微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 防火墙 » 微点的防火墙未通过测试,建议改进!  

 119  3/12  <  1  2  3  4  5  6  7  8  >  >| 
作者:
标题: 微点的防火墙未通过测试,建议改进!
零天幻星
注册用户




积分 105
发帖 105
注册 2007-1-21
#21  

这是楼主的第2个网站的测试

附件 1: sshot-2.jpg (2007-2-7 22:06, 24.11 K,下载次数: 44)


※ ※ ※ 本文纯属【零天幻星】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我的安全组合----------甘当中国小白鼠
微点+风云墙
2007-2-7 22:06
查看资料  发短消息   编辑帖子
newgnay
注册用户





积分 56
发帖 56
注册 2007-2-6
#22  

顶,看过了,我自己也试了一下(不过我是内网,所以可能不太准),不过端口静默的问题值得引起微点的注意.

※ ※ ※ 本文纯属【newgnay】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-7 22:24
查看资料  发送邮件  发短消息   编辑帖子
nasdaq
版主

版主


积分 1140
发帖 1118
注册 2006-4-6
#23  



  Quote:
Originally posted by 我行我素 at 2007-2-7 21:00:


我的ADSL没开路由,扫描的是本机端口。这种测试是与浏览器无关,但我未用过Max,不知道Max是否带有防火墙的功能,所以才说用IE试一下,呵呵。

傲游Maxthon 2.0 可没有那么强大,莫有防火墙的。防火墙毕竟要用驱动来搞定,傲游最欠缺的就是底层开发能力了,最初的版本效果很不理想呢,当然现在的beta 4还是不错的。

※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-7 23:03
查看资料  发短消息   编辑帖子
nasdaq
版主

版主


积分 1140
发帖 1118
注册 2006-4-6
#24  



  Quote:
Originally posted by 我行我素 at 2007-2-7 21:13:
又测试一次,并已看过微点的进程综合信息,无任何程序打开1080端口,也未安装过任何代理服务软件,同样出现上述端口可见。我可以肯定的给你说,那个测试网站100%没有问题,在同样的情况下,任何一款防火墙都可通过测试,但微点就不行,这还不能说明问题吗?

另外,137、138、139端口都是系统进程开的,在只有微点防火墙的情况下这些端口仍然可见,显然不正常。微点、IE本身自己也要开本地端口,微点开的是7100以上的端口,IE开的是1024以上的端口,那为何在扫描时没看到报这些端口可见?并不是说你自己开了什么端口,在打开防火墙的情况下就一定能扫描得到这些已打开的端口,不信你可打开你的BT或电驴的同时去该网站扫描一下,看它能不能扫描到BT或电驴的端口,呵呵。

补充一下,我在上一帖说的是端口可见,这与端口是打开的不一样。

如果可能的话,希望咱们可以持续讨论最终把问题搞明白。

1.端口打开我明白,请教一下您端口可见具体是什么含意?有哪些特征?呵呵,我理解如果一台电脑没开1080端口的话,我发包到它的1080端口是得不到任何回应的。我不太明白这个端口可见是怎么判定出来的。

2.“另外,137、138、139端口都是系统进程开的,在只有微点防火墙的情况下这些端口仍然可见,显然不正常。”
——请问您这时用的防火墙规则几?

3."微点、IE本身自己也要开本地端口,微点开的是7100以上的端口,IE开的是1024以上的端口,那为何在扫描时没看到报这些端口可见?并不是说你自己开了什么端口,在打开防火墙的情况下就一定能扫描得到这些已打开的端口,不信你可打开你的BT或电驴的同时去该网站扫描一下,看它能不能扫描到BT或电驴的端口,呵呵。"
——您这个问题很好解释,出于效率原因,检测网站绝不会完全检测0-65535这所有的65536个端口,而只是有针对性地探测常用的大概几十个端口。

※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-7 23:04
查看资料  发短消息   编辑帖子
我行我素
高级用户




积分 516
发帖 516
注册 2007-1-22
#25  

nasdaq
你好,非常高兴能与你讨论。
1、端口情况的确有三种,开放、可见、关闭(不可见),但具体是如何探测的我就搞不懂了,也懒得去google了。
2、出现137、138、139端口个别可见时,仍然是使用的微点防火墙第五规则。
3、谢谢你对此问题的解释,有时间我会再去测试一下,就是把BT的端口改成某一特定的木马端口,再扫描一下。

BTW:希望版主能重视一下此帖,加强防火墙的规则或功能,这样我们的讨论也就没白废了。

※ ※ ※ 本文纯属【我行我素】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-11 15:12
查看资料  发短消息   编辑帖子
ballpointpen
中级用户





积分 436
发帖 434
注册 2006-6-20
#26  



  Quote:
Originally posted by 我行我素 at 2007-2-11 15:12:
1、端口情况的确有三种,开放、可见、关闭(不可见),但具体是如何探测的

是否应该有四种:开放、可见、隐形和关闭?网络端口最理想的状态是“隐形”。

天网在线检测__端口检查__网络监听端口的快速检查对端口状态做如下描述:
隐形
    如果所有的测试端口都处于隐形状态,那网络中的扫描仪将找不到你的电脑所在地。 这也就是说你的电脑要么就是没联网,要么就是有一台行之有效的防火墙在起作用,把一切不速之客都拒之门外。后者表明你的电脑对别人的肆意攻击是完全迟钝的,即使你的电脑以前曾被所谓的入侵者浏览和进入过,反弹给这个IP地址的信息让攻击者误以为你已经退出系统了,或已不存在了。这是一种最好的状态。 防火墙的另外一个好处是,它能使用来攻击的扫描仪在探测过程中遭到破坏。所以防火墙是非常必要的,因为你的防火墙可以屏蔽发给端口的某些信息,而这些信息正是你不希望接收的。相反,一台没有安装防火墙的PC机会立即对连接请求做出响应,并让扫描仪继续进入,而不论你愿意与否。但对于TCP/IP数据包来说,你的防火墙就像一个黑洞!也就是说在扫描仪确定在另一端没有计算机之前,你的连接已超时了。这时,超时连接和防火墙似乎有"异曲同工"之妙,都使对方无法与你联系。这就引出了下面的问题了: 错误的隐形状态

    连接请求还没经过判断就被回拒,这时端口的隐形状态可以认为是错误的。我们网站将发出四个一系列的连接请求,直到每个端口都有响应为止。如果端口还没有响应,表明它已处于错误的隐形状态。由于网络"数据包"会在前往目的地的途中丢失一部分。所以我们用四次来完成这项工作,以确保"数据包"完全到达目的地。 在网络繁忙期间,有可能四个"数据包"都丢失或相互混淆,那端口测试的结果仍为"隐形"。如果端口不断受到请求,它还是会有所响应的。 如果你怀疑发生了以上情况,只要更新一下你的浏览器页面,重新进行测试。如果还是不行,可能是网络暂时过于繁忙的缘故。 注:以上所说的隐形状态是网络端口所处的最好的状态,如果您的计算机无法显示该状态,那么您需要一台个人防火墙。
关闭
    如果你的计算机没有安装防火墙,端口“关闭”是最好的状态了,当然,这样的代价就是通过该端口的程序都将无法连接网络,因此,这只是舍弃功能换来相对的安全,而且对于大家熟悉的TCP/IP堆栈漏洞,你的计算机可能还无法应付。这就需要你花费更多的时间去关注你系统本身的漏洞,漏洞每天都在发现,你升级的脚步永远跟不上漏洞更新的速度,一旦我们的计算机出现了漏洞怎么办?我们推荐你使用具有安全检测修复系统功能的天网个人版防火墙,它能有效地修补系统漏洞,并堵截来自网络的扫描信息,从而达到隐藏端口,保护计算机的目的。
开放
如果端口处为"开放"状态,那会出现下列两种情况:
端口处有服务器运作:
    如果你的系统服务器端口是“开放”的,那你就得看看PC安全报告了。端口的开放,就如给黑客开了一扇门,虽然一些常用端口的开放被看作是安全的,但是我们很难保证黑客们不会从系统中找到合适的漏洞进而利用你开放的端口进行破坏活动,因此,保障自己不被黑客入侵的最有效的办法就是在你的计算机和公众网络之间加入一道防火墙,让黑客无从发现你的计算机,并且一旦有黑客试图入侵,防火墙将在第一时间发出警报,让你有充足的时间去处理一切安全问题。

端口处没有服务器运作:
    如果没有服务器运作,而端口为"开放"状态,那你的系统会向周围宣布自己的存在并请求所有的端口扫描仪来获取服务。这是十分严重的错误。开放端口的记录将是黑客们的主要目标。 不论你的服务器是正在运行Trojan horse、Back Orifice等程序,还是"Evil Port Monitors",都会改变你的系统的端口开放情况,从而达到监视TCP/IP连接的目的。E.P.M.可以告诉你有扫描仪已监测你的系统……但问题是成功的扫描探测和系统的门户大开会惹来许多麻烦,会引起别人的注意。

[ Last edited by ballpointpen on 2007-2-13 at 00:56 ]

※ ※ ※ 本文纯属【ballpointpen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-11 15:46
查看资料  发送邮件  发短消息   编辑帖子
嘎子
新手上路

新手上路


积分 49
发帖 46
注册 2005-11-2
#27  

我行我素:
  请做一下如下测试:
1、使用规则包(二),然后查看网络是否可以正常使用,如果网络断开为正常。
2、使用规则包(五),然后进行安全测试,看测试的结果。

如果1的结果是可以使用网络,说明微点防火墙已经失效,请重新安装微点,或检查问题出在哪里。
在测试1正常的情况下再做2的测试,这里期待lz的第2步测试结果。

※ ※ ※ 本文纯属【嘎子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

忍一时风平浪静,退一步海枯石烂
2007-2-11 16:39
查看资料  发短消息   编辑帖子
我行我素
高级用户




积分 516
发帖 516
注册 2007-1-22
#28  



  Quote:
Originally posted by 嘎子 at 2007-2-11 16:39:
我行我素:
  请做一下如下测试:
1、使用规则包(二),然后查看网络是否可以正常使用,如果网络断开为正常。
2、使用规则包(五),然后进行安全测试,看测试的结果。

如果1的结果是可以使用网络,说明微点 ...

嘎子,已按你的要求测试,情况如下:
1、使用规则二(禁止网络,禁止任何数据包进出。)后,所有网络均断开,IE、OUTLOOK、TM等均不能访问网络。
2、再使用规则五测试,同样出现可见端口:21、80、3128、27374、12345。此次出现的可见的常用端口21、80、3128又与上一次测试出的可见端口139、1080不一样了。

BTW:感谢“ballpointpen”提供的天网对端口的描述。

附图:

附件 1: micropoint-firewall-test-0212.png (2007-2-12 21:07, 53.15 K,下载次数: 51)


※ ※ ※ 本文纯属【我行我素】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-12 21:07
查看资料  发短消息   编辑帖子
hua
新手上路





积分 37
发帖 37
注册 2007-1-12
#29  

我只用微点,刚才去第一个网站测试分别用规则四和规则五测试,结果都是绿脸,第二个连接用规则四也是安全的。

※ ※ ※ 本文纯属【hua】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-12 23:12
查看资料  发送邮件  发短消息   编辑帖子
嘎子
新手上路

新手上路


积分 49
发帖 46
注册 2005-11-2
#30  



  Quote:
Originally posted by 嘎子 at 2007-2-11 16:39:
我行我素:
  请做一下如下测试:
1、使用规则包(二),然后查看网络是否可以正常使用,如果网络断开为正常。
2、使用规则包(五),然后进行安全测试,看测试的结果。

如果1的结果是可以使用网络,说明微点 ...

那你用规则包(二),进行安全测试,测试结果如何呢?

※ ※ ※ 本文纯属【嘎子】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

忍一时风平浪静,退一步海枯石烂
2007-2-13 09:45
查看资料  发短消息   编辑帖子
 119  3/12  <  1  2  3  4  5  6  7  8  >  >| 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号