請教一下關於防火牆的觀念:

一般用防火牆的目的就是為了減少被入侵的機會...所以把許多不需使用的port能關就關掉.

1.
對於那些常用的port如20,21,23,80,137,138,139...的保護該如何加強??


例如網芳會用到的137,138,139還可以限定開放給信任的網域範圍就好,
但若是20,21,80這些通常需要完全開放的port即便裝了防火牆也不可能去限制,那麼駭客是否也不需要太累,因其就直接針對這些port去入侵就好....

2.
因為有這樣的關係存在,換句話說,電腦等於沒有裝防火牆一樣...若這樣想對嗎??

3.
請問有什麼好用的防火牆有提供"限定ip範圍"與"port範圍"的功能?
我目前用過的如window預設防火牆,blackice,trend...設定上都滿麻煩的,不是需一個一個設定就是沒有ip範圍設定的功能....

blackice可以連續設定阿
中間要加一個-的符號
如port 3001-3009 就是包括3001到3009全部
ip也可如此類推

感激不禁,我去試試...

例如我想架站(ftp,web),想使用網芳
那麼關於這些服務的port便不可能去擋,而若有心人士知道我的ip便能從這些port傳送惡意程式進入我的電腦,那麼以此例的情況,是否表示我的防護措施需再加上防毒防駭軟體, " 因為防火牆已無能為力了 " ....我這樣的觀念正確嗎?

善用 firewall 的 port mapping....

ftp 不一定對外用 21,
ftp 在 firewall 內部用 21, 因為用 21 架 ftp 問題最少.
但是外面用另一個 port 對應他, 我的 ftp 就因為這樣, 從沒被人掃過.

善用 firewall 的 port mapping....

ftp 不一定對外用 21,
ftp 在 firewall 內部用 21, 因為用 21 架 ftp 問題最少.
但是外面用另一個 port 對應他, 我的 ftp 就因為這樣, 從沒被人掃過.

您的意思是用非21的port來給ftp使用嗎?
若如此那麼不就只能服務少數認識的人...
那麼一些大型ftp站又是如何防護的?...既然port已不可能去擋了...此時是否只能靠防毒軟體嗎?

針對個部份通常都會安裝

IDS or IPS/IDP ( 入侵偵測 or 入侵防禦 )來保護這些必須開啟的 Port
在封包經過這個偵測系統時, 會依據特徵或者手法來做警告或阻擋

卡巴斯基的 Anti-Hacker 和 KAV 5.0227 個人版的入侵偵測系統便是針對這個部分做防護的

而目前針對企業的部份則是推出 Guard@Net 整合防火牆入侵防禦防毒的閘道

Linux 也有免費的 IDS : Snort http://www.snort.org/ 或者 IDP : Snort_inline http://snort-inline.sourceforge.net/index.html 都可以參考看看