复制粘贴之允许程序通信和打开端口的区别。

ELOHIM

“这不是什么大新闻。
某些朋友总风骚地说想我搞大新闻，是因为你的思维阈值太高了。
是自己总想看个大新闻，所以忽略了芸芸众生。”
—————————————————————————
有时候我们需要回头看看。
不管路走了多远，那些基础知识不离左右。
今天看 Windows 7 防火墙帮助文件时看到一段微软的描述，
摘录如下：

允许程序通过防火墙有何风险？

将某个程序添加到防火墙中允许的程序列表或打开一个防火墙端口时，则允许特定程序通过防火墙与您的计算机之间发送或接收信息。允许程序通过防火墙进行通信（有时称为“解除阻止”）就像是在防火墙中打开了一个孔。

每次打开一个端口或允许某个程序通过防火墙进行通信时，计算机的安全性也在随之降低。您的防火墙拥有允许的程序或打开的端口越多，黑客或恶意软件使用这些通道传播蠕虫、访问文件或使用计算机将恶意软件传播到其他计算机的机会也就越大。

通常，将某个程序添加到允许的程序列表中比打开一个端口要安全得多。如果您打开一个端口，无论程序是否正在使用它，该端口都将始终保持打开状态，直到您将其关闭。如果将某个程序添加到允许的程序列表，该“孔”仅在需要特别通信时才打开。

若要帮助降低安全风险：
仅在您确实需要时才允许程序或打开端口，并从允许的程序列表中删除程序或关闭不需要的端口。
一定不要允许您不识别的程序通过防火墙进行通信。

阻止所有传入连接，包括位于允许程序列表中的程序
此设置将阻止所有主动连接您计算机的尝试。当需要为计算机提供最大程度的保护时（例如，当您连接到旅馆或机场的公用网络时，或者当计算机蠕虫正在 Internet 上扩散时），可以使用该设置。使用此设置，Windows 防火墙在阻止程序时不会通知您，并且将会忽略允许的程序列表中的程序。

如果阻止所有接入连接，仍然可以查看大多数网页，发送和接收电子邮件，以及发送和接收即时消息。

如果 Windows 防火墙阻止某一程序，而您希望允许该程序通过防火墙进行通信，通常可以通过在 Windows 防火墙允许的程序列表（也称为“例外列表”）中选中该程序来实现。若要了解如何执行此操作，请参阅允许程序通过 Windows 防火墙进行通信。

但是，如果没有列出该程序，则可能需要打开一个端口。例如，当您与朋友联机进行多人游戏时，可能需要为该游戏打开一个端口，这样防火墙才能允许游戏信息到达您的计算机。端口始终保持打开状态，因此请确保关闭不需要打开的端口。

在左窗格中，单击“高级设置”。 需要管理员权限 如果系统提示您输入管理员密码或进行确认，请键入该密码或提供确认。
在“高级安全 Windows 防火墙”对话框的左窗格中，单击“入站规则”，然后在右窗格中，单击“新建规则”。
按照新建入站规则向导中的说明进行操作。

因此，防火墙设置要做几套不同的预案规则并适时调整。
在日常工作和娱乐当中才能顺心如意，
才能不被防火墙所累而索性关闭了之后导致门洞大开导致不安全因素不请自来。

普通用户，普通用户，普通用户，
只需要打开三个端口即可满足日常需要。
TCP : 80,443
UDP : 53
如果使用DHCP功能，还需补充 TCP 67,68才能正常上网。
出站保持手动可以更大幅度提高计算机的安全性，但是会增加工作量，量力而行。
平时不用的程序长驻后台断开连接或者禁止自动运行即可。
以上所述全部端口规则是在出站里面，入站全站保持关闭。
更多功能需求可以到高级防火墙或组策略里面设置并修改对应注册表权限禁止程序在后台咨意修改。

WhiteCruel

学习了，不过我觉得防火墙跟手动Hips一样，设置好了虽然安全系数确实会提高不少，但是太折腾和复杂了。。。所以任何杀软我一般都是保持默认的自动

ELOHIM

WhiteCruel 发表于 2018-8-2 09:15
学习了，不过我觉得防火墙跟手动Hips一样，设置好了虽然安全系数确实会提高不少，但是太折腾和复杂了。。。 ...

嗯。。
默认是适合大多数人的基线。
但是根据以往的病毒爆发规律来看，总有百分之十或更少的人群没有被恶意感染。

HEMM

看得我脑子都爆浆了~
艾阁阁真的很严格~

Picca

P2P软件需要打开很多动态端口才能正常使用，不然就会减速，有时候网站使用了CDN加速也会用一些注册端口。现在个人用户日常主要面临的还是本地病毒威胁，你看国产的很多连防火墙都没有，端口是什么，能吃吗

ELOHIM

HEMM 发表于 2018-8-2 11:41
看得我脑子都爆浆了~
艾阁阁真的很严格~

早上无聊，发个滥竽充数的贴子。
反正也没人看。
反正给小白看，
从正面引导没有学习途径的小白，
也算是苦劳一件吧。

ELOHIM

Karna 发表于 2018-8-2 16:32
P2P软件需要打开很多动态端口才能正常使用，不然就会减速，有时候网站使用了CDN加速也会用一些注册端口。现 ...

端口不能吃，没有任何身体需要的营养。
但是端口可以保证计算机安全，是安全的一方面。
P2P软件的协议你不防再看一次。
既然使用了P2P，还要谈端口，谈网速，还要谈安全干嘛？

Picca

ELOHIM 发表于 2018-8-2 18:14
端口不能吃，没有任何身体需要的营养。
但是端口可以保证计算机安全，是安全的一方面。
P2P软件的协议 ...

这就是个人选择了，事实上身边没几个不用p2p的，所以我觉得即使是个人用户，管理端口也会降低便利度，现在安全软件更多的是靠IPS、IDS一类的流量扫描来防护，防火墙趋向于宽松规则，智能化云联动。当然不否认管理好端口肯定能增加安全性，但严格的防火墙规则其实更多见于企业

ELOHIM

Karna 发表于 2018-8-2 18:45
这就是个人选择了，事实上身边没几个不用p2p的，所以我觉得即使是个人用户，管理端口也会降低便利度，现 ...

我喜欢严格的制度和规则。
不喜欢散漫和没有约束的绝对自由。那其实离一个地方不远了。
就像茫茫海上，一叶扁舟不知从何而来，到哪而去。
光靠机灵劲是不行的。
防火墙本身也是屏障，防御，从某方面来讲就是制作屏障。
IPS IDS好比雷达，如果没有隐身，没有防御措施，只依靠雷达提示，也难以笑到最后。
我越打字越感觉这里面需要细扣的东西太多了。

当然，制作一套行之有效的防火墙规则需要极大的耐心和经验，
还是不防一试吧。

Picca

ELOHIM 发表于 2018-8-2 18:54
我喜欢严格的制度和规则。
不喜欢散漫和没有约束的绝对自由。那其实离一个地方不远了。
就像茫 ...

OK，其实对这方面不太了解，还希望楼主以后多多分享经验