| 引用: |
【kkkkk222的贴子】看来楼主对防火墙的有关知识理解上有问题,防火墙关键是看内核,因为瑞星本身内核比较差,因此做不到隐藏全部不用的端口(而国外的防火墙基本上都能够做到)只能依靠规则来监视端口的情况,所以经常会出现某某正在连接某某端口的提示,实际上大部分情况下是正常连接(真正使用木马的黑客是不会用标准端口的,因此这个提示作用不大).
........................... |
我用最通俗的语言说几句:
1、内核只是关键之一,还有一个关键的是内置的特指征判别码指令,如果缺少或没有内置的特指征判别码指令,光靠外置的端口监视是不行的!防火墙运作规程是:1、外置端口监视+访问规则+内置特征判别码指令程序匹配=端口过滤指令启动;2、如果没有或缺少相应的内置特征判别码指令,那么防火墙运作规程则是:外置端口监视+访问规则=端口关闭指令启动。因此,“只能依靠规则来监视端口的情况”的说法严重错误!
2、防火墙内核就是引擎程序与指令构架,引擎程序就是执行端口过滤或关闭的程序,指令构架就是防火墙整个运作规程的往返次序。
3、隐藏端口功能要从两个方面来理解:一是在受到扫描(或攻击)时,防火墙执行了相应的端口过滤指令,那么回显给对方的数据除了是“延时”外,就是端口全无,这样对方则找不到扫描(或攻击)对象的端口(加载置顶的规则包可以实现);另一方面,则是针对于非扫描(或攻击)类的软件(工具),比如MSN等,在防火墙规则却省的情况下,不执行端口指令,则对方可以看到相关的端口,但一旦对方使用扫描(或攻击)工具,防火墙中的特征判别码指令则启动匹配程序,并引发端口过滤(或关闭)指令!
4、对方要实现攻击,首先必须通过相关工具扫描得到回显数据,不然就无法进行攻击,同时对正常的连接,由于不存在“特征判别代码指令”,防火墙外置规则与引擎指令是不会匹配的(响应)。因此,“经常会出现某某正在连接某某端口的提示,实际上大部分情况下是正常连接”的说法严重错误!
5、从严格的意义上来说,端口不存在标准和不标准的区分,因此,“真正使用木马的黑客是不会用标准端口的”的说法严重错误!
6、防火墙的任何提示都在告知本地是否受到扫描(或攻击)或是对相关的软件要否加入访问规则的信息,其实作用很大,当然对新手来说是作用不大,新手当然也就可以关闭报警。
