① 哪些埠是必須要開放的
一、有關埠的安全問題。
根據木馬、蠕蟲的發展趨勢,計算機的所有埠都可能成為木馬、蠕蟲的常用埠,而被那些認為木馬、蠕蟲的默認埠也都可能是安全埠。比如:TCP 139、445、593、1025、 2513、2745、3127、6129 埠和 UDP123、137、138、445、1900 埠是一些流行木馬病毒的後門埠,但又屬於網路正常用途的通道,如果硬性關閉了137、138、139、445埠,那麼就不能啟動NetBios協議,也就實現不了區域網資源的共享,而對非區域網的用戶來說有時候就連本地上的列印機都無法使用,還可能造成本系統內部信息回轉的錯誤;大家熟悉的80埠是上網必須的埠,必須開啟,否則就不能啟動超文本傳輸協議,但也是Executor、RingZero等木馬程序的默認埠。
二、網路流傳的安全設置的弊端。
目前在網路里流傳的安全設置主要有:1、關閉本機中不用的埠;2、刪除系統中無用的帳號。
但這兩種設置方法歸根到底說透了就是硬性關閉埠、硬性取消系統協議(功能),比如滾伏:TCP\UDP1-512埠屬於危險低埠,不少木馬、蠕蟲在運行時首先默認啟用的就是低埠,如果硬性關閉了,那麼就連網路也上不了;而Guest和Administrator這兩個帳號,是不允許刪除的,如果按照網路里流行的方法強制刪除了,那麼很可能造成崩潰。
三、防火牆埠規則(IP規則老滲)指令執行原理。
外置埠監視+訪問規則+內大含攜置特徵判別碼指令程序匹配=埠過濾指令啟動; 外置埠監視+訪問規則=埠關閉指令啟動。
對計算機埠的安全設置最佳的方法是對埠進行過濾,而不是關閉!
外置規則用的是關閉,但必須要有內置規則的匹配,否則對相關埠只能是硬性關閉,只有內外規則的互動才能實現對埠入站、出站數據的過濾。
比如:對80埠必須開啟,但又必須防範相關木馬的進入,那麼在外置規則上就必須對TCP\UDP80埠執行關閉,而且必須同時匹配上內置規則對特徵值為ce63d1d216e713cf的數據包進行過濾,並通過與TCP\UDP31337、54321、54320、31666、31338埠的外置規則的鏈動,在保證正常上網的同時,拒絕Block Back Orifice 2000 Trojan等木馬的入站。
四、Block NetBus Trojan等常規木馬的十六進制特徵值。
Block NetBus Trojan特徵值:4e6574427573
Hack 'A' Tack Trojan特徵值:486154
Master Paradise Trojan特徵值:
Donald Dick Trojan特徵值:4f4b00
Portal of Doom Trojan特徵值:706f64
NetSphere Trojan特徵值:3c4e6574537068657265
NetMonitor Trojan特徵值:
COMA Trojan特徵值:434f4d4120536572766572
冰河 Trojan特徵值:
Worms 2003特徵值:0401010101