并连接到你的防火墙。
2. 进入Configuration中的Advanced Options。
3. 在"Enable UPnP"前打勾。

另外请注意，根据UPnP的标准，兼容UPnP的防火墙必须允许所有的出站流量。是否这样设置防火墙由用户自己决定，但不建议在高安全要求的环境下这样设置。

为什么使用UPnP？

设计UPnP时，它期望让用户不必了解复杂网络背后的技术就能轻松使用它。UPnP期望将网络变得“即插即用”。

然而，使用UPnP的唯一成熟应用程序就只是Microsoft的MSN Messenger。

UPnP在Kerio WinRoute防火墙中干了些什么？

注意：WinRoute Firewall 5中的UPnP不能与新版的MSN Messenger协同工作。这个问题有望在WinRoute Firewall 6中得到解决。

UPnP协议本身非常，非常的复杂。花了很长时间才出现使用UPnP的产品。目前，WinRoute Firewall的UPnP支持还局限在Microsoft的MSN Messenger上，它也是所知唯一使用UPnP的成熟应用程序。

MSN Messenger与UPnP防火墙通信的两种情形：

• 当你启动MSN Messenger，它连接到中心MSN系统。
• 当需要第二条连接时，比如语音或者文件传送。

1. MSN Messenger“搜索”一个支持UPnP的防火墙。
2. WinRoute“宣告”它自己是一个支持UPnP的防火墙。
3. MSN Messenger与WinRoute计算机会话，请求打开一个随机的入站端口并且映射到MSN Messenger所运行的计算机上。
4. WinRoute打开这些端口并映射到对应的计算机上。这相当于在Traffic Policy中建立以下规则：

   Code:
   [Copy to clipboard]

   Source: [Internet]
   Destination: Firewall host
   Service: [MSN Messenger所指定打开的TCP或UDP端口]
   Action: Permit (Green Check)
   Translation: Detination NAT, Translate To: [MSN Messenger所运行的计算机IP地址]

5. WinRoute告诉MSN Messenger打开了哪些端口。
6. MSN Messenger“宣告”（通过防火墙）它已经可以被连接。此连接可以用来通过MSN Messenger发送文件或图片什么的，或者用来与MSN中心服务器通信（这样你就可以看到你的朋友并且与他们交谈）。

UPnP会带来安全风险吗？

既会也不会。

完整的UPnP协议允许一台局域网内的计算机不必经过系统管理员的批准就成为一台互联网服务器。这可以认为是一个安全隐患。

它还“宣告”了本地网络中可用的服务（倘若这些服务是兼容UPnP的，然而多数情况都不是）。这既可以认为是隐私问题,也是安全问题。

无论如何，与WinRoute的UPnP一同工作的程序只有MSN Messenger。如果你信任MSN Messenger，那么你就可以信任UPnP。当然，如果一个病毒伪装成MSN Messenger，它就可以做MSN Messenger能做的任何事情。

在安全第一的环境下，我们建议你禁用UPnP。