【分享】关于规则包中443-445规则等情况的简要说明
近期不少用户在我的QQ上留言询问规则包中443-445规则的问题,由于工作实在繁忙,因此在这里一并答复如下:
=====443端口主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP,也属于网页浏览端口。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法看到,但由于HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞极可能受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。
444端口也是RPC接口的一个重要通道,但RPC接口存在的缓存溢出很可能导致执行任意代码00\\01000=MS03,从去年6月份开始恶意使用此漏洞的攻击层出不穷。 据不少数据(网络异常流量)分析,通过互联网经由TCP 135端口、4899端口入侵存在安全漏洞的机器,然后在机器上建立“后门”。这个“后门”将会等待攻击者通过TCP 444端口进行连接,从攻击者的机器下载多种程序,并使用部分程序再建立其他后门。此后门在TCP 处等待连接。
445端口属于共享端口,通过这个端口可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为这样,黑客们才有了可乘之机,他们能通过这个端口偷偷共享对方的硬盘,甚至可以在目标硬盘中执行格式化指令!
因此,有必要在访问规则优先的前提下,以外置规则来关闭的形式通过内置的SSL=MS\\002特征判别码来执行对443-445端口的过滤指令!
====有个别用户说,用了这个规则后上网很慢或是网站打不开,这主要有三个方面的原因,一是用户有同时运行除XP-SP2自带的防火墙以外的其他未经微软认证的第三方具有部分防火墙功能的软件(对这个问题,在规则包发布之初就有过说明),这样很容易造成防火墙访问规则缺失;二是用户没有将访问规则优先,导致规则包中相关规则直接指向端口并在匹配内置特征判别码和与相关规则互动后,只执行强制关闭指令,从而缺失了过滤指令的执行;三是用户的防火墙不是正版。
====有个别用户问:“为什么更新最新IP规则后没连接网络防火墙也出现192.168.1.255 禁NETBIOS.共享,而以前没连接网络防火墙不会出现这些情况 ?”
这是因为规则包根据最近网络里出现的DDos与Dos攻击(扫描)极有可能以驻留程序的方式、在系统重新启动后激活主程序以共享端口实现攻击这一趋势,增加了对所有共享端口的提前防御,这条规则同时与UDP134-139、443-445以及TCP\UDP 0端口的防御规则互动!
====有个别用户问为什么要访问规则优先而不IP规则优先?
这是根据防火墙引擎的启动指令来决定的,为避免新手看不懂,太专业的言辞我就不说了,我在这里列出防火墙引擎的启动指令流程:A、不明代码(包括扫描或攻击执行的指令)---防火墙外置规则响应这个不明代码---防火墙外置规则指向相关端口---防火墙外置规则与访问规则比对,如果访问规则优先允许,那么防火墙外置规则跳转到内置判别代码进行匹配,并引动防火墙引擎---防火墙引起启动,执行“访问规则+外置规则+内置特征判别码+相关的外置规则=端口过滤”指令;B、如果IP规则优先,那么就是外置IP规则直接指向端口并在匹配内置特征判别码和与相关规则互动后,只执行强制关闭指令,从而缺失了过滤指令的执行。
