关于某些防火墙不能通过http://www.pcflank.com的测试的一点原因
要想通过[url=http://www.pcflank.com]http://www.pcflank.com[/url]的测试,防火墙必须具有对任何主动连接都不做响应的能力,或者说主机不响应外部发起的任何一种连接请求,包括syn半连接等试探,也就是和俗称的网络隐身一样。系统自带墙的不允许例外也是这个功能。不过这个功能对于P2P类软件的影响非常大,因为P2P软件要求用户对大量的连接做出响应才能提高上传下载的速度并防止系统资源特别是CPU占用率过大。所以这种“隐身”能力在单纯浏览网页和收发邮件等不需要用户对任何主动连接进行回应时才有用。用下载软件下载上传时不需要启用。如果是服务器也不能启用。现在的KIS2009已经默认关闭了这个功能(可以在防火墙设置中开启),COMODO和PCT也有专门的选项来设置这个功能,防止用户在进行P2P连接时因为隐身功能造成速度过慢并且CPU占用率太大甚至死机。个人认为费尔防火墙因为默认对主动连接不响应并且由于设计时间较早无法取消这个功能所以才造成在进行BT等P2P功能时卡CPU甚至死机的。[[i] 本帖最后由 JillPal 于 2008-9-5 16:13 编辑 [/i]] P2P比墙重要~
天网+360不是也用到现在没出问题过~[:07:]
连卡巴都不开的人路过……………… 呵呵,自带墙在作出外部响应时会提示一下(允许例外前提下),江民的墙的话如果可以定义一下就更好些。。。。。。上午仔细在虚拟机里看了一下。。目前好像没有什么比较好的对策一定让让不响应,。[:08:] ,
P.S.早期天网防火墙也是由于这个问题让我觉得头疼,那个CPU占用。。。[:15:]
[[i] 本帖最后由 曲中求 于 2008-9-6 12:53 编辑 [/i]] 所以,现在,那些大墙我都不用~
没必要,家里的电脑没啥秘密,不中木马病毒就可以了,那些好墙,一上BT,你就别想干别的了,还死卡BT速度~ [quote]原帖由 [i]JillPal[/i] 于 2008-9-6 12:09 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4752667&ptid=322801][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
要想通过[url=http://www.pcflank.com]http://www.pcflank.com[/url]的测试,防火墙必须具有对任何主动连接都不做响应的能力,或者说主机不响应外部发起的任何一种连接请求,包括syn半连接等试探,也就是和俗称的网络隐身一样。系统自带墙的不允许例外也 ... [/quote]
不是吧?怎么我将OP的隐身功能取消,照样能通过测试?我估计还是与全局规则有关系,或ISP过滤有关系。
.你也可以把PCT的隐身功能取消试试,估计照样能过。
[[i] 本帖最后由 周勃 于 2008-9-6 12:34 编辑 [/i]] 要想通过网上的防火墙的测试,防火墙的全局规则必须具有对任何主动连接都不做响应,即主机不响应外部发起的任何一种连接请求,这就是隐藏所有端囗,所以防火墙如有标志(Flag)控制能为用户提供更灵活的规则设置,为减低全局规则不响应外部发起的任何一种连接请求对P2P软件的影响,防火墙必须允许P2P应用程序响应主动接连如TCP三次握手接连,因为开启的端囗的规则是联系应用程序,理论上P2P应用程序是不会响应不明的主动接连,隐藏所有端囗的目标还是可以达到的,这样就能减对P2P软件的影响而又不影响网络隐身。
回复 5楼 周勃 的帖子
这要看全局规则有没有开启本地端囗,如果没有应该能在网络隐身。 使用江民墙怎么解决这个问题? 请问版主门 瑞星的墙默认的时虽然是不勾选允许bt下载的,但却不影响bt下载速度,对系统的影响也并不大,而且我也勾选过 允许bt下载规则,但是和不勾选没什么差别。所以和你说的这个应该没关系。就是江民墙的原因——太差了吧[[i] 本帖最后由 fansd 于 2008-9-6 16:22 编辑 [/i]]
回复 5楼 周勃 的帖子
可能是您所在网络的网关在起作用,我试过取消PCT的隐身功能,但是没有过。不同的网络服务商接入方式不同,措施也不一样。 [quote]原帖由 [i]JillPal[/i] 于 2008-9-7 11:29 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4762495&ptid=322801][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]可能是您所在网络的网关在起作用,我试过取消PCT的隐身功能,但是没有过。不同的网络服务商接入方式不同,措施也不一样。 [/quote]
为了证实与我所在的网关无关,我不惜冒着被攻击的危险,把OP卸掉,把WINDOWS防火墙也关掉,再去做那个测试,测试结果如下:
[attach]352488[/attach]
[attach]352489[/attach]
没有通过。
说明与我所在的网关无关。
回复 11楼 周勃 的帖子
我对OP不太了解,不过还是感谢您的支持. lz说的我不太赞同 除了kis8.0外其他过不了测试的墙是技术问题 不是因为顾及p2p在p2p下载的时候 大可以不选隐身 平时上网有隐身才更安全 默认下不隐身在所有国外防火墙中只有卡巴怎么做 所以这种做法还有待商榷 我的破网速根本达不到那么快 所以我不用当心p2p的问题 [:27:]
有一点 打齐补丁 有一款优质的墙 不隐身也安全
回复 13楼 chenchen0427 的帖子
国外的墙很早就有隐身功能,这个功能是在防火墙的内核中实现的。那是P2P还没有兴起所以可能防火墙开发商对隐身模式P2P的冲突并没有重视,不过现在情况就不同了。按照卡巴工程师的说法隐身功能对P2P有很大影响而且不开隐身也没关系,具体的情况卡巴区有精华贴说明。不过我和您也一样认为隐身模式还是有它的作用的。这个问题还可以进一步讨论。[[i] 本帖最后由 JillPal 于 2008-9-6 23:37 编辑 [/i]]
回复 14楼 JillPal 的帖子
lz的推测也很有道理 不过权威的安全厂商 铁壳 za op 咖啡 微软等都没放弃隐身 尽管我也相信卡巴 但隐身的问题确实还有争议 kis09才刚出 还是再看看其他厂商会不会也取消默认下隐身模式回复 15楼 chenchen0427 的帖子
现在我知道的几个国外的有名防火墙都有专门的选项,便于在隐身和和非隐身之间切换。也许这个功能未来还会留在防火墙的内核中方便用户选择,咱们继续观望吧。页:
[1]