win10操作系统的防火墙有端口隐藏功能吗

神龟Turmi

驭龙 发表于 2019-8-14 14:57
有的，在局域网内对W10发起端口扫描，系统的防火墙还是很厚的，如果不是从内向外发起连接，防火墙设置为公 ...

从外向内其实不是windows防火墙拦的
在路由器后的设备，除非是routeros或者各种基于linux的路由+某个花卷小伙伴做的内核模块
那么只能是Symmetric NAT(只有你主动访问了他，他才能访问你)
而大多数路由系统为了安全是不会有Full Cone NAT(无论你有没有访问过他，他都能访问你)
的模式的，所以只要不设置dmz或者端口映射的话，理论上是非常安全的
（这也就是为什么这两年teamviewer类的穿透远程协助基本替代了mstsc）

神龟Turmi

ELOHIM 发表于 2019-8-20 17:09
那你使用nmap测试一下看看结果。
严格意义上面的隐藏模式是指对端口扫描没反应。也不是拒绝，更不是允许 ...

对于tcp连接，linux系统的默认操作是connection refused
也就是直接拒绝，除非这个端口开着
和windows的什么反应都没有然后connection timed out不同
所以装聋作哑不一定隐藏的更好~
毕竟平均到全世界的公网ip linux设备是多于windows的
至于如果是你内网扫的你，那么直接找到人打一顿吧

驭龙

神龟Turmi 发表于 2019-8-24 07:35
从外向内其实不是windows防火墙拦的
在路由器后的设备，除非是routeros或者各种基于linux的路由+ ...

听好我说的是局域网内，也就是在路由内部的网络，两台电脑之间没有路由，OK

神龟Turmi

驭龙 发表于 2019-8-24 07:41
听好我说的是局域网内，也就是在路由内部的网络，两台电脑之间没有路由，OK

局域网内windows防火墙是相当于联网控制（类似iptables）
那么就不是“有一定效果”了，是“一定有效果”了~
比如你设置规则阻止xx端口，双向，那么怎么样都不可能连通这个端口

驭龙

神龟Turmi 发表于 2019-8-24 07:46
局域网内windows防火墙是相当于联网控制（类似iptables）
那么就不是“有一定效果”了，是“一定有效果 ...

你确定玩过？虽然是局域网，但防火墙设置还是默认公共网络，无规则的，而且关闭防火墙可攻击成功，开启防火墙无法攻击成功，OK

另外我废话一句，路由器的防火墙已不是NAT防火墙，现在绝大部分是更高级的SPI防火墙，懂？

神龟Turmi

驭龙 发表于 2019-8-24 07:52
你确定玩过？虽然是局域网，但防火墙设置还是默认公共网络，无规则的，而且关闭防火墙可攻击成功，开启防 ...

这是在质疑一个手握13000+服务器的运维吗？
咳咳。。。
其实是windows防火墙在公共模式下对入站是非白即黑（没有匹配的允许规则即为拒绝）
而预定义了一部分的规则让你可以正常上网
至于路由器是什么防火墙已经不重要了，因为和内网不同，局域网内通常带宽是对等的
而在公网，带宽不对等的条件下，3-4层的攻击少于7层，而7层在广泛使用TLS的现在通常只能靠末端设备来防御而不是中间设备
如果真的是3-4层攻击，你关闭全部端口都是无效的，因为带宽的不平等你无法用防火墙来阻止DDoS
(此处嘴炮一下，所有企业级杀软的所谓防DoS/DDoS也是无效的)，通常入侵发生在7层，所以你尝试用防火墙来获得SSH或者HTTP POST的内容是不可能的，3-4层现在互联网的大环境以弱密码攻击和DDoS为主

驭龙

神龟Turmi 发表于 2019-8-24 08:02
这是在质疑一个手握13000+服务器的运维吗？
咳咳。。。
其实是windows防火墙在公共模式下对入站 ...

其实是windows防火墙在公共模式下对入站是非白即黑（没有匹配的允许规则即为拒绝）

就这句话，跟我2楼说的有多大区别？

还有现在路由器入门级的才是SPI防火墙，更高级的是自适应防火墙以及DPI级7层筛选，七层全识别的才算得上好防火墙，OK

神龟Turmi

驭龙 发表于 2019-8-24 08:07
就这句话，跟我2楼说的有多大区别？

还有现在路由器入门级的才是SPI防火墙，更高级的是自适应防火墙 ...

7层在广泛使用TLS的今天除了protocol还能识别出什么？

1. # Packet 95
   
2. peer0_0: !!binary |
   
3.   m11sDi60gVs3rtqIxYdxLWvaVP+TsxfutnXARGSRcLjU/q6OTjYWhvr+txr/ARZyUPtXjit3/Kix
   
4.   YKvDOjI+52Ag+4k=
   
5. # Packet 96
   
6. peer0_1: !!binary |
   
7.   dOjLgrgPfYru5X5sNHio7L9l9ZAj6bZj0iWbyk3wNRow/KYV
   
8. # Packet 98
   
9. peer0_2: !!binary |
   
10.   Rtey8vmge8bfJTFu+pEAi3wp1xNY4CD+Sj3prUIpSAFY8ZEjapgANOoIJPR9aFXxhxYD3Q==
    
11. # Packet 99
    
12. peer0_3: !!binary |
    
13.   5WuJvgT/2pEcX5Q7fiNnOAzhi15oQwL2oXTWQIxS8HIB0BlK
    
14. # Packet 101
    
15. peer0_4: !!binary |
    
16.   8jmtsww8EW/oW8vOwi1kyfI6tjY0/MfUSCs75pwI4gK+WIlokyRez5Z2fIaMVasmIKytrgAx8CFm
    
17.   KdPY9g4Ink0rPz1BPQQaLVLZcvVJQZDXhZX2neVI9S0Yb1tpKSFkgbRlYG2ijuY5DDdIUuCkS6/a
    
18.   ZNWVumBHna/eYm6MKRScU3Wr6Lden8CDIHaozLft7PN7gNYGUIVh46QP4cFQ32JtKBCVBURUdwZC
    
19.   K42OZDhKt3vLAhdT5QQy+NahCNnNhmYGWWIxX0vIU/jPEsv8shzYx0N+waZY8TyrEbhoKd0aTGe+
    
20.   ReWiyXgSHDI772e9c7AbxF5GQJn+kpHgPTE1Zn7P4iCaPcu+As1MHx/B6lQlCBZTsXpUIu7FtIvE
    
21.   swj2dbi3oxBa2FOjePgJ1zzcPSUd6bzgb3v6ZPL5MP4pSfGJd9Ussx+0qovKXw9a1uVQevH6/soN
    
22.   adipUlBj2V0qsAIAFesC89ltpxY3Yw==

复制代码

这是我随手抓的一个SSH包，请问中间防火墙设备除了知道这是来源xxxx 目标yyyy 端口22的SSH包还知道什么？我向服务器发了什么命令？服务器回复给我了什么？我现在的用户是redhat还是root？

驭龙

神龟Turmi 发表于 2019-8-24 08:15
7层在广泛使用TLS的今天除了protocol还能识别出什么？

建议你了解一些趋势科技的https://www.trendmicro.com/us/io ... /Smart-Home-Network

以及网件现在最新路由内置的armor，armor内置绝大部分的证书，以此获取加密的内容

另外你今天说这么多，跟我有关系么？难道我2楼说错了？非转移话题到服务器么？

神龟Turmi

驭龙 发表于 2019-8-24 08:24
建议你了解一些趋势科技的https://www.trendmicro.com/us/iot-security/Solutions/Smart-Home-Network

...

这不是很明显怼的是“墙的厚度”问题？
如果墙无法知道传输的内容就没有强弱之分，能有iptables效果的就和数据中心级的arbor/cisco墙除了处理并发数外效果一致
论点不是在于能不能知道传输的内容么

另：如果你了解TLS就不会说出

armor内置绝大部分的证书，以此获取加密的内容

因为TLS解密需要最终末端私钥，而末端私钥通过CA的根证书私钥无法解密~甚至没有证书链也是可以完美的工作的