关于版区jxfaiu SEP防火墙规则一点疑惑 请jxfaiu进来解答下

丰紫

看了版区jxfaiu SEP防火墙规则有一点不解 既然SEP防火墙默认就处于隐藏状态 。那么添加选取23，107，111，135，137，139，445，531，544，556之类的入站还有什么意义？问题问得比较肤浅 请请jxfaiu大大别见怪

独孤无语

开帖向指定大大求助，不如直接在那帖向本人回复更好，说不定开科普帖
=================================================
隐藏端口不代表关闭端口，只是不回应“握手”

A敲门找B，B说不开门-------关闭端口；
A敲门找B，B什么也不说----隐藏端口；

至于为什么要额外写规则限制端口，我也不甚明白，同求。

猜测：虽然隐藏了端口，但不代表端口是不接收数据的；

A敲门找B，B什么也不说，但A往B的门缝死命塞数据包，B收到了（端口没关）。

丰紫

独孤无语 发表于 2012-12-28 16:41
开帖向指定大大求助，不如直接在那帖向本人回复更好，说不定开科普帖
============================ ...

谢谢独孤无语的回答 是的 “隐藏了端口，不代表端口是不接收数据”
但我的疑惑是在同一款墙里既然端口处于隐藏状态 也就是直接发送S请求后就被拒绝了 何来后面的S位应答？
换句话说 如果同一款墙默认处于隐藏状态还能接受数据（这就是墙本身的BUG了） 那么你会认为填加几个端口 就真能救世？

GreenCodes

谁说SEP防火墙默认就是隐藏模式的呢没有恶意，我也不知道

丰紫

GreenCodes 发表于 2012-12-28 18:41
谁说SEP防火墙默认就是隐藏模式的呢没有恶意，我也不知道

为了谨重我特别开帖问过 请看此帖4楼http://bbs.kafan.cn/thread-1435259-1-1.html
为爱灌篮的解答

独孤无语

丰紫 发表于 2012-12-28 17:46
谢谢独孤无语的回答 是的 “隐藏了端口，不代表端口是不接收数据”
但我的疑惑是在同一款墙里既然端口 ...

你应该这样理解。

上面，我举的例子是A敲门找B。若是B主动找A呢，就是A的应答处理了，这样就是既隐藏又工作了。

再例，尽管B不去应答，但是端口是工作的，该是这个端口接收的数据就会接收。（“工作”和“报告状态”是分开的）

阻止这些端口的入站的目的在于，不允许数据包从该端口通过；隐藏是数据包可以从该端口通过；

若把53端口禁止入站了，就收不了DNS的域名解析了。
但是如果没有禁止入站正常工作（带防火墙），在防火墙下53端口难道不是隐藏的吗？

这就是隐藏和关闭（阻止）的区别，多说一句，系统是关闭端口，防火墙是阻止端口。

独孤无语

丰紫 发表于 2012-12-28 17:46
谢谢独孤无语的回答 是的 “隐藏了端口，不代表端口是不接收数据”
但我的疑惑是在同一款墙里既然端口 ...

最后一个问题漏了，补上。

添加那几个端口真的很有用！因为系统进行网络交互的时候，通过固定的端口完成一些操作，如浏览网页http通过80，DNS的域名解析通过53，不会通过其它别的5566端口来提供服务（P2P另外讲）。所以阻止一些端口就很有用了

为爱灌篮

我觉得赛门铁克的防火墙做的已经很安全了，默认也是隐藏了所有端口，我去各在线监测网站测试过，具体端口是否需要规则去关闭，喜欢折腾和安全级别要求很高的可以去折腾一下，个人用户用的话，不相信会被人轻易攻破，或者说除了那种顶级的高手，不相信普通的黑客能黑掉SEP，如果是这样的话赛门铁克早就树大招风倒闭关闭了。

木偶的对白

希望大家都来讨论

丰紫

独孤无语 发表于 2012-12-28 18:52
你应该这样理解。

上面，我举的例子是A敲门找B。若是B主动找A呢，就是A的应答处理了，这样就是既隐藏 ...

首先再次感谢你的热心解答 关于你的问题我分2部来说明下我的观点
1。关于你的第一个问题“上面，我举的例子是A敲门找B。若是B主动找A呢，就是A的应答处理了，这样就是既隐藏又工作了。
再例，尽管B不去应答，但是端口是工作的，该是这个端口接收的数据就会接收。（“工作”和“报告状态”是分开的）”

阻止这些端口的入站的目的在于，不允许数据包从该端口通过；隐藏是数据包可以从该端口通过；数据就会接收。（“工作”和“报告状态”是分开的）“

回答：若是B主动找A那那就是出站了 如果B要处于应答状态 那么就是B要开放那端口了（这好象与本地隐藏端口没有什么关系吧）

2。若把53端口禁止入站了，就收不了DNS的域名解析了。
但是如果没有禁止入站正常工作（带防火墙），在防火墙下53端口难道不是隐藏的吗？
这就是隐藏和关闭（阻止）的区别，多说一句，系统是关闭端口，防火墙是阻止端口。

看来你还是在出站和入站之间关系混沌中 我可以明确的告诉你 阻止UDP53入站一定可以DNS的域名解析（这个你可以马上做测试） 除非我们要DNS的域名解析他禁止入站的UDP53数据。因为我们请求DNS的域名解析是属于出站 而且本地端口是随机的 而非UDP53