大连蓝天 - 2005-7-12 14:26:00
作者:寿宁
对一些用户反映的规则包测试问题,现在都不知道该如何解释(说明),他们有的反映说什么到一些网站安全测试后“怎么大部分端口是关闭”等现象,其实不是规则包的问题,除了猫、路由器等设备的端口映射设定造成外,还有一个原因,就是安装了木马克星造成的误差。
木马克星,尤其是破解版和试用版,最好不要和瑞星防火墙同时安装,原因:
1、两者都在后台监控,个别代码还要插到PC低层运行,因此两着同时安装(打开),会出现代码命令执行上出现误差。(举个不少人都遇见过的实例:有的用户在使用还原精灵后,系统时常出现莫名其妙的不良情况,但在卸载后,就是格式化了驱动盘还是没有办法重新安装系统,究其原因就是还原精灵接管了PC低层的部分N\FDI代码,在卸载后没有及时更改过来!类似的情况网络里时有介绍。)
2、本规则包以内核中的引擎函数变量和端口互动为匹配原则,因此在加载后,肯定会与木马克星产生冲突(这种冲突表现了对PC端口的控制出错,也就是技术上说的“接管误差”)。因为木马克星的引擎等内核变量设置与瑞星的原理一样!
寿宁 - 2005-7-12 17:05:00
我再用最通俗的语言来补充说明:
1、实际上端口是由某个服务的进程打开的,要彻底关闭某个端口就要结束相应的服务,例如要关闭80端口就要停止WWW服务。而用“Internet 连接防火墙”是在外围建一个防火墙,打个简单的比喻,一所房子有很多的门,要保证安全有两个办法,一是把门用砖头堵住;二是留着门,在房子周围建一道墙。用结束进程来关闭端口用的是第一种办法,用“Internet 连接防火墙”用的是第二种方法,虽然有的用netstat –na察看端口是开放的,但在外围已建了一睹密不透风的墙。
2、通过网站安全项目的检测,提示的端口隐藏与关闭是两个既有关联又有区别的概念。如果防火墙在某条规则设置上用的是过滤的匹配原则,那么这个端口就是关闭,比如80端口,大家都知道这个端口很重要,是上网的通道,因此绝不能封死这个端口,但也是最容易受攻击的对象(如:WEB攻击),那怎么办?只有通过与其他规则的匹配、端口的互动以及内核函数变量的适应来执行过滤,而1026端口作为连接网络供应商的主要通道,也只能实行过滤性设置,等等。如果,本地PC外接的猫或路由器或网络供应商的服务器,只要有一个对相关端口执行映射指令,那么网站安全项目测试返回来的信息就是关闭,否则就是隐藏(注:每个网络供应商都有很多个服务器,不同服务器会根据网络流量通过转换器调整端口映射值)。因此,从严格意义上来说,端口的关闭或隐藏并不能说明那个更安全、那个不安全,而且网络安全测试项目只是一个普遍性的、大众化的测试,同时各个不同的商家为了推广自身的网络安全产品,在检测方式上各不一样,比如天网使用的是端口规则的互动指令,SYGATE使用的是引擎的匹配指令。要检测防火墙是否起作用,最简单的方法就是在另外一台PC上用xscan、superscan之类的扫描工具扫描本地PC,如果没有打开的端口表示在房子周围建一道墙是没有漏洞的。
为爱灌篮 - 2005-7-12 23:39:00
瑞星的防火墙很垃圾,无发隐藏所有的端口,大部分是关闭和打开的,只有一小部分是隐藏,简直就没资格被称为防火墙
中国海洋雨 - 2005-7-13 11:57:00
不错,经典。
© 2000 - 2024 Rising Corp. Ltd.