楼主: 神算子
收起左侧

win10操作系统的防火墙有端口隐藏功能吗

[复制链接]
神龟Turmi
发表于 2019-8-24 07:35:28 | 显示全部楼层
驭龙 发表于 2019-8-14 14:57
有的,在局域网内对W10发起端口扫描,系统的防火墙还是很厚的,如果不是从内向外发起连接,防火墙设置为公 ...

从外向内其实不是windows防火墙拦的
在路由器后的设备,除非是routeros或者各种基于linux的路由+某个花卷小伙伴做的内核模块
那么只能是Symmetric NAT(只有你主动访问了他,他才能访问你)
而大多数路由系统为了安全是不会有Full Cone NAT(无论你有没有访问过他,他都能访问你)
的模式的,所以只要不设置dmz或者端口映射的话,理论上是非常安全的
(这也就是为什么这两年teamviewer类的穿透远程协助基本替代了mstsc)
神龟Turmi
发表于 2019-8-24 07:40:28 | 显示全部楼层
ELOHIM 发表于 2019-8-20 17:09
那你使用nmap测试一下看看结果。
严格意义上面的隐藏模式是指对端口扫描没反应。也不是拒绝,更不是允许 ...

对于tcp连接,linux系统的默认操作是connection refused
也就是直接拒绝,除非这个端口开着
和windows的什么反应都没有然后connection timed out不同
所以装聋作哑不一定隐藏的更好~
毕竟平均到全世界的公网ip linux设备是多于windows的
至于如果是你内网扫的你,那么直接找到人打一顿吧
驭龙
发表于 2019-8-24 07:41:03 | 显示全部楼层
神龟Turmi 发表于 2019-8-24 07:35
从外向内其实不是windows防火墙拦的
在路由器后的设备,除非是routeros或者各种基于linux的路由+ ...

听好我说的是局域网内,也就是在路由内部的网络,两台电脑之间没有路由,OK
神龟Turmi
发表于 2019-8-24 07:46:39 | 显示全部楼层
驭龙 发表于 2019-8-24 07:41
听好我说的是局域网内,也就是在路由内部的网络,两台电脑之间没有路由,OK

局域网内windows防火墙是相当于联网控制(类似iptables)
那么就不是“有一定效果”了,是“一定有效果”了~
比如你设置规则阻止xx端口,双向,那么怎么样都不可能连通这个端口
驭龙
发表于 2019-8-24 07:52:46 | 显示全部楼层
神龟Turmi 发表于 2019-8-24 07:46
局域网内windows防火墙是相当于联网控制(类似iptables)
那么就不是“有一定效果”了,是“一定有效果 ...

你确定玩过?虽然是局域网,但防火墙设置还是默认公共网络,无规则的,而且关闭防火墙可攻击成功,开启防火墙无法攻击成功,OK

另外我废话一句,路由器的防火墙已不是NAT防火墙,现在绝大部分是更高级的SPI防火墙,懂?
神龟Turmi
发表于 2019-8-24 08:02:27 | 显示全部楼层
驭龙 发表于 2019-8-24 07:52
你确定玩过?虽然是局域网,但防火墙设置还是默认公共网络,无规则的,而且关闭防火墙可攻击成功,开启防 ...

这是在质疑一个手握13000+服务器的运维吗?
咳咳。。。
其实是windows防火墙在公共模式下对入站是非白即黑(没有匹配的允许规则即为拒绝)
而预定义了一部分的规则让你可以正常上网
至于路由器是什么防火墙已经不重要了,因为和内网不同,局域网内通常带宽是对等的
而在公网,带宽不对等的条件下,3-4层的攻击少于7层,而7层在广泛使用TLS的现在通常只能靠末端设备来防御而不是中间设备
如果真的是3-4层攻击,你关闭全部端口都是无效的,因为带宽的不平等你无法用防火墙来阻止DDoS
(此处嘴炮一下,所有企业级杀软的所谓防DoS/DDoS也是无效的),通常入侵发生在7层,所以你尝试用防火墙来获得SSH或者HTTP POST的内容是不可能的,3-4层现在互联网的大环境以弱密码攻击和DDoS为主
驭龙
发表于 2019-8-24 08:07:05 | 显示全部楼层
神龟Turmi 发表于 2019-8-24 08:02
这是在质疑一个手握13000+服务器的运维吗?
咳咳。。。
其实是windows防火墙在公共模式下对入站 ...
其实是windows防火墙在公共模式下对入站是非白即黑(没有匹配的允许规则即为拒绝)

就这句话,跟我2楼说的有多大区别?

还有现在路由器入门级的才是SPI防火墙,更高级的是自适应防火墙以及DPI级7层筛选,七层全识别的才算得上好防火墙,OK
神龟Turmi
发表于 2019-8-24 08:15:59 | 显示全部楼层
驭龙 发表于 2019-8-24 08:07
就这句话,跟我2楼说的有多大区别?

还有现在路由器入门级的才是SPI防火墙,更高级的是自适应防火墙 ...

7层在广泛使用TLS的今天除了protocol还能识别出什么?
  1. # Packet 95
  2. peer0_0: !!binary |
  3.   m11sDi60gVs3rtqIxYdxLWvaVP+TsxfutnXARGSRcLjU/q6OTjYWhvr+txr/ARZyUPtXjit3/Kix
  4.   YKvDOjI+52Ag+4k=
  5. # Packet 96
  6. peer0_1: !!binary |
  7.   dOjLgrgPfYru5X5sNHio7L9l9ZAj6bZj0iWbyk3wNRow/KYV
  8. # Packet 98
  9. peer0_2: !!binary |
  10.   Rtey8vmge8bfJTFu+pEAi3wp1xNY4CD+Sj3prUIpSAFY8ZEjapgANOoIJPR9aFXxhxYD3Q==
  11. # Packet 99
  12. peer0_3: !!binary |
  13.   5WuJvgT/2pEcX5Q7fiNnOAzhi15oQwL2oXTWQIxS8HIB0BlK
  14. # Packet 101
  15. peer0_4: !!binary |
  16.   8jmtsww8EW/oW8vOwi1kyfI6tjY0/MfUSCs75pwI4gK+WIlokyRez5Z2fIaMVasmIKytrgAx8CFm
  17.   KdPY9g4Ink0rPz1BPQQaLVLZcvVJQZDXhZX2neVI9S0Yb1tpKSFkgbRlYG2ijuY5DDdIUuCkS6/a
  18.   ZNWVumBHna/eYm6MKRScU3Wr6Lden8CDIHaozLft7PN7gNYGUIVh46QP4cFQ32JtKBCVBURUdwZC
  19.   K42OZDhKt3vLAhdT5QQy+NahCNnNhmYGWWIxX0vIU/jPEsv8shzYx0N+waZY8TyrEbhoKd0aTGe+
  20.   ReWiyXgSHDI772e9c7AbxF5GQJn+kpHgPTE1Zn7P4iCaPcu+As1MHx/B6lQlCBZTsXpUIu7FtIvE
  21.   swj2dbi3oxBa2FOjePgJ1zzcPSUd6bzgb3v6ZPL5MP4pSfGJd9Ussx+0qovKXw9a1uVQevH6/soN
  22.   adipUlBj2V0qsAIAFesC89ltpxY3Yw==
复制代码


这是我随手抓的一个SSH包,请问中间防火墙设备除了知道这是来源xxxx 目标yyyy 端口22的SSH包还知道什么?我向服务器发了什么命令?服务器回复给我了什么?我现在的用户是redhat还是root?
驭龙
发表于 2019-8-24 08:24:21 | 显示全部楼层
神龟Turmi 发表于 2019-8-24 08:15
7层在广泛使用TLS的今天除了protocol还能识别出什么?

建议你了解一些趋势科技的https://www.trendmicro.com/us/io ... /Smart-Home-Network

以及网件现在最新路由内置的armor,armor内置绝大部分的证书,以此获取加密的内容

另外你今天说这么多,跟我有关系么?难道我2楼说错了?非转移话题到服务器么?
神龟Turmi
发表于 2019-8-24 08:32:54 | 显示全部楼层

这不是很明显怼的是“墙的厚度”问题?
如果墙无法知道传输的内容就没有强弱之分,能有iptables效果的就和数据中心级的arbor/cisco墙除了处理并发数外效果一致
论点不是在于能不能知道传输的内容么

另:如果你了解TLS就不会说出
armor内置绝大部分的证书,以此获取加密的内容

因为TLS解密需要最终末端私钥,而末端私钥通过CA的根证书私钥无法解密~甚至没有证书链也是可以完美的工作的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 09:19 , Processed in 0.097611 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表