其实我真的需要一个好用的防火墙

cexid

本来不想回答的（-_-|| 主要是都有这么多讨论了，这么多页了，再讨论没啥意义）
但不说有感到可惜，在这里还是对楼主的“更智能的防火墙”想法谈谈我自己的看法。

先来一句话总结吧：可以，但没必要。
不嫌麻烦的继续往下看

首先，随着 IPv6 的普及，用户对于防火墙的必要性是比 IPv4 时代要高的，甚至可以说没有防火墙机制的设备根本不配接入 IPv6 ，风险极高。
目前，大多数的软硬件防火墙产品都是工作在【第二层】和【第三层】的，比如我们最常使用的路由器就是一个天然的三层防火墙，而对于大多数的三层防火墙都是默认白名单机制，就是说你不主动添加白名单访问端口，防火墙默认就是丢弃主动入站数据包的。十几年前瑞星墙很火的时候，大家很多还都是直连 ADSL猫 电脑拨号上网，没有路由器这个天然的防火墙，我记得当时瑞星墙就经常提示检测到入侵扫描（这里有个前提，瑞星墙是建议关闭系统墙的，其实如果开了系统墙入侵的端口扫描根本就到不了瑞星墙这一层）。

现在，无论是 https，还是 DNS，各种现代的协议版本都开始加上了 TLS 加密，这就导致了一个问题，工作在二三层的防火墙如果要达到楼主说的“更智能的防火墙”就必须要对各种协议的数据包深度检测（因为上层流量现在大多都是加密的嘛，比如卡饭网址前的小绿锁^_^），拿世界上最/大/规/模/的/防/火/墙举例，就是采用数据包深度检测的原理来封禁非法网站，但成本非常高也做不到完美。
如果把深度检测以软件的方式放到客户端上，工作时会对客户端的 CPU 有很高的要求，流量大时影响用户体验。

等，等等等等~（英特尔O(∩_∩)O哈哈~）
咱们刚才在讨论什么？影响用户体验？需要高性能？
为什么呢？是因为流量加密了，如果要智能，所以需要对流量深度检测。
那为什么世界上最/大/规/模/的/防/火/墙选择了深度检测呢？因为防火墙没有你电脑的控制权限，看到的流量都是加密后的，不这样不行。
再等，等等等等~
唉？可我们安装的防火墙在电脑上的话，有T！M！D！系统管理员权限呀，再深度检测这不是脱裤子放屁吗！
对奥，你看 https 流量是加密的，但对于浏览器来说是透明的呀。就好比软件再加密、混淆，要正常运行总得解密后进到内存里才行吧，一进到内存里，对于系统管理员来说可不就是赤果果的嘛~
也就是说我如果要保证数据安全的话在系统墙【默认白名单】的机制前提下，完全没必要在第二层第三层过不去呀，因为在应用层做到相同的效果有管理员权限的情况下→_→这简单的一匹呀。
再再等，等等等等~
你发现了没有，如果把防火墙【更高级更智能】的要做的事情从第二层第三层挪到更高的应用层来之后，不仅更简单、更高效了，而且还怎么样？这T！M！和各种安全浏览器、防病毒软件干的事情有什么区别？这T!M!不就是杀毒软件了嘛。

所以呀，低层防火墙就是简单、明了的，在目前流量全面加密的趋势下，能把各个协议栈、端口的事情干好就很好了，开放了端口之后不要使用弱密码。如果协议有漏洞那是补丁该干的事情，尽量用新版本软件，补丁打全。只要内部使用的软件没有内鬼，纯粹通过外部来入侵 0day 漏洞和弱密码才是最大的威胁。而个人使用的话，也没有企业那种屏蔽访问特定网址的需求。
一切都是为了最高性价比。

海龙王_ccmd

神算子 发表于 2019-12-11 22:45
看来你也喜欢用墙

喜欢技术，但从来没有自己加过墙，只是略知点儿皮毛。

神算子

cexid 发表于 2019-12-14 04:23
本来不想回答的（-_-|| 主要是都有这么多讨论了，这么多页了，再讨论没啥意义）
但不说有感到可惜，在这里 ...

勒索病毒刚来的时候，只有几个杀毒软件能防住还有一个comodo防火墙

cexid

神算子 发表于 2019-12-14 22:39
勒索病毒刚来的时候，只有几个杀毒软件能防住还有一个comodo防火墙

刚来的时候系统打了补丁的都能防住，从外网突破的都是没打补丁的，微软还特地为这件事给十几年前的XP都提供了补丁，奈何有些人就是放着漏洞不打补丁。这是漏洞造成的外因。
内鬼就不用解释了吧，加密文件又不需要管理员权限，能读写文件就能做到加密，这个怎么说都赖不到防火墙头上吧。所以靠防火墙去堵未知的软件漏洞成本非常高，也不现实。

cexid

勒索软件当时造成的重大后果除了由于利用了端口漏洞外，更重要的一点是之前的防病毒都被惯坏了。由于利益，当时的病毒大都是盗号木马之类的窃取型的，因为破坏型病毒无利可图。而窃取密码会用到提权操作，于是防病毒软件重点关注提权操作，只要不提权就难以窃密获利。
但由于加密货币的出现，资金追溯难度高，才导致了勒索行为的诞生，这也给安全软件提了个醒。因为原来不依靠加密货币获利时，法定货币的线上实名化导致了人们没人敢线上大面积勒索。

欧阳宣

cexid 发表于 2019-12-14 23:54
勒索软件当时造成的重大后果除了由于利用了端口漏洞外，更重要的一点是之前的防病毒都被惯坏了。由于利益， ...

楼主长期以来都是听不进去话的那种 大佬不必多费唇舌

xioabk

墙，对蹓跶网络来说，是必不可少的装备～～～！鉴于此，就必须要武装到墙～～～！
剩下的事情，就交给开发去做吧。
啥？开发不懂客人需要啥子的墙？不懂客人需要怎样的墙？还要客人给指点指点？草～～～～！
所以，至今无人能开发出新玩意儿墙了～～～！
仅此而已～～～！
啥叫商业价值？
你们知道农民以前是从来不穿鞋的吗？那为啥现在农民都穿鞋啦？商业价值？草～～～～！

cexid

xioabk 发表于 2019-12-16 20:09
墙，对蹓跶网络来说，是必不可少的装备～～～！鉴于此，就必须要武装到墙～～～！
剩下的事情，就交给开发 ...

完全看不懂你要表达什么意思，不知道你有没有用过iptables，或者使用过哪些付费的防火墙产品，感觉有什么不足吗？

xioabk

cexid 发表于 2019-12-16 21:01
完全看不懂你要表达什么意思，不知道你有没有用过iptables，或者使用过哪些付费的防火墙产品，感觉有什么 ...

哦哦，不好意思哈～让你看不懂了，俺的思维可能是有点跳跃～～～那俺就稍稍解释一下，希望你能看懂一点点：
上帖第一、二句就懒得解释了，稍微有点理解比喻能力的都可以理解得了吧，再不懂那就让有兴趣解释的网友来详解吧；
第二、三句说的“开发”是指开发人员～～；
在这里发帖当然是对应楼主说的主题内容了，所以第四句说的是仅在个人PC范畴，或者可以稍稍扩充到个人网络终端～～～；
第五句就是个观点断点语句，你可以当没看到，也不影响理解整体；
第六句就是个疑问句，问的就是对应第七句的疑问句，相当于提出疑问观点；
第七句也是个比喻疑问句，用一个市场经济学比较通用的一个典故来做反问，把内裤脱掉直白就是市场经济里的商业价值是否可以创造出来而不是捡个现成的～～～；
补充：当然，里面用了两个草字就是个语气助词，你可以忽视即可。
就这么多了～～～

至于你问俺用过哪些付不付费的防火墙产品，俺老实向你交代：真的啥都没用过的！更谈不上啥不足～～！
所以，你大可忽视俺的无知观点，或者根本谈不上是个观点吧，就是说了些废话而已～～～

灵果

cexid 发表于 2019-12-14 04:23
本来不想回答的（-_-|| 主要是都有这么多讨论了，这么多页了，再讨论没啥意义）
但不说有感到可惜，在这里 ...

谢谢大佬的科普，涨知识了，现在好多安全企业把防入侵的机制整合到杀软当中应该就有大佬说的因素。不过看前后几位大佬劳心劳力的在这个帖子里科普，真心觉得不值，64楼和86楼是最好的诠释。