我再用最通俗的语言来补充说明:
1、实际上端口是由某个服务的进程打开的,要彻底关闭某个端口就要结束相应的服务,例如要关闭80端口就要停止WWW服务。而用“Internet 连接防火墙”是在外围建一个防火墙,打个简单的比喻,一所房子有很多的门,要保证安全有两个办法,一是把门用砖头堵住;二是留着门,在房子周围建一道墙。用结束进程来关闭端口用的是第一种办法,用“Internet 连接防火墙”用的是第二种方法,虽然有的用netstat –na察看端口是开放的,但在外围已建了一睹密不透风的墙。
2、通过网站安全项目的检测,提示的端口隐藏与关闭是两个既有关联又有区别的概念。如果防火墙在某条规则设置上用的是过滤的匹配原则,那么这个端口就是关闭,比如80端口,大家都知道这个端口很重要,是上网的通道,因此绝不能封死这个端口,但也是最容易受攻击的对象(如:WEB攻击),那怎么办?只有通过与其他规则的匹配、端口的互动以及内核函数变量的适应来执行过滤,而1026端口作为连接网络供应商的主要通道,也只能实行过滤性设置,等等。如果,本地PC外接的猫或路由器或网络供应商的服务器,只要有一个对相关端口执行映射指令,那么网站安全项目测试返回来的信息就是关闭,否则就是隐藏(注:每个网络供应商都有很多个服务器,不同服务器会根据网络流量通过转换器调整端口映射值)。因此,从严格意义上来说,端口的关闭或隐藏并不能说明那个更安全、那个不安全,而且网络安全测试项目只是一个普遍性的、大众化的测试,同时各个不同的商家为了推广自身的网络安全产品,在检测方式上各不一样,比如天网使用的是端口规则的互动指令,SYGATE使用的是引擎的匹配指令。要检测防火墙是否起作用,最简单的方法就是在另外一台PC上用xscan、superscan之类的扫描工具扫描本地PC,如果没有打开的端口表示在房子周围建一道墙是没有漏洞的。
