楼主: 神算子
收起左侧

win10操作系统的防火墙有端口隐藏功能吗

[复制链接]
驭龙
发表于 2019-8-24 08:42:35 | 显示全部楼层
神龟Turmi 发表于 2019-8-24 08:32
这不是很明显怼的是“墙的厚度”问题?
如果墙无法知道传输的内容就没有强弱之分,能有iptables效 ...

你11楼说的是这个吗?你明明说的意思是我把路由当成Windows防火墙的效果
从外向内其实不是windows防火墙拦的
在路由器后的设备,除非是routeros或者各种基于linux的路由+某个花卷小伙伴做的内核模块
那么只能是Symmetric NAT(只有你主动访问了他,他才能访问你)
而大多数路由系统为了安全是不会有Full Cone NAT(无论你有没有访问过他,他都能访问你)
的模式的,所以只要不设置dmz或者端口映射的话,理论上是非常安全的
(这也就是为什么这两年teamviewer类的穿透远程协助基本替代了mstsc)


关于加密过滤问题,你真的有看趋势科技的技术和DPI 引擎吗?
看看华硕AiProtection 能不能保护TLS吧
https://www.asus.com.cn/AiProtection/
AlphaRabbit
头像被屏蔽
发表于 2019-8-24 08:43:54 | 显示全部楼层
驭龙 发表于 2019-8-24 07:52
你确定玩过?虽然是局域网,但防火墙设置还是默认公共网络,无规则的,而且关闭防火墙可攻击成功,开启防 ...

Windows Defender防火墙本质是一个工作在三层的包过滤防火墙,在公共网络模式下,它默认拒绝所有入站连接(但允许所有出站)。
So……只要打开WD防火墙且设定为公共网络模式,端口扫描一定不会成功。
驭龙
发表于 2019-8-24 08:47:59 | 显示全部楼层
AlphaRabbit 发表于 2019-8-24 08:43
Windows Defender防火墙本质是一个工作在三层的包过滤防火墙,在公共网络模式下,它默认拒绝所有入站连接 ...

是啊,我说的就是这个意思,不知道11楼突然回复路由器的问题,唉
神龟Turmi
发表于 2019-8-24 08:51:01 | 显示全部楼层
驭龙 发表于 2019-8-24 08:42
你11楼说的是这个吗?你明明说的意思是我把路由当成Windows防火墙的效果

显然,做不到,不然你认为某长城团队技术弱于TrendMicro吗?
现在有论文为根据的TLS检测能力仅限于中间人(比如各杀软的HTTPS过滤),而中间人程序如果不在终端上而在中间你就无法实时生成对应网站的SSL来让浏览器信任~更不要说就算中间人也只解决了HTTPS的问题,相比你刚才说的7层全过滤还差99.999%呢~因为大多数TLS是预共享密钥的,在这种情况下你连通过报文判断这是个TLS包都做不到~
驭龙
发表于 2019-8-24 08:54:03 | 显示全部楼层
神龟Turmi 发表于 2019-8-24 08:51
显然,做不到,不然你认为某长城团队技术弱于TrendMicro吗?
现在有论文为根据的TLS检测能力仅限 ...

你的意思是路由器无法拦截HTTPS的数据,OK,我不在回复
AlphaRabbit
头像被屏蔽
发表于 2019-8-24 08:59:56 | 显示全部楼层
驭龙 发表于 2019-8-24 08:24
建议你了解一些趋势科技的https://www.trendmicro.com/us/iot-security/Solutions/Smart-Home-Network

...

然而,趋势科技并没有提到它是如何侦测受TLS加密传输的内容的,只提到“它比DNS封包过滤更强大”。
包括他们的白皮书也没提到。
以及,NetGear的Armor也没提他们是如何侦测受TLS加密的内容的。
即便是熟练的让人心疼的深信服 or Sandvine,对于精准识别TLS加密后的数据也是个难题(目前解决方法就是在客户端内置证书,以解密TLS传输,否则只能侦测域名/IP而不能侦测内容)。
以及现在入门级防火墙,也有DPI(深度包探查)功能,我家那台老到爆炸的百兆防火墙都具备这个功能(不过是用于网络侧病毒过滤,也就是过滤HTTP传输中的病毒文件)。
so,谁刚才说“七层全识别”才是好防火墙?
驭龙
发表于 2019-8-24 09:12:00 | 显示全部楼层
AlphaRabbit 发表于 2019-8-24 08:59
然而,趋势科技并没有提到它是如何侦测受TLS加密传输的内容的,只提到“它比DNS封包过滤更强大”。
包括 ...

当然,我说的不对,我必然承认,但11楼那个回复是不是偏离2楼的内容?

其实我说那七层全识别,才是好防火墙,的确是不准确, 我当时的意思是家用路由中的防火墙(家用路由大部分是SPI防火墙),指的不是企业级专用防火墙。
这个我确实是说的有问题,没错。

说到加密问题,我确实是说的不准确,不过armor其实是一个Linux的小应用程序,如同Linux系统上安装的一个小BD,具体如何检测确实是没有说,我只是发现armor与趋势不同的是,内置一大波证书,所以我猜测是分析加密内容。

不过话说我很后悔,明明买了RBR20内置armor固件,可惜我买的时候没有发布固件,退货以后才出,不然就好好研究一下armor的情况了
evans168
发表于 2019-8-24 09:18:12 | 显示全部楼层

利用網站幫你的電腦做測試, 我的測試全部過關!! (有圖有證據)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
AlphaRabbit
头像被屏蔽
发表于 2019-8-24 09:33:04 | 显示全部楼层
驭龙 发表于 2019-8-24 09:12
当然,我说的不对,我必然承认,但11楼那个回复是不是偏离2楼的内容?

其实我说那七层全识别,才是好 ...

家用路由根本就没有必要上DPI,况且DPI也不是防火墙专属。
例如某些家庭路由内置的网站过滤,其实就是DPI的一种应用(探查HTTP/HTTPS SNI报文以确定过滤还是放行)。
内置证书也不一定是用来解密,事实上,如果客户端没有内置你的证书,那么客户端会直接“建立私密连接时发生错误”。更有可能是所谓的“SSL/TLS证书黑名单”(连到这个证书对应的网域直接Connection Reset)。
驭龙
发表于 2019-8-24 09:41:33 | 显示全部楼层
AlphaRabbit 发表于 2019-8-24 09:33
家用路由根本就没有必要上DPI,况且DPI也不是防火墙专属。
例如某些家庭路由内置的网站过滤,其实就是DP ...

也确实是有可能是黑名单吧

不过对于华硕和网件这些DPI引擎的路由,还是有一些用处的,但跟专业级还是相差甚远,现在H3C都在玩云防火墙,当然个人用户没必要有啦
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 03:49 , Processed in 0.088197 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表