防火牆與TCP/IP篩選 [Site Map]

贊助商連結

hhdig

2004-05-22, 01:59 PM

還記得在WIN2000以上的版本,
在網路卡設定介面內有一項"TCP/IP篩選"的功能設定
裡面主要設定了您所希望"開啟"的TCP,UDP,IP的項目

對於一般的使用者而言,由於對於網路的認知並不是很了解下
要他們去設定防火牆...等等的網路機制,可能是天大的困難
所以是否可藉由上述的網路卡設定去達到最簡易的安全機制
因為對於一般的使用者是不需要開啟任何的埠點,
所以只要他們點個幾下滑鼠就可完成設定,很方便

那麼此項的設定又與防火牆的機制上到底有哪些差異?????
若我不用到所謂的封包過濾,是否啟動此項設定就可滿足需求
此項TCP/IP篩選,是否可以達到類似防火牆的功能???

贊助商連結

Schnaufer

2004-05-22, 02:22 PM

http://support.microsoft.com/?scid=kb;en-us;309798&fr=1

TAIWAN

2004-05-23, 01:08 PM

最初由 hhdig 發表
還記得在WIN2000以上的版本,在網路卡設定介面內有一項"TCP/IP篩選"的功能設定裡面主要設定了您所希望"開啟"的TCP,UDP,IP的項目

對於一般的使用者而言,由於對於網路的認知並不是很了解下要他們去設定防火牆...等等的網路機制,可能是天大的困難所以是否可藉由上述的網路卡設定去達到最簡易的安全機制因為對於一般的使用者是不需要開啟任何的埠點,所以只要他們點個幾下滑鼠就可完成設定,很方便

那麼此項的設定又與防火牆的機制上到底有哪些差異?????若我不用到所謂的封包過濾,是否啟動此項設定就可滿足需求!此項TCP/IP篩選,是否可以達到類似防火牆的功能???

這個功能是只管SYN ACK封包進出，簡單說就是封包的六種報表頭而已！
有空請參考一下 http://www.skynet.com.tw/13/11.htm

這個功能沒有達到封包過濾功能！目前也沒有任何PC用的防火牆有封包過濾這種功能，除非寫程式的人瘋了！光是攻擊手法就有上千萬種，這個程式寫起來又肥又大，當然想用的人瘋了也就有這樣的市場！

簡單說，要達到封包內容過濾相當於一台PC正在進行檔案搜尋！您可以試一下您的 80G 硬碟灌滿檔案要找尋內含 SHIT CHT 字的檔案需要多久時間！:D 更何況是流動中的封包，小弟家是有做這類封包內容過濾型電信等級的防火牆，價錢當然是七位數請跳的，有空參考一下！
http://www.skynet.com.tw/13/1.htm

hhdig

2004-05-23, 11:03 PM

喔....那麼說....
是可以當作一般的防火牆來用囉

因為您所提及的目前的PC防火牆都沒有封包過濾的功能....那就跟此項設定差不多了阿
那麼就沒必要去安裝防火牆的軟體了阿

ICLA

2004-05-24, 12:56 AM

不能過濾封包，至少還能過濾 Port/通訊協定/應用程式，而這對於個人甚至大部分的企業用戶而言至少比啥都不過濾來得好了。

cheerx

2004-05-24, 02:02 AM

簡單的說再什麼都不知道的情況下,至少不會連一些白痴駭客軟體都可以從你的電腦抓資料.就像防毒軟體可能很多病毒都抓不到,不過對一般人而言不會比不裝好.

如果是高手就是另外一回事了.

網路要安全,真的要有很高的功力或是龐大的財力才有可能.硬體防火牆很多國產品也是linux丟進去,套件裝一裝就可以賣了.

hhdig

2004-05-25, 12:50 AM

最初由 ICLA 發表
不能過濾封包，至少還能過濾 Port/通訊協定/應用程式，而這對於個人甚至大部分的企業用戶而言至少比啥都不過濾來得好了。

過濾PORT??? 通訊協定??? 應用程式???
我今天所說的不是IP安全性的設定喔!!!
是直接設定網路卡TCP/IP的連線選項

過濾PORT
我已經設定直接檔掉所有PORT,怎還會有過濾PORT的問題

通訊協定
通訊協定應該是讓SERVER端去知道應該去開啟哪個通訊埠
況且我也已經封掉所有PORT,對方又如何連線

應用程式
我想這就是"TCP/IP"所無法達到的部分
因為它無法限制,由本地的電腦所發出的任何連線
也就是說無法限制未授權的應用程式做連線的動作

hhdig

2004-05-25, 12:56 AM

最初由 cheerx 發表
簡單的說再什麼都不知道的情況下,至少不會連一些白痴駭客軟體都可以從你的電腦抓資料.就像防毒軟體可能很多病毒都抓不到,不過對一般人而言不會比不裝好.

如果是高手就是另外一回事了.

網路要安全,真的要有很高的功力或是龐大的財力才有可能.硬體防火牆很多國產品也是linux丟進去,套件裝一裝就可以賣了.

嗯....
但是對於一般的使用者,相對之下並不需要用到相當高階的硬,軟體
也更沒有相當的財力與能力,所以才要尋求最簡易的防護方式

因為真的駭客不會想要入侵一般家用電腦,而只是用來做跳板
若有的一些最基本的防護,駭客也不會想浪費時間在這裡

TAIWAN

2004-05-25, 08:39 PM

最初由 hhdig 發表
喔....那麼說....是可以當作一般的防火牆來用囉
因為您所提及的目前的PC防火牆都沒有封包過濾的功能....那就跟此項設定差不多了阿那麼就沒必要去安裝防火牆的軟體了阿

差很多，這和 PC 使用的防火牆軟體是寫在網路的那一層有關係！網路共有六個層！

其他詳如 ICLA 及 cheerx 大哥所言，另請詳讀 TCP / IP 通訊協定書籍！ ;)