McAfee Host Intrusion Prevention

McAfee Host Intrusion Prevention是一款集防火墙功能和HIPS于一身的主动防御和防火墙软件，将其与 McAfee VirusScan Enterprise 8.5/8.7搭配组成完整而强大的安全防御系统。对于初级电脑用户来说，仅仅开启默认设置，就已经可以使电脑得到很好的保护，而对于中高级电脑用户来说，这两款软件所具备的强大定制功能，更可使得你在经过一段时间的学习和实践后，定制出堪称同类安全软件中最强的防御效果。

注意

     1、Server版需安装有 ePO，Windows XP 用户请下载 Client 版。

　 　2、HIP 安装时界面一闪而过，不会出现“安装已完成”的提示，但实际上已安装成功。

　 　3、安装后，请进入安全模式，打上汉化补丁。

　 　4、HIP 安装后默认不显示任务栏图标，如需打开，请依次点击 开始 → 所有程序 → McAfee → Host Intrusion Prevention ，此时会打开 HIP 的设置窗口，点击“任务”解锁后，将 编辑 → 选项 中勾选“显示任务栏图标”。

     5、安装hip前要首先暂停vse的访问保护，否则驱动的安装就会被拦截”。

 安装须知

1、安装 HIP 7.0 之前，你的电脑上必须安装有 McAfee Common Management Agent 3.6 （McAfee VirusScan Enterprise 8.5/8.7自带），否则将不能安装。这意味着你必须先安装有 VSE 8.5/8.7 或自行单独安装 CMA 3.6，选择后者的用户请从官网下载 CMA 3.6 的相关文件。

2、如果你用的系统不是服务器操作系统，或你安装了 Windows Server 2003，但不想安装 ePO，请安装 Client 版，否则将无法安装。

3、建议安装英文版的 HIP 7.0，而不是繁体中文版。英 文版的 HIP 7.0 内容更全，而更重要的是，繁体中文版可能存在一些问题。在汉化 HIP 7.0 时，我发现繁体中文版 HIP 7.0 的语言包居然是针对测试版的 HIP 7.0 制作，更麻烦的是，在其记录 HIPS 引擎部分数据的 HipsEngines.txt 中，居然记录的是与正式版不同的 HipsEnginePreProcHash。如果仅仅是这个记录错了，那还好，只会导致繁体中文版的相关功能可能失效或出错；而如果这个记录没错，而是 繁体中文版中对应的文件版本比正式版低，那在打上我基于英文版 HIP 7.0 的汉化补丁则又会导致上述问题。总而言之，为了避免麻烦或可能的麻烦，强烈建议大家安装的是 HIP 7.0 英文版。

4、如果你之前安装了 MDF 或低版本的 HIP 或 繁体中文版的 HIP 7.0，请先行卸载并重启后安装，有时候 HIP 的升级安装可能会导致一些问题发生。

5，请点击 HIP 7.0 安装包中的“McAfeeHIP_ClientSetup.msi”文件进行安装，这样你才能看到安装界面，而如果你点击的是 “McAfeeHIP_ClientSetup.exe”，则将会是静默安装，丢下茫然不知所措的你在一边发呆，而实际上它已经悄悄安装上了。

 6，在安装 HIP 7.0 英文版后，请重新启动，再进入安全模式，安装HIP 7.0 汉化补丁，或安装在界面上加上一些使用说明和建议的汉化＋备注补丁，除非你喜欢对着英文界面。

        7， 自从 MDF 8.0 以后所有版本的 MDF 和 HIP 几乎都有一个问题，就是在系统启动时如果开着 ADSL 或路由的时候，容易出现两个任务栏图标，解决方法请下载我编写的 MDF HIP 任务栏图标正常显示补丁,此外，我发现如果你运行一遍 CMA 的独立安装程序，也可以基本解决这个问题。

　 　8，如果你要卸载 HIP 7.0，请先打开 HIP 设置界面，依次点击帮助→疑难解答，接下来在弹出的窗口上，务必确保勾选了“在添加或删除列表中显示程序”，否则你将找不到卸载 HIP 7.0 的地方。此外，你还注意，你在卸载前，必须关闭 HIP 7.0 的主机 IPS 功能。主机 IPS 会保护 HIP 目录和设置，并确保 HIP 不会被卸载。

　二，使用须知
　 　1，在安装 HIP 7.0 后，任务栏图标默认是不显示的，这会给日常使用带来不便，要解决请依次点击开始菜单→所有程序→McAfee→Host Intrusion Prevention，这时会打开 HIP 的主界面，然后依次点击编辑→选项，在弹出的窗口中，勾选“显示任务栏图标”
　 　2，HIP 7.0 安装后，默认开启了主机 IPS 和网络 IPS，但没有开启防火墙策略，请自行开启。这也是由 HIP 设计初衷是方便大企业安全管理人员统一发布和管理的特点决定的，所以，请你在安装 HIP 7.0 后，却发现开启网络软件却没有弹出请求提示时，不要责怪 HIP 7.0 的设计不够人性化。
       3， 事实上，最影响大家决定是否安装、使用和卸载 HIP 7.0 最重要的原因是 HIP 默认有密码保护，在你打开设置窗口时，几乎所有的选项都是灰色、不可调的，你必须依次点击解锁（任务）→解锁用户窗口，在弹出的窗口上输入正确的密码后 （默认为“abcde12345”），方能进行设置。

　 是的，这种方便大企业统一管理的设置对桌面用户来说，会带来不便。但这将会是多大的不便呢？但是，请问一下自己，日常应用时，你需要经常打开设置界面进行 修改吗？当然不会，事实上，平时大家需要接触 HIP 的时候通常都是有应用程序访问网络需请示你是否准许时，而这，是不需要解锁的。这也就是说，你仅仅在很少的时候才需要打开 HIP 设置界面。

　 　我想绝大多数使用 HIP 的用户，同时也是 VSE 的用户，请回想一下我们初次接触 VSE 时的体验，那时，你会感觉想要打开它的主界面，也是不便的，你无法像通常情况一下通过双击任务栏图标的方法来打开 VSE 设置界面，而是必须先在任务栏图标上点击右键，然后点击 VirusScan 控制台。我想在初次使用 VSE 的时候，大家也会因此觉得不便吧，而过了一段时间后呢，你将会养成一个习惯而浑然不知，就像你用 HIP 久了，也会养成解锁的习惯一样。

　 　3，关于 HIP 选项，除了上面提过的要勾选“显示任务栏图标”以外，你还需注意：如果你不想平时使用电脑时猛地听到可怕的警报声，请不要勾选“播放声音”；一般情况下， 你也无需勾选“显示 Pop-UP 警报”和“闪烁任务栏图标”，因为即便入侵发生了，也被 HIP 自动阻止了，不用你干预，而如果你又不用像企业安全管理人员那样必须第一时间知道的话，这两个选项是无需勾选的，你可以通过常看“活动日志”在时候浏览你 的 HIP 曾抵御过那些入侵行为。至于“创建嗅探器跟踪（如果可用）”一项，建议有兴趣的朋友勾选。
　 　4，关于 IPS 策略。我曾在上一篇文章中详细介绍过在 ePO 管理下 IPS 签名（行为规则）比 VSE 8.5 访问保护功能更强大、定制更方便，但如果你是 Windows XP 用户，或你安装了 Windows Server 2003 但不想安装 ePO，如何对待被限制了的 IPS 功能，将是你是否会继续选用 HIP 7.0 的一个关键因素。
　 事实上，HIP 预设的主机 IPS 和网络 IPS 已经能够很好的保护你的电脑不受入侵了，即便用不了 ePO   对 HIP 行为规则（签名）强大的管理功能，也无需大惊小怪，因为 IPS 行为规则其实在大多数情况下与 VSE 的访问保护是相似的，大多数 IPS 行为规则可以用 VSE 的访问保护规则的方式设定。而且 VSE 下已经有很多朋友提供的现成规则，更方便。这样，你可以一方面开启 HIP 预设主机 IPS 和网络 IPS，另一方面配合使用 VSE 的访问保护功能，这样搭建的主机防御系统同样是完整的，且同样具有方便的定制性。

　 5，关于防火墙策略，与 MDF 一脉相承的部分我就不多讲了，在这里要讲的还是一个必须在 ePO 中管理、在 HIP 中被限制了的部分设置。有些朋友就是因为在防火墙规则列表最顶端的“VPN”、“Ping 和 ICMP”等内置规则和规则组显示为灰色、不可调而弃用 HIP 的。这实在是又一个看问题不全面的结果，请问，这些内置的规则你用得着调整吗？而且，事实上，如果你要调整，也无需 ePO，你完全可以通过新建规则或规则组加以限制的方式来实现嘛。
 　 6，关于应用程序策略，这是一个很强大，但又被大多数人说很麻烦的功能。说它强大，是因为开启应用程序策略后，所有未在应用程序策略允许列表中的程序都将 无法运行，在有经验的用户手中，这可以杜绝病毒和木马的运行和发作，也可以禁止指定程序如游戏、日记等软件运行。说它麻烦，是因为在使用初期，没有心理准 备和应对策略的你将会被不断弹出的提示窗口而烦扰不堪，或是面对提示窗口不知道该如何选择。

　 对此，我有两个建议：如果你是一个初级电脑用户，或你与其他人共用一台电脑的话，请不要启用应用程序规则；而如果你是一个对相关知识有一定了解的中高级用 户来说，建议你开启这一功能，它会给一切竟在掌握的感觉，至于弹出窗口是否烦人，老实说，这取决于你的行为策略和注意力指向，不喜欢，就关闭这一功能吧。 HIP 其他功能已经足够炫目了！

　 　必须注意的是，如果你无法通过 ePO 修改默认应用程序规则，请不要选择“启用应用程序挂钩监视器”（只开启“应用程序创建监视器”），默认的应用程序规则大部分都禁止了挂钩，其中就包括 “C:\Program Files\McAfee\Host Intrusion Prevention\* “，即 HIP 安装文件夹（包括子文件夹）下所有文件均禁止挂钩，而实际使用中这其中的一些程序，比如 HIP 7.0 安装文件夹下的 HIPSCore Service （HIPSvc.exe）在某些情况下将会不断有挂钩发生，而 HIP 则不断阻止这些挂钩的发生，这将导致系统忙，进而出现“死机”状态。建议有条件的通过 ePO 删除所有默认应用程序规则后再自行创建。

　 　7，关于被阻止的主机。当你开启网络 IPS 和自动阻止时，所有被 HIP 视为入侵的源都会自动被加入到阻止主机的列表中，你也可以在这里自行加入你想要屏障的 IP 或网站链接。比如，如果你要屏蔽卑鄙下流无耻、总爱时不时搞 DNS 劫持的电信 114 时，请依次点击添加→ DNS 搜索，依次输入你要屏蔽的网址：search.114.vnet.cn 和 114.vnet.cn，再点击搜索，然后点击“使用”，这样你就将该网址的 IP 地址）屏障了。这样你就再也碰不上点击打不开的网站时，却莫名其妙弹出电信 114 查询的情况了，让打不开的网站老老实实打不开吧。嗯，这个例子举得有点长。

　 　8，应用程序保护列表。这也是一个极好的功能，它的实现，必须要开启主机 IPS，并且，你要务必注意一点，HIP 主窗口上显示的应用程序保护列表实际上应该叫做“正在运行并受到 HIP 保护的进程列表”。真正的应用程序保护列表是你看不到的、内置的可以被 HIP 保护的应用程序列表，它包括了大多数系统组件和其他应用软件，只有当你启动这些组件或软件时，你才会在 HIP 主窗口中应用程序保护列表上发现它们的踪迹。所以，请务必不要误以为只有你在 HIP 界面上的应用程序保护列表中看到的进程才受到保护。

　 　比如，平时你在应用程序保护列表上看不到 OneNote 、Word、OutLook 等软件的踪迹，但你启用的时候，你就能在 HIP 应用程序保护列表中发现它们的踪迹。感谢 HIP，感谢 McAfee 让我平时工作时多了一份放心。说老实话，且不论 HIP 的其他优点，光是这一点，就注意说服日常生活和工作中离不开这些软件的我使用 HIP 了。杀毒功能固然重要，针对系统组件和常用软件的专用实时保护更能让我放心。

　9，关于活动日志，这就不多说了，默认勾选了“通信”，这样会产生大量的日志，建议取消它，这样你就可以一目了然看到“入侵”和“应用程序”等主要的活动日志。

　　10，至于资源占用，请自行打开 Windows 任务管理器查看相关进程的内存占用和 CPU 占用，请不要以个人主观感觉来判断资源占用大小，以我看到过的情况，大多数人的这种感觉都是不可靠的，更多可能是电脑其他方面或相关设置你有问题。

　 　11，关于 HIP 启动缓慢的问题，这是事实，不过请问，你不安装 HIP 难道就能在进入桌面后第一时间就能进行操作了？事实上，所有的电脑，在进入桌面后，都需要 10 到 20 秒在后台引导相关组件和程序，此时进行操作，会导致启动缓慢等问题，因此，建议大家都养成在进入桌面后等待20来秒后再进行操作的良好习惯。

　　综上所述，就我所发现的情况来说，人们弃用 HIP 的理由几乎都是那些事实上并不真正影响你、或者影响不像你想像的那样严重、又或者你完全可以关闭相关功能来解决的小麻烦，却因此放弃了强大的功能，这是一个尴尬而又耐人寻味的现象。

　 　在我看来， McAfee 的企业版系列安全软件都既是安全软件，但更是安全工具，它的强大与否，不但要看软件提供了什么功能，更要用户是否掌握了必要的知识和采取了适当的使用策 略，再强大的盾牌，也要使用者有足够的力量（知识）和使用技巧、策略才能抵挡最猛烈的攻击，否则，它将会沦落成一块厚重的废铁。

　　上面说了这么多，但其实都是一些入门知识，如果你认真一一读过，并按照上述参考建议真正使用过 HIP 一段时间，我敢打赌，你一定会喜欢这款强大而又简单的超强主动防御和防火墙软件的。

被忽视的防护王者：McAfee Host Intrusion Prevention  
 

当我们提及 McAfee 时，人们第一时间想到的往往是被誉为防御最强的 McAfee VirusScan Enterprise 及其强大的访问保护规则，而在 McAfee产品系列中与之搭配构建完整安全平台的 McAfee Desktop Firewall 及其升级产品 McAfee Host Intrusion Prevention 却长期被人们所忽视。以至于有一种误解在广泛流传，称 McAfee 的防火墙很一般，真实的情况是这样吗？ 

　　被人们普遍推崇的 VSE访问保护规则，在功能实现上其实不过相当于HIP 中 IPS 行为规则的一个子集，HIP 的自定义行为规则签章同样可以编写出 VSE 中你想到的任一保护规则，并在功能上、管理上和例外排除上更强大更方便；此外， HIP 还有着强大到可杜绝一切可疑程序运行的应用程序规则等等超强功能；至于基本的防火墙功能上，即便是McAfee 的家用版桌面防火墙在专业评测中的综合评价尚且多年以来一直名列前茅，就更别提面向企业的 MDF 和具备网络 IPS 的HIP了。看到这些事实的你会不会惊讶得张大了嘴巴呢？ 

　　下面，向你一一阐述比 VSE 更称得上防护王者的 HIP 的超凡之处。 

　　一、基本的防火墙功能 

　　权威的评测和媒体 TopTenREVIEWS 在主页右上角有一句话：We Do the Research So You Don't Have To 。 意思是说，（专业的）研究让他们（专业机构）去做，我们（普通用户）无须如此。这句话告诉我们，在专业领域要提防那些基于一知半解的错误论点，如同细心的 人们在生活、学习和工作中，能发现的存在于初学者、中级人士和经验丰富的专业人士之间的巨大鸿沟。而当你再一次遇到一种论点时，你会理性分析而是草率接受 呢？ 

　　我们要评价 MDF 和 HIP 基本的防火墙功能，请先看 TopTenREVIEWS 网站上的几组测试结果和排名： 

　　2007 个人防火墙测试结果及排名：McAfee Personal Firewall（家用版）排名第6位。 
　　http://personal-firewall-software-review.toptenreviews.com/ 
　　2007 互联网安全套装测试结果及排名：McAfee Internet Security （家用版）排名第2位。 
　　http://internet-security-suite-review.toptenreviews.com/ 
　　2007 杀毒软件测试结果及排名：McAfee VirusScan （家用版）排名第6位。 
　　http://anti-virus-software-review.toptenreviews.com/ 
　　2007 反间谍软件测试结果及排名：McAfee AntiSpyware （家用版）排名第9位。 
　　http://anti-spyware-review.toptenreviews.com/ 

　　通过这些专业评测，我们看到， McAfee 家用版安全软件在同类横评中都是名列前茅，事实上，多年以来一直如此，McAfee 的品质是毋庸置疑的。 


　　细心的朋友这时也许会问，以上测试和排名都是针对 McAfee 的家用版本，那属于企业版的 MDF 和 HIP呢？在这里我要说明一下，企业版安全软件一方面固然要考察软件本身的水平，而更重要的是企业安全人员的专业设定和管理水平。MDF 和 HIP 与家用版相比，除多了一些额外的超强功能外，一个重要的差别是强大的可定制性，在经过合适的设置后都是可以做到天网恢恢的。 

　　二、IPS 行为规则 

　　仅仅上文谈及的防火墙的基本功能出色，当然还不能说 HIP 是王者，那么令它堪称王者的超凡之处又是什么呢？人们一般有一个共识：防毒最强的杀毒软件是 VSE，因为它拥有强大的访问保护规则，通过内置和自定义的规来实现对指定文件/文件夹、注册表和端口等的保护。而事实上，这些功能在 HIP 的 IPS 中都可以轻易实现，并更强大更方便管理。 

　　让我们先简略介绍什么是 IPS。 

　　IPS 是“入侵防护系统”的简称，它通过设定一些行为规则并以此判断进程的行为或访问网络行为是否可疑，如果违反了指定的行为规则设定，则自动阻止并报警。可以说，行为规则是 IPS 的核心，就如同访问保护规则对于 VSE 的意义。 

　　以下说明摘自 HIP 7.0 产品指南： 

　　行为规则： 

　　行为规则可定义合法活动的配置文件。与配置文件不符的活动会触发事件。例如，您可以设定一个规则，声明只有网页服务器处理程序才可以存取网页档案。如果其他处理程序尝试存取网页档案，此行为规则便会触发事件。 

　　Host Intrusion Prevention 结合了签章规则与硬件连接行为规则的使用。这种交互式的攻击识别方法可侦测到大多数的已知攻击，以及先前未知的攻击或零时差攻击。 

　　IPS 规则原则包含三种签章类型： 

　　主机签章：主机型的入侵防御签章 (HIPS) 可侦测并防止系统作业活动攻击，包括档案、登录、服务与 HTTP 类型等规则。它们是由 Host Intrusion Prevention 的安全性专家所开发，并与产品同时发布。 

　　自定义的主机签章：自定义签章是主机型签章，您可以针对自己的需求建立签章以提供额外的保护。例如，当您建立重要档案的新目录时，可以建立一个自定义签章来加以保护。 

　　网络签章：网络型入侵防御签章 (NIPS) 可侦测并防止抵达主机系统的已知网络型攻击。 

　　每个签章均有说明与默认的严重性等级。取得适当的权限等级后，系统管理员即可修改签章的严重性等级或停用签章。 

　　我们如何来设定和修改签章呢？在 ePO 中你可以直接对预设签章进行复制和修改，或通过签章新建精灵来新建一个签章，此时会出现提示，就像我们在 VSE 中编写访问保护规则一样简单。此时你会发现，HIP 不但可以对指定文件、文件夹和注册表进行保护，而且也可以对指定的 Windows 服务进行保护。 

　　除了标准方法以外，高手们更可以通过编写ANSI Tool Command Language 语句的专业方法来实现更灵活更强大的行为规则签章。注：在 HIP 7.0 产品指南中有对语法的说明和示例。 

　　与在 VSE 中编写访问保护规则不同之处还有一点需要特别指出，签章需要填写名称、类型、安全等级等索引项目，还可以加上说明文字，你会发现与 VSE 相比，在 ePO中对IPS 签章的管理是很方便很直观的，一目了然。 

　　当有进程违反某一项签章并报警时，你可以设定其为例外。 

　　注意：以上 IPS 行为规则签章的定制和管理都需要在安装有 ePO 的Windows 2000/2003 服务器操作系统上进行。在 Windows XP上，你将看不到签章内容，而只能设定例外。不过预置的主机签章和网络 IPS 签章已经足以应对常见可疑行为和入侵。但是，这些设定都保存在注册表中，这意味着我们可以导入在 ePO 中编辑好的 IPS 行为规则签章。

　　三、应用程序策略 

　　简单的说，就是在你的电脑上运行任何未在 HIP 应用程序规则列表中的可执行文件时（包括挂接，可设定是否监视），HIP都会弹出提示询问是否允许运行该文件，你的选择将自动加入到 HIP 应用程序规则列表中，以后不再询问。 

　　通过这一功能，你可以阻止特定或任意不明可执行文件的运行。可以说，这一功能可以杜绝任何不明程序的运行，用好这一功能，你根本不用担心有任何病毒或木马会在逃过杀毒软件查杀后悄悄运行得逞，它是牢不可催的终极防线。 

　　怎么用好这一功能呢？这需要你在最初使用过程中的耐心和细心，你可以通过分析可执行文件的名称和所在目录，以及上网查找资料的方式，来了解这一程序是做什么的，以及是否应该让它运行。而这一过程，也会极大的提高你对 Windows 及其常用软件主要程序的了解和认识。从我的长期应用经验来看，可疑文件从文件名和所在文件夹上就可以很容易判断出来的。如果百度上没有相关资料，你可以将可疑文件上传到 VirusTotal上用其拥有的30多个杀毒厂商的引擎扫描一下。 

　　应用程序策略在 HIP 的前身 MDF 上早已实现，不过很少有人开启，主要是人们怕频频提示的繁琐。其实，除了最初几天需要一一建立系统程序和常用软件的应用程序策略规则外，以后除你安装新软件时以外，是极难得弹出提示的。 

　　强烈推荐大家开启并使用 MDF 或 HIP 的应用程序策略。（特别提醒：如果你无法通过 ePO 修改 HIP 7.0 默认规则，请只开启“应 用程序创建监视器”，而不要开启“应用程序挂钩监视器”，这是因为 HIP 7.0 应用程序策略中的大部分默认策略，是禁止挂钩的，其中就包括“C:\Program Files\McAfee\Host Intrusion Prevention\* “，即 HIP 安装文件夹（包括子文件夹）下所有文件均禁止挂钩，而在实际应用时，HIP 7.0 安装文件夹下的 HIPSCore Service （HIPSvc.exe）在某些情况下将不断有挂钩要求发生，而 HIP 则不断阻止这些挂钩的发生，这会导致系统忙，进而出现“死机”状态。 
） 

　　四、VSE、MDF和HIP 是不是HIPS? 

　　HIPS，即 Host Intrusion Prevent System 的简称，意为：主机入侵防御系统。它是通过预设的行为规则来监控电脑中文件的运行、文件运行了其他的文件（挂接）以及文件对注册表的修改，并向你报告请求允许的的软件。其中，HIPS 所谓的 3D 防护概念指的是：AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。 

　　因为不存在能查杀一切病毒的杀毒软件，通过行为规则来应对未知威胁的HIPS成为以后系统安全发展的必然趋势。 

　　看到不时有人问 VSE 是不是 HIPS，在这里我可以很肯定的说，VSE 的访问保护规则和MDF 的应用程序策略都是HIPS的功能之一，而同时拥有IPS 行为规则和应用软件策略的HIP 本身就具有完整的 3D HIPS功能。只是在界面和提示上不如一些面向个人桌面用户的独立 HIPS 软件做得友好，但具有更强的可定制性。 


　　五、遗憾和发展展望 

　　拥有比 VSE 访问保护规则更强大的 IPS 行为规则和应用程序策略的 HIP 堪称王者。然而，遗憾的是，要对 HIP 的 IPS 行为规则以及防火墙规则中的默认规则进行编辑和管理，必须在安装了 ePO 的 Windows 2000/2003 系统上进行。在Windows XP 中，你只能设定 IPS的例外。 

　　不过，这并不意味着 HIP 对普通用户来说是一个鸡肋，一方面，HIP 内置的 IPS 主机签章和网络 IPS 签章（Windows XP 下看不到具体内容）已经足以应对常见的可疑行为和入侵，你可以以此配合 VSE 的访问保护使用，辅以 HIP 的应用程序规则，就能够打造相当强大的杀毒软件+防火墙+入侵防御系统，而且很重要的一点是，这都是永久“免费”的，不必担心破解问题，且可定制性很强，玩通透了，就可达到传说中 McAfee 规则在手，安全我有的境地。：） 

　　另一方面，在 Windows XP 下HIP 的 IPS 签章和防火墙规则中的预置规则并非绝对不可编辑。我们知道，这些设定都是保存在注册表中的，所以可以在 Windows 2003 下用 ePO编写后，导出相关设置的注册表，然后回到 Windows XP 下导入即可。 

　　当然，对于原来就是在用 Windows 2003 的朋友来说就更简单了，安装一个 ePO 就能充分发挥 HIP 的强大功能了。 

　　此文抛砖引玉，讲了些 HIP 的皮毛和大概而已，希望引起大家对 HIP 的好奇心，一起来共同探讨和研究。不要这么多年一直就讨论早已被研究透彻的 VSE 访问保护规则了，HIP 实在是比它强大得多。