引用:
【kkkkk222的贴子】看来楼主对防火墙的有关知识理解上有问题，防火墙关键是看内核，因为瑞星本身内核比较差，因此做不到隐藏全部不用的端口（而国外的防火墙基本上都能够做到）只能依靠规则来监视端口的情况，所以经常会出现某某正在连接某某端口的提示，实际上大部分情况下是正常连接（真正使用木马的黑客是不会用标准端口的，因此这个提示作用不大）．
...........................

我用最通俗的语言说几句：
1、内核只是关键之一，还有一个关键的是内置的特指征判别码指令，如果缺少或没有内置的特指征判别码指令，光靠外置的端口监视是不行的！防火墙运作规程是：1、外置端口监视+访问规则+内置特征判别码指令程序匹配=端口过滤指令启动；2、如果没有或缺少相应的内置特征判别码指令，那么防火墙运作规程则是：外置端口监视+访问规则=端口关闭指令启动。因此，“只能依靠规则来监视端口的情况”的说法严重错误！
2、防火墙内核就是引擎程序与指令构架，引擎程序就是执行端口过滤或关闭的程序，指令构架就是防火墙整个运作规程的往返次序。
3、隐藏端口功能要从两个方面来理解：一是在受到扫描（或攻击）时，防火墙执行了相应的端口过滤指令，那么回显给对方的数据除了是“延时”外，就是端口全无，这样对方则找不到扫描（或攻击）对象的端口（加载置顶的规则包可以实现）；另一方面，则是针对于非扫描（或攻击）类的软件（工具），比如MSN等，在防火墙规则却省的情况下，不执行端口指令，则对方可以看到相关的端口，但一旦对方使用扫描（或攻击）工具，防火墙中的特征判别码指令则启动匹配程序，并引发端口过滤（或关闭）指令！
4、对方要实现攻击，首先必须通过相关工具扫描得到回显数据，不然就无法进行攻击，同时对正常的连接，由于不存在“特征判别代码指令”，防火墙外置规则与引擎指令是不会匹配的（响应）。因此，“经常会出现某某正在连接某某端口的提示，实际上大部分情况下是正常连接”的说法严重错误！
5、从严格的意义上来说，端口不存在标准和不标准的区分，因此，“真正使用木马的黑客是不会用标准端口的”的说法严重错误！
6、防火墙的任何提示都在告知本地是否受到扫描（或攻击）或是对相关的软件要否加入访问规则的信息，其实作用很大，当然对新手来说是作用不大，新手当然也就可以关闭报警。

问：你好，我是个菜鸟，可自从你们开始编写这个规则包以来，就渐渐的对这方面的有了兴趣，我当然不打算也能写出这样的东西来，不过想多了解一点，请问应该怎么学习呢，应该从哪儿开始下手呢？呵呵，可能这个很复杂，要牵涉到的东西也很多，我只是比较感兴趣而已，另外还有几个很幼稚的问题，比如说你说的什么内置特指针判别码什么的，这样的东西在编写规则的时候是从哪儿写进去的，好象防火墙里面没有写这个东西的地方啊，是不是还有专门写这些东西的软件，假如我用别的防火墙，是不是就不能写呢，比如说ZoneAlarm，呵呵，可能这些问题很简单，可我确实搞不清楚，能不能给我说说呢？谢谢！

答：

1、应该从编程开始学，然后再学习端口的设置与程序特征码的分析、认定；
2、内置特征判别码指的是，直接植入防火墙内核的有关判别功能的程序，是用来判别相关程序是否合法，为防火墙引擎是否启动拦截、过滤指令提供依据；防火墙主要是要靠特征判别码来实施拦截、过滤的，比如说，80端口是上网的必需端口，但也是反弹性木马的依赖端口，如果单是关闭80端口，就无法上网，因此防火墙就必须通过内置的特征判别码来判别通过80端口的数据是不是蠕虫或木马，以过滤的方式来保证正常上网；
3、特征判别码是从相关的非法程序中提炼出来并重新编写的，属于动态类链接程序，是个专业性很强的工作，必须通过专门的编程工具来编写，并通过专门的汇编工具写入（链入）防火墙程序中，ZoneAlarm等防火墙也是这样的；
4、内置功能不属于防火墙的组件，因此如果没有通过专门的汇编是看不到。