开启端口 TCP113
虽然看起来违背了传统的防御黑客的关闭端口的方法,该端口用于识别请求,应
该被开启。
端口113最初是用于验证的端口,之后被定义为识别端口(参见RFC1413)。一
些服务器仍然使用该端口识别用户或其他服务器并建立连接。因端口113接收大量
的未经请求的流量,许多路由器,包括飞塔防火墙设备,都关闭该端口。
飞塔防火墙设备将阻断到该端口未经请求的流量,并发送回应信息说明该端口已
经关闭。为了达到这一目的,也需要让请求服务器知道在请求的地址是存在一台设
备的,由此标示了其存在性。在端口113启动流量,请求将到达给端口,最可能的
情况是,被忽略或从未得到回应。
使用以下CLI命令,在wan1接口开启该端口:
150
你也可以进一步使用该端口转发流量到一个不存在的IP地址,那么这样也永无
回复数据包可发送。
混淆 HTTP 包头
飞塔防火墙设备可以混淆HTTP数据包包头发送到web服务器,而达到更好的对
源地址的隐藏。使用以下CLI命令,设置混淆HTTP数据包包头:
以上命令中:
none标示不隐藏飞塔防火墙设备的web服务器身份。
header-only标示隐藏HTTP服务器标识。
modified表示提供修改的错误回应。
no-error表示跳过错误回应。