一般普通计算机只开放动态端口可以吗？

岁月遐想

zgh8414 发表于 2012-5-10 11:38
不行，有几个端口是必须滴。

如53，DNS解析

我可能没说清楚，我问的是能不能直接禁止传入连接，当然条件是目的端口是服务器端口

saga3721

好的防火墙可在任何时候保持端口隐身，外部扫描不到你的存在攻击无从谈起
但假如玩网游那可能需要关闭隐身以求速度和正常游戏，所以网络最危险的不是上X网，不是下P2P，而是玩网游。钓鱼，假冒破解，外{过}{滤}挂藏毒端口开放等等都源于网游

Couphine

岁月遐想 发表于 2012-5-10 16:48
我可能没说清楚，我问的是能不能直接禁止传入连接，当然条件是目的端口是服务器端口

进入？ 如果不需要局域网链接的话。

排除下ICMP的2个后可以把所有的进入链接全部阻止。

在防火墙全局规则里，所有进入全阻止就OK了。

估计你还没弄清楚防火墙的进和出。

所谓进是指从其他电脑向你发起链接。

所谓出是指从你的电脑想起他电脑发起链接。（注意:当你向其他电脑发起链接后，其他电脑向你响应，然后再返回数据进入你的电脑这个防火墙是不算在进入里的。）

打个比较简单的比喻：
你在家里，小区有门禁，你打电话邀请你朋友来你家，（门卫相当于防火墙）那么你朋友就可以直接进入你们小区，门卫自动放行，然后来到你家。（这个相当于防火墙的传出链接）

如果你朋友到了你家小区门口，然后门卫就会打电话问你，是否放你朋友进来。（这个相当于防火墙的传入链接）

明白了出和入就简单了。你当然可以阻止任何没有你的邀请来你家的朋友（在电脑上这个基本是坏蛋干的活），只要告诉门卫就OK。也就想当与防火墙的阻止一切进入。

给你看下我的防火墙全局规则吧。这个规则下没有P2P，因为我不用P2P软件，如果需要用迅雷等P2P软件，只需要根据日志排除P2P软件需要的端口就行了。因为P2P软件会导致没有你的邀请通过服务器找到你的电脑然后试图进入你的电脑与你电脑建议链接，获取你电脑里P2P软件共享的文件。

岁月遐想

zgh8414 发表于 2012-5-10 17:15
进入？ 如果不需要局域网链接的话。

排除下ICMP的2个后可以把所有的进入链接全部阻止。

虽然你说的我都知道，但是还是谢谢你写这么长的回复，其实我没你那么复杂，我直接利用防火墙的隐藏计算机的功能建立规则，所以全局规则也就5、6条规则，我也在校园局域网，不过平时根本没用到，都是直接连接到互联网。只是一些应用程序老是占用本机服务器端口。不过现在看来既然毛豆全局规则禁止了传入连接，那只要在应用程序规则里添加一条禁止利用这些端口传出就可以了。
本来就是想这样的，但是被前面几位说的弄混淆掉了

柯林

岁月遐想 发表于 2012-5-10 16:47
我也是想直接禁止传入连接，传出也不能这样直接禁止啊，就是不知道可不可以？

以TCP来说，要建立一个连接，需要三次握手，第一次来访本机就被拦截，后面的两次握手都废掉了。
以UDP来说，直接发，直接收。以远程攻击来说，要先收到包，才会有回应。
以上两种情况，以防御外来攻击来说，禁止连入就解决了。

至于内部发起的攻击，理论上确实出乎上面所言——假设有一个木马，运行后，立即打开本机服务端口，以UDP的方式向指定的地址发包，这种情况，确实就过了，但也仅局限于“偷窃“，如果要远控，远端发来的包被拦截，指令没法接收，一样是废的。

如果要追求万无一失，那就两者都加上——禁止连入指定端口&禁止指定端口数据出站

岁月遐想

柯林 发表于 2012-5-10 19:34
以TCP来说，要建立一个连接，需要三次握手，第一次来访本机就被拦截，后面的两次握手都废掉了。
以UDP来 ...

禁止连入的话，应该全局规则就已经办到了，所以只要在应用程序规则里加一条禁止指定端口出站的规则就可以了吧。

柯林

岁月遐想 发表于 2012-5-10 21:25
禁止连入的话，应该全局规则就已经办到了，所以只要在应用程序规则里加一条禁止指定端口出站的规则就可以 ...

是的，默认设置，3个隐身模式，随便选一个，都是默认阻止一切不请自来的连入，只要系统没有服务或正在运行的程序开放端口，是不存在连入漏洞的，非要弄“双保险”，加上禁止连出即可。

Couphine

岁月遐想 发表于 2012-5-10 18:37
虽然你说的我都知道，但是还是谢谢你写这么长的回复，其实我没你那么复杂，我直接利用防火墙的隐藏计算机 ...

既然你用了这个软件，这个软件需要本机服务端口，为什么要禁止它链出呢？

全局规则禁入后，在单独规则里每个软件用各种的细微规则本来就是控制链出的。

然后再在单独规则的全局里禁止所有其他没规则的链出就OK了。那么就只有你设定了规则的软件能用到所谓的本机服务器端口（端口本来是没有所谓服务器不服务器端口的）

Couphine

岁月遐想 发表于 2012-5-10 21:25
禁止连入的话，应该全局规则就已经办到了，所以只要在应用程序规则里加一条禁止指定端口出站的规则就可以 ...

如果你要封锁1024以下的特定的端口，那就有点本末倒置了，1024保留下来就是因为是很重要的端口。很多软件都需要这些端口，完全没封锁的必要。

你应该做的是在应用程序规则里把每个软件或每类软件设定好需要的规则，再在所有程序里全部阻止（包括进或出）

这才是安全策略，把固定的1024下的端口封了和没联网一个意思了

至于安装软件有问题，那是归D+和杀毒来搞定。其他木马啥的，你没在应用程序规则里给他特意设置就算运行了其本身也是不能出和不能进的。至于那些通过挂载在其他系统进程或其他软件来联网的，应该放到D+里去防范~

岁月遐想

zgh8414 发表于 2012-5-10 21:38
如果你要封锁1024以下的特定的端口，那就有点本末倒置了，1024保留下来就是因为是很重要的端口。很多软 ...

哎，说了好几遍了，我只是禁止哪些指定是1024以下端口为原端口的出战请求。并不禁止为目的端口的出战，算了，不说了，我自己根据日志看行不行。应该来说程序是不会利用本机的这些端口的。