极客时间《安全攻防技能 30 讲》学习笔记 03

19 | 防火墙：如何和黑客“划清界限”？

虽然没有机会的在路由器或者专门的硬件设备上配置过路由器，但是 Windows 自带的防火墙和 Linux 的 iptables 还是接触过的，一般的操作是因为某个程序或者应用无法通过防火墙，所以需要把它们加入到防火墙的白名单里面，当然最简单的操作，就是关闭防火墙，先解决问题。

包过滤防火墙工作在网络层和传输层上，提供最基础的安全保护，防护能力较弱；应用网关防火墙以代理模式工作在应用程序，对网络的性能和系统的可用性会有影响，但是能提供的防护能力最强；状态检测防火墙工作在网络层和传输层，以连接形式看待低层级的 TCP 和 UDP 包，性能最好，被普遍采用。

作为安全小白，如何检查设备对外开发的端口呢？

# netstat -nat | grep LISTEN
tcp46      0      0  *.8080                 *.*                    LISTEN
tcp46      0      0  *.62905                *.*                    LISTEN
tcp46      0      0  *.80                   *.*                    LISTEN
tcp4       0      0  127.0.0.1.8080         *.*                    LISTEN
tcp4       0      0  127.0.0.1.9090         *.*                    LISTEN
tcp4       0      0  127.0.0.1.7890         *.*                    LISTEN
tcp4       0      0  127.0.0.1.7891         *.*                    LISTEN
tcp46      0      0  *.33060                *.*                    LISTEN
tcp46      0      0  *.3306                 *.*                    LISTEN

# lsof -n -P -i TCP -s TCP:LISTEN
COMMAND   PID   USER   FD   TYPE             DEVICE SIZE/OFF NODE NAME
java      403 escray  158u  IPv6 0xcbf6840c28d924e3      0t0  TCP 127.0.0.1:8080 (LISTEN)
ClashX    469 escray    9u  IPv4 0xcbf6840c28d8b3c3      0t0  TCP 127.0.0.1:7891 (LISTEN)
ClashX    469 escray   11u  IPv4 0xcbf6840c28d8dc23      0t0  TCP 127.0.0.1:7890 (LISTEN)
ClashX    469 escray   13u  IPv4 0xcbf6840c28d8e63b      0t0  TCP 127.0.0.1:9090 (LISTEN)
java    12424 escray   57u  IPv6 0xcbf6840c35ac24e3      0t0  TCP *:62905 (LISTEN)
java    12424 escray   61u  IPv6 0xcbf6840c308d3b43      0t0  TCP *:8080 (LISTEN)

# nc -w 10 -n -z 127.0.0.1 7800-8100
Connection to 127.0.0.1 port 7890 [tcp/*] succeeded!
Connection to 127.0.0.1 port 7891 [tcp/*] succeeded!
Connection to 127.0.0.1 port 8080 [tcp/*] succeeded!

其中 3306 和 33060 应该是 MySQL 的，而 62905 不知道是谁家的

macOS Big Sur 没有发现传说中的网络实用工具，后来发现 Network Utility has been deprecated.