【求助】防火牆的基本觀念請教



贊助商連結


b90220208
2005-10-20, 02:22 PM
:|||: 請教一個防火牆的觀念:
一般 FIREWALL 軟體,例如 XP附設,BLACKICE,TREND...都會有例外清單讓我們設定想開放的 PORT , 連出連入 , 協定 , IP ..等事宜.
那麼是否表示沒被設定到的 PORT 都是不開放的??

另外有很多時後都會用到的隨機 PORT 一事,想請問為何這些隨機 PORT 就不會被防火牆軟體封鎖呢?....例如我經由隨機 PORT(例: 1234) 上某網站,然後,對方網站再回應我的請求並送至我的 port:1234 .那麼這一前一後為何都不會被擋掉呢?

贊助商連結


rushoun
2005-10-20, 03:09 PM
我所知道的有兩個方式:
開放特定的,其他都禁止。
禁止特定的,其他都開放。
而且防火牆有出去跟進來的規則,兩者都要兼顧到,不過一般都不太會
限制出去的規則。

b90220208
2005-10-20, 04:02 PM
THANKS..
那進來我的隨機 port 的連線為何也不會被限制?
如我開版說的--自己電腦經由隨機 PORT(例: 1234) 上某網站,然後,對方網站再回應我的請求並送至我的 port:1234 .那麼後者為何不會被擋掉呢?

rushoun
2005-10-20, 04:17 PM
確定真的有關掉嗎?也有可能您對這個網站的IP的設定是允許的,
那麼這個IP就可以自由進出你的電腦,不會理會哪個port的。

cedric2000
2005-10-20, 06:08 PM
這要看應用程式的設計方式
基本上防火牆除了一些特殊需要管制聯外的需求外,
一般來說比較不會針對聯外的做管制,而是保護防火牆內
因此從隨機port出去的話,一但聯外時連線已經建立
這時候如果沒有特殊的需求(如FTP),
基本上會繼續沿用這一個連線傳送資料
加上防火牆可以針對部份的特殊封包(ACK)做設定
所以通常應該是可以通過的

b90220208
2005-10-20, 10:07 PM
這要看應用程式的設計方式
基本上防火牆除了一些特殊需要管制聯外的需求外,
一般來說比較不會針對聯外的做管制,而是保護防火牆內
因此從隨機port出去的話,一但聯外時連線已經建立
這時候如果沒有特殊的需求(如FTP),
基本上會繼續沿用這一個連線傳送資料
加上防火牆可以針對部份的特殊封包(ACK)做設定
所以通常應該是可以通過的
了解,thanks a lot!!
可否再請教,
我有用過較嚴謹的firewall software是連連出去的封包也要控管的,
例如isa server(附帶NAT功能):
那麼當我的本機隨機PORT出去的(如純本機上網)也就算了,誠如您說它不會去管這種.
但當NAT client要上網時得透過這台機器,此情形當nat server改好封包的來源位址後,是否也會隨機選個port來繼續完成這一連線請求,所以也就不會去擋了呢?

cedric2000
2005-10-21, 06:35 PM
了解,thanks a lot!!
可否再請教,
我有用過較嚴謹的firewall software是連連出去的封包也要控管的,
例如isa server(附帶NAT功能):
那麼當我的本機隨機PORT出去的(如純本機上網)也就算了,誠如您說它不會去管這種.
但當NAT client要上網時得透過這台機器,此情形當nat server改好封包的來源位址後,是否也會隨機選個port來繼續完成這一連線請求,所以也就不會去擋了呢?

其實大部分的防火牆應該都可以管制聯外的,只不過可能一般使用狀況是不需要管制聯外,而是一些有特殊需求的狀況(比如說銀行...)才會啟用

是的,基本上NAT也是隨機挑一個port出去,只是NAT會自己去紀錄要對應的原本的IP跟port. 如果沒記錯的話, ISA Server好像是直接用firewall來做NAT的,所以這部分我想應該不會有問題的

b90220208
2005-10-21, 10:18 PM
順便問一下:
網芳可用在 WAN 的兩電腦嗎?
EX: PC1:203.204.123.123 ,PC2:61.99.88.77
然後在 PC1 執行: \\PC2'S IP (當然兩電腦都是我能控制的)
為何我試的結果都說找不到項目...以下規則都開了,WHY??
========================
137/UDP NETBIOS NAME SERVICE
139/TCP SESSION
138/UDP DATAGRAM
========================