楼主: XMAN4
收起左侧

[讨论] 关于全局允许规则的问题

[复制链接]
491866227
发表于 2008-6-25 21:31:00 | 显示全部楼层
记得有人说过一句话:
端口并不危险,危险的是程序。

当然如果不开端口尽量不要开。
即使防火墙说他隐藏的再怎么好。
不开端口总比开端口安全倒是肯定的。

好像跑题了。。。。
大家说说一楼的问题吧。
反正我想我一辈子也弄不明白。
spi吗?还是智能防火墙?

[ 本帖最后由 491866227 于 2008-6-25 21:38 编辑 ]
伯夷叔齐
发表于 2008-6-25 21:35:17 | 显示全部楼层
原帖由 491866227 于 2008-6-25 21:31 发表
记得有人说过一句话:
端口并不危险,危险的是程序。

当然如果不开端口尽量不要开。
即使防火墙说他隐藏的再怎么好。
不开端口总比开端口安全倒是肯定的。
是这样的,一般个人防火墙大部分情况下用不着;作为服务器,即使过滤能力再强,但由于IP固定,固定用途的服务器的端口也固定,那么别人就可以坐下来慢慢研究。。
XMAN4
 楼主| 发表于 2008-6-25 21:35:46 | 显示全部楼层
你可以试下,我觉得原理上没有任何问题。

我不太明白,如果全局规则允许某个端口,而程序规则中端口不被允许,或者服务没有开启,那么相应的端口还应该是关闭或者隐藏的,别人也从你这儿共享不到什么东西,全局规则允许的意思是:当符合协议跟此端口有关的程序或者服务开启的时候,这个端口才开放。否则处于关闭或者隐藏状态。如果不存在相应程序,或者程序规则禁止,应该不会共享吧,不知道我的理解是否有错误。
伯夷叔齐
发表于 2008-6-25 21:40:20 | 显示全部楼层
原帖由 XMAN4 于 2008-6-25 21:35 发表
你可以试下,我觉得原理上没有任何问题。

我不太明白,如果全局规则允许某个端口,而程序规则中端口不被允许,或者服务没有开启,那么相应的端口还应该是关闭或者隐藏的,别人也从你这儿共享不到什么东西,全局规 ...
是这样的,说得没有错。但局域网会发生什么,我也没有验证过,这是我现在心中的痛,呵呵。

你验证了后,回帖分享一下,好吗?谢谢。

[ 本帖最后由 伯夷叔齐 于 2008-6-25 21:49 编辑 ]
491866227
发表于 2008-6-25 21:44:01 | 显示全部楼层
原帖由 伯夷叔齐 于 2008-6-25 21:35 发表
是这样的,一般个人防火墙大部分情况下用不着;作为服务器,即使过滤能力再强,但由于IP固定,固定用途的服务器的端口也固定,那么别人就可以坐下来慢慢研究。。


提供 共享就要开了。
应该还有程序要开的,我到现在还以为p2p要开。
当然要开端口的程序不多,不过好像即使服务器要开的端口也不多。
XMAN4
 楼主| 发表于 2008-6-25 21:53:29 | 显示全部楼层
服务器主要是那个21端口,黑客整天照这个端口使劲。

我怎么都觉得只有Block 的规则不安全。防火墙规则有两种基本写法,一种是全部允许,然后阻止个别端口;另一种是全部阻止,然后一个个允许,实际说的那个全局只需要 Block 的规则属于第一种,不大安全啊
491866227
发表于 2008-6-25 21:57:37 | 显示全部楼层

回复 26楼 XMAN4 的帖子

隐身模式已经很安全了。
comodo默认还p2p呢。
你好像担心的有点过了。
个人电脑一般高手没兴趣吧?
伯夷叔齐
发表于 2008-6-25 21:59:53 | 显示全部楼层
原帖由 XMAN4 于 2008-6-25 21:53 发表
服务器主要是那个21端口,黑客整天照这个端口使劲。

我怎么都觉得只有Block 的规则不安全。防火墙规则有两种基本写法,一种是全部允许,然后阻止个别端口;另一种是全部阻止,然后一个个允许,实际说的那个全局只 ...


没有看得太懂,如果你能发截图来,全局和程序的都发上来,那就最好了。
抓抓
发表于 2008-6-25 22:12:28 | 显示全部楼层
原帖由 伯夷叔齐 于 2008-6-25 21:21 发表
你太幽默了,我真想笑。好了好了,我简单点。楼主是想共享,还是不想,不想就用你得规则,想共享,没有办法了,必须允许广播,允许共享端口互联,这个说法没有问题吧!!
后面那个问题是因为大部分是单机客户端用户,没有必要开放端口,但部分P2P软件只要不影响下载速度,可以例外,因此个人防火墙在特定时候还是需要作为服务端的,此其一;其二,就是个人防火墙和服务端防火墙能力的差异,看看P2P软件为什么监听端口都可以随机生成,再联想现在黑客扫描器的端口针对性,就可以理解了。




“楼主是想共享,还是不想,不想就用你得规则,想共享,没有办法了,必须允许广播,允许共享端口互联,这个说法没有问题吧!!”-------这句话是用来说明什么问题的?
“其二,就是个人防火墙和服务端防火墙能力的差异,看看P2P软件为什么监听端口都可以随机生成,再联想现在黑客扫描器的端口针对性,就可以理解了。”-----你到底要让人理解什么?



幽默?想笑?,,,我从我的回复中并没有发现什么幽默,让人发笑的东西啊,,如果你真的笑了,甚至想笑,那都可能是你的情绪或心理出现了问题,如果真的是这样,我可不愿意与一个心理出了问题的人继续交流下去。。。

然后基本上没看懂你的逻辑,和部分陈述,,,对于这些,我认为是我的理解能力太差了,而很不愿意联想到是否是你的表达或逻辑甚至内容本身让我不理解。。。
XMAN4
 楼主| 发表于 2008-6-25 22:18:30 | 显示全部楼层
没有看得太懂,如果你能发截图来,全局和程序的都发上来,那就最好了
----------

我说的都是最基本最不自动的防火墙,现在的防火墙都很高级了。

一种规则写法,添加一个允许全部连接的规则,然后一个一个阻止想要阻止的端口连接。

另一种写法,首先阻止所有连接,然后一个一个添加允许的规则。

我们在全局规则中仅仅写上阻止某个端口或者ICMP 入站,那不和第一种写法有些类似? 当然如果默认全局规则什么不写就是关闭的话,应该没太大问题。

总觉得在全局规则里面加一个阻止其它所有连接心里踏实。

[ 本帖最后由 XMAN4 于 2008-6-25 22:20 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-3 05:58 , Processed in 0.087065 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表