跟大佬请教一下防火墙的问题

a27573

单就基本的防火墙功能来说，自带防火墙确实已经足够强大
但一些安软的IDS/IPS功能还是可以提供更多的保护

比如之前ESET Internet Security的IDS就第一时间拦截了永恒之蓝漏洞利用（也就是WannaCry）

A.Thousand.Suns

a27573 发表于 2020-11-6 16:49
单就基本的防火墙功能来说，自带防火墙确实已经足够强大
但一些安软的IDS/IPS功能还是可以提供更多的保护
...

我不否认强大，只是我一直不知道强大的地方在哪，如果不会设置规则，保持默认，软件全部都放行，也没啥实际作用不

pinel

防火墙最核心、最基础的功能是包过滤。ND≠防火墙

a27573

A.Thousand.Suns 发表于 2020-11-6 18:37
我不否认强大，只是我一直不知道强大的地方在哪，如果不会设置规则，保持默认，软件全部都放行，也没啥实 ...

其实不是全部放行的。
比如在公有网络中，一些程序联网会触发Windows防火墙警告。
部分远程功能（如远程桌面、远程关机等）在你开启之前是默认阻止的。

还有，部分使用系统墙的杀软会自动对系统墙进行一些配置。

如果你是想阻止电脑上的软件联网，那系统墙确实不太行。你都在电脑上运行软件了，还给了它管理员权限（通过UAC，如果关了就是直接给），那它轻轻松松就能改系统墙的规则（命令行，注册表之类的方法都可以），还有一些方法可以直接绕过防火墙（杀软的墙也可以绕过）。如果没给管理员权限，那还可以挡一挡。

P.S. 说实话，如果你给了某个软件管理员权限，而它真的存心作恶，那基本上就别想拦住它了（除非虚拟化之类的）。理论上它甚至可以进内核干掉杀软——虽然较新版本的Windows加强了进内核的限制，但总归还是一句老话：管理员到内核不是安全边界（普通用户权限到内核的漏洞比较值钱，一般不会拿来攻击价值比较低的目标，但那种一抓一大把的管理员到内核漏洞就不一定了）。

防火墙主要还是用来对外的，而不是用来对内的。想完全阻止某些通信，保险的方法还是在路由器上设置。

a27573

pinel 发表于 2020-11-6 18:52
防火墙最核心、最基础的功能是包过滤。ND≠防火墙

是的，一句话来说就是这样。

如果只是防火墙的话，杀软确实没必要自己开发一个。

不过IDS是个好东西

A.Thousand.Suns

a27573 发表于 2020-11-6 19:37
其实不是全部放行的。
比如在公有网络中，一些程序联网会触发Windows防火墙警告。
部分远程功能（如远 ...

谢谢你打这么多来帮我解释这个问题

其实我问这个是因为我发小之前和我一起买KIS的时候，他说有一次晚上家里电脑上KIS提示拦截了网络攻击，我这里没有看到过任何这类提示，所以我才想，具体的网络攻击是啥我不清楚了，Win防火墙好像不能拦截这种网络攻击吧我，没咋折腾过系统的防火墙

像移动集团和省侧内部的防火墙规则就是需要那个端口我就开哪个，其余的全部阻止

teddyle

A.Thousand.Suns 发表于 2020-11-6 11:32
这样嘛。。。那IS版本的防火墙里面的预设规则也没啥用咯？

金山网标10年前的东西，，，
我用win10墙都3~4年了、、自己封几个端口就行了、、

wingsla

现在用的是SEP14的纯墙（安装时只选择网络和主机漏洞缓解模块），还不错。

欧阳宣

你哪里听说win自带墙就是全部放行的 eset防火墙的默认模式你一样不是很稳的 老弟 拦住永恒之蓝的IDS严格意义上不算在防火墙内的

我觉得关键不在于墙 而在于你不了解 而对于你了不了解 我觉得这就不是win的锅了 就算只能用系统墙，WFC可以了解下

你可以不了解 但是就默认用着； 也可以了解一番之后细致调整去加强安全性

但是你不能一边大喊我不了解一边大喊我不安全啊

jason-2017

正常使用
我认为是够用了
一般的电脑成为被攻击的目标可能性很小！