微点交流论坛

标题: 【我来谈谈防火墙】【个人感觉防火墙意义不大】 [打印本页]

作者: 御剑临风. 时间: 2009-8-8 17:05 标题: 【我来谈谈防火墙】【个人感觉防火墙意义不大】

先说软件防火墙吧

他们的目的就是防被扫描

扫描有两个危害，第一就是容易被人抓做肉鸡（通过系统漏洞攻击溢出）

第二就是通过系统漏洞入侵。

至于说软件防火墙防御攻击，说句不好听的话，扯淡，防御攻击能力软件防火墙

基本是【零】

有的说限制连接数等一些措施根本无用，因为限制连接数会造成正常用户无法访

问。

而且冰盾傲盾这一类的软件DDOS防火墙是网桥式的他工作层再网卡直接过滤数

据

和个人防火墙工作层不一样，占用的资源比个人软件防火墙要小

但防御能力根据你带宽大小决定的。（如果你带宽小被攻击照样挂掉）

如果你有钱购买大带宽你还不如直接买个硬防或放在机房了。

硬件防火墙，CPU占用基本是0%所以高效。（单独的硬件设备）

如果是大量的攻击流量（DDOS）硬件防火墙也不能很好的防御。

而一台硬件防火墙最基本的售价是30多万已经是最便宜的了。

如果选择机房的话。

网通大硬防机房：大连网通（8G硬防集），辽宁网通（10G硬防集），河南网通

（硬防集10G）

电信大硬防机房：江苏电信（20G硬防集），浙江电信（8G），金华（10G）

机房1G硬防的价格是，一个月最起码几千块钱。

但是超过硬件防火墙设备的极限照样挂掉

所以说个人用户没必要装什么防火墙，如果病毒捆绑到IE

防火墙提示IE要访问网络（或）捆绑到其他上了

有的用户不懂他就点击允许【照样中毒】当肉鸡！！

个人防火墙的两个目的。一被扫描二防止当肉鸡（上面已经叙述过了）

所以说大家选择一个好的杀毒软件打打系统补丁以及选择一个不错的HIPS以及规

则

和可防御系统溢出攻击的防御软件

虽然很多防火墙也加入了HIPS功能（主动防御）但和智能以及传统纯HIPS相比还

是有一定差距的

第一他扫描你就要入侵你的电脑或把你抓做肉鸡

肯定要先让你中毒，你的杀毒软件要不错挡住第一关

第二他通过系统漏洞溢出攻击，你的防御系统漏洞溢出的工具会防御

第三中毒HIPS肯定会有所提示的。

防内防外。

所以我感觉防火墙意义不大，还有点拖网速。

ARP防火墙面对大量流的欺骗数据

照样不行。

可以把主机的MAC和路由器绑定

【良好的上网习惯最重要】

【参考】：

http://bbs.kafan.cn/thread-533818-1-1.html

http://bbs.kafan.cn/thread-533937-1-1.html

解决方法：

安装HIPS或具有主动防御的软件，可以查杀未知病毒和免杀病毒等

HIPS比如EQ（规则很多）去论坛搜索一下

主动防御的比如微点、卡巴斯基、瑞星等。

选择具有漏洞溢出防御功能的

比如微点具有漏洞溢出防御、金山网盾也具有类似功能

更新系统补丁

有什么地方不对或没说到位，欢迎大家用专业的数据和测评，批评指正。

作者: kihiuyhjgh 时间: 2009-8-26 20:42
谢谢分享！

作者: hanker 时间: 2009-8-28 14:19
还真没看见这贴。
既然说个人防火墙意义不大，那我也说两句。
看了前面一部分，没看见，感觉说的有很多不对的地方。
软件防火墙的作用基本有两个，一个程序访问网络报警，一个是端口的限制。
中病毒啊，中木马啊，请问是怎么中上的？
溢出是根据系统漏洞，系统服务开放的默认端口，我如果用防火墙关闭那些端口你在试下？

还有那些抗DDOS啊，那些不是软件防火墙做的。

作者: 理想未来 时间: 2009-8-30 03:09
谢谢楼主提供专业分析，软件防火墙没啥用，就像楼主说的防攻击基本不行，就是防扫描和肉鸡，防攻击可以使用冰盾之类的，有钱用硬件防火墙

作者: 理想未来 时间: 2009-8-30 03:21

Quote:

Originally posted by hanker at 2009-8-28 14:19:
还真没看见这贴。
既然说个人防火墙意义不大，那我也说两句。
看了前面一部分，没看见，感觉说的有很多不对的地方。
软件防火墙的作用基本有两个，一个程序访问网络报警，一个是端口的限制。
中病毒啊，中木马 ...

接着4楼说，5楼还是版主？没知识啊～你就没看明白楼主的意思，他的意思就是说，软件防火墙防攻击可以吗？不行！你还说什么端口访问，不还是病毒（肉鸡）伪装后要联网防火墙拦截提示（但能看懂吗？）说某某程序要访问远程地址，是允许还是拒绝，你以为用户都是专家？楼主重点是介绍和推荐微点的，你这都看不出？微点不启动防火墙可以拦截病毒（包括伪装以及未知）的吧？比如入侵者通过系统漏洞进来，微点能拦截吧？不启动防火墙也可以拦截吧？（微点系统漏洞溢出攻击）
你明白楼主的意思了吧？他的意思无非是安装微点就能防你当肉鸡。

[ Last edited by 理想未来 on 2009-8-30 at 03:28 ]

作者: 无名之人 时间: 2009-8-30 03:31

Quote:

你很无知

说什么关闭端口防病毒？你关闭什么端口啊？

任何端口病毒都可以使用和利用~

木马使用80端口你关闭80端口？你怎么打开网页？

病毒还可以使用81端口

难道你还关闭81端口？

电脑有65535个端口，都可以被病毒使用，你难道你关闭？

关闭了你还上网吗？

【你不开机啥毒都不会中】

[ Last edited by 无名之人 on 2009-8-30 at 03:33 ]

作者: 无名之人 时间: 2009-8-30 03:35
关于DDOS可以使用硬件防火墙或者冰盾（如果你带宽大）经过设置可以防御

可以自己制作硬件防火墙（网上有具体方法和核心程序）

但是对方如果流量比你大，你使用什么都没用！

作者: ssaassw 时间: 2009-8-30 03:38

Quote:

Originally posted by 无名之人 at 2009-8-30 03:31:

你很无知

说什么关闭端口防病毒？你关闭什么端口啊？

任何端口病毒都可以使用和利用~

木马使用80端口你关闭80端口？你怎么打开网页？

病毒还可以使用81端口

难道你还关闭81端口？

电脑有 ...

呵呵，最看不起不懂装懂的人了
关闭端口就能防病毒？:D

老子不开机不上网中啥毒？

作者: OKSD 时间: 2009-8-30 03:52
晕，第一次听说关闭端口就不会中木马？只能说关闭木马常用的端口（网上有这样的工具）关了就不中了，可能吗？（不然那会有那么多肉鸡啊！）肉鸡一定没装防火墙杀毒软件吗？不见得吧！如果端口都关了你认为你还能上网吗？

作者: hanker 时间: 2009-8-31 10:35
呵呵，以上几位回帖都是一个人的味。如果想谈就一个ID上，别弄一堆ID，有啥意思？
说我没明白楼主的意思，请问你又明白我什么意思吗？

我是介绍软件防火墙，一个程序访问网络报警，一个是端口的限制。

我说过有软件防火墙就不能中病毒木马吗？这位仁兄说话还真有点激动啊，别激动，慢慢说。

对哪句话没明白慢慢说，别着急上火，呵呵。气坏了可别怪我

[ Last edited by hanker on 2009-8-31 at 10:38 ]

作者: POYWE 时间: 2009-8-31 10:47
谢谢楼主分享！

作者: 雷雨 时间: 2009-8-31 11:04
这就是御剑的技术贴？
一般，很一般，真不是一个层次。

作者: 李莫愁 时间: 2009-8-31 15:21

Quote:

Originally posted by 雷雨 at 2009-8-31 11:04:
这就是御剑的技术贴？
一般，很一般，真不是一个层次。

我很赞同这个看法:D:D:D

作者: jackybaby 时间: 2009-8-31 16:11
两位冷静，喝点王老吉消下火。这应该是纯技术帖，别成了口水。
  纯粹的防火墙越来越没有存在的价值，不过在防火墙区宣扬防火墙无用论的确对斑竹不敬，先请罪。
  防火墙最让人称颂的防外，看看还有用吗？我就让你扫描到我端口，你能做什么？利用默认共享做IP$连接？现在XP上已经做不到了，网上流行的端口入侵方式那是win98的做法。一些人还在迷恋端口隐形，实在可笑了。所以了不起就是植个木马，悻悻而退，等待下次机会。可以看到，通过端口暴力入侵主机，几乎是不可能的事，至少不是普通黑客能做到的。最可怕的还是木马，不论是入侵植入还是网页感染，木马都是最有威胁的，木马进入后，防火墙的任何作为都是徒劳的，就像城墙守的再严，一个人拿着皇帝老儿的令箭说出城押粮，你放不放？
  所以防住了木马，纯墙开不开已经无所谓了，这也是微点敢于默认不开防火墙的思路吧。
所以我的观点：纯墙必将倒掉，取而代之的是一个综合防御体系

作者: hanker 时间: 2009-8-31 17:41
楼上说的有道理
木马打03 04年之后全部都是反弹的了，反弹的目的就是防火墙，原来是服务端连接客户端，现在客户端反弹服务端。（这种模式有防火墙是连不进来的）木马如果没有穿透基本防火墙的能力都不好意思放出来。

防火墙工作很单调，目前都是防火墙配合一个杀毒软件来工作。单独防火墙是不能起到决定性作用的。现在使用作用单一，就是单向访问（本地可以出去，外面的连接进不来），这就是扫描软件扫不到的原因，就是防火墙。

防火墙要看你用在哪，怎么用，既然有防火墙这种东西而且应用这么广泛那就有防火墙的独到之处。

你不能让杀毒软件来处理网络连接吧？

提防火墙就不要提什么为什么中了病毒和木马，那是防火墙干的活吗？

去一个包子铺你让他给你铸铁他铸的了吗？

作者: 背靠背 时间: 2009-8-31 17:50
御剑原来就这水平啊，唉丢人丢大喽，就这水平，还来踢馆？真是关公面前耍大刀，丢人现眼的货:cool::cool::cool:

作者: koo 时间: 2009-8-31 17:53
大家快来啊，御剑踢馆啦。

可惜了，能力差太多

[ Last edited by koo on 2009-8-31 at 17:54 ]

附件 1: 1.gif (2009-8-31 17:54, 36.49 K,下载次数： 34)

作者: HONEY0806 时间: 2009-9-1 13:09
..................沉默静观其变

作者: xiongmaoG3 时间: 2009-9-6 19:01
学习了

作者: oisdd 时间: 2009-9-28 20:32
学习了，一直使用微点默认设置，感觉很好~

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn