关于全局允许规则的问题

显示全部楼层 · 发表于 2008-6-25 21:31:00

记得有人说过一句话：
端口并不危险，危险的是程序。

当然如果不开端口尽量不要开。
即使防火墙说他隐藏的再怎么好。
不开端口总比开端口安全倒是肯定的。

好像跑题了。。。。
大家说说一楼的问题吧。
反正我想我一辈子也弄不明白。
spi吗？还是智能防火墙？

[ 本帖最后由 491866227 于 2008-6-25 21:38 编辑 ]

显示全部楼层 · 发表于 2008-6-25 21:35:17

原帖由 491866227 于 2008-6-25 21:31 发表
记得有人说过一句话：
端口并不危险，危险的是程序。

当然如果不开端口尽量不要开。
即使防火墙说他隐藏的再怎么好。
不开端口总比开端口安全倒是肯定的。

是这样的，一般个人防火墙大部分情况下用不着；作为服务器，即使过滤能力再强，但由于IP固定，固定用途的服务器的端口也固定，那么别人就可以坐下来慢慢研究。。

显示全部楼层 · 发表于 2008-6-25 21:35:46

你可以试下，我觉得原理上没有任何问题。

我不太明白，如果全局规则允许某个端口，而程序规则中端口不被允许，或者服务没有开启，那么相应的端口还应该是关闭或者隐藏的，别人也从你这儿共享不到什么东西，全局规则允许的意思是：当符合协议跟此端口有关的程序或者服务开启的时候，这个端口才开放。否则处于关闭或者隐藏状态。如果不存在相应程序，或者程序规则禁止，应该不会共享吧，不知道我的理解是否有错误。

显示全部楼层 · 发表于 2008-6-25 21:40:20

原帖由 XMAN4 于 2008-6-25 21:35 发表
你可以试下，我觉得原理上没有任何问题。

我不太明白，如果全局规则允许某个端口，而程序规则中端口不被允许，或者服务没有开启，那么相应的端口还应该是关闭或者隐藏的，别人也从你这儿共享不到什么东西，全局规 ...

是这样的，说得没有错。但局域网会发生什么，我也没有验证过，这是我现在心中的痛，呵呵。

你验证了后，回帖分享一下，好吗？谢谢。

[ 本帖最后由伯夷叔齐于 2008-6-25 21:49 编辑 ]

显示全部楼层 · 发表于 2008-6-25 21:44:01

原帖由 伯夷叔齐 于 2008-6-25 21:35 发表
是这样的，一般个人防火墙大部分情况下用不着；作为服务器，即使过滤能力再强，但由于IP固定，固定用途的服务器的端口也固定，那么别人就可以坐下来慢慢研究。。

提供共享就要开了。
应该还有程序要开的，我到现在还以为p2p要开。
当然要开端口的程序不多，不过好像即使服务器要开的端口也不多。

显示全部楼层 · 发表于 2008-6-25 21:53:29

服务器主要是那个21端口，黑客整天照这个端口使劲。

我怎么都觉得只有Block 的规则不安全。防火墙规则有两种基本写法，一种是全部允许，然后阻止个别端口；另一种是全部阻止，然后一个个允许，实际说的那个全局只需要 Block 的规则属于第一种，不大安全啊

显示全部楼层 · 发表于 2008-6-25 21:57:37

隐身模式已经很安全了。
comodo默认还p2p呢。
你好像担心的有点过了。
个人电脑一般高手没兴趣吧？

显示全部楼层 · 发表于 2008-6-25 21:59:53

原帖由 XMAN4 于 2008-6-25 21:53 发表
服务器主要是那个21端口，黑客整天照这个端口使劲。

我怎么都觉得只有Block 的规则不安全。防火墙规则有两种基本写法，一种是全部允许，然后阻止个别端口；另一种是全部阻止，然后一个个允许，实际说的那个全局只 ...

没有看得太懂，如果你能发截图来，全局和程序的都发上来，那就最好了。

显示全部楼层 · 发表于 2008-6-25 22:12:28

原帖由 伯夷叔齐 于 2008-6-25 21:21 发表
你太幽默了，我真想笑。好了好了，我简单点。楼主是想共享，还是不想，不想就用你得规则，想共享，没有办法了，必须允许广播，允许共享端口互联，这个说法没有问题吧！！
后面那个问题是因为大部分是单机客户端用户，没有必要开放端口，但部分P2P软件只要不影响下载速度，可以例外，因此个人防火墙在特定时候还是需要作为服务端的，此其一；其二，就是个人防火墙和服务端防火墙能力的差异，看看P2P软件为什么监听端口都可以随机生成，再联想现在黑客扫描器的端口针对性，就可以理解了。

“楼主是想共享，还是不想，不想就用你得规则，想共享，没有办法了，必须允许广播，允许共享端口互联，这个说法没有问题吧！！”-------这句话是用来说明什么问题的？
“其二，就是个人防火墙和服务端防火墙能力的差异，看看P2P软件为什么监听端口都可以随机生成，再联想现在黑客扫描器的端口针对性，就可以理解了。”-----你到底要让人理解什么？

幽默？想笑？，，，我从我的回复中并没有发现什么幽默，让人发笑的东西啊，，如果你真的笑了，甚至想笑，那都可能是你的情绪或心理出现了问题，如果真的是这样，我可不愿意与一个心理出了问题的人继续交流下去。。。

然后基本上没看懂你的逻辑，和部分陈述，，，对于这些，我认为是我的理解能力太差了，而很不愿意联想到是否是你的表达或逻辑甚至内容本身让我不理解。。。

显示全部楼层 · 发表于 2008-6-25 22:18:30

没有看得太懂，如果你能发截图来，全局和程序的都发上来，那就最好了
----------

我说的都是最基本最不自动的防火墙，现在的防火墙都很高级了。

一种规则写法，添加一个允许全部连接的规则，然后一个一个阻止想要阻止的端口连接。

另一种写法，首先阻止所有连接，然后一个一个添加允许的规则。

我们在全局规则中仅仅写上阻止某个端口或者ICMP 入站，那不和第一种写法有些类似？当然如果默认全局规则什么不写就是关闭的话，应该没太大问题。

总觉得在全局规则里面加一个阻止其它所有连接心里踏实。

[ 本帖最后由 XMAN4 于 2008-6-25 22:20 编辑 ]

[讨论] 关于全局允许规则的问题

回复 26楼 XMAN4 的帖子