ファイアウォールでポートをブロックすることと、そもそもそのポートでサービスを開始しないことの違いは何ですか？

TL; DR

ネットワーク接続を手動で許可する必要があるため、サービスを手動でローカルホストのみをリッスンするように構成する必要がなくなり、攻撃者がボックスを再調整するために必要な労力が増加します。これは、攻撃者と不適切な構成の両方に対して効果的なツールであることを意味します。はい、ファイアウォールを実行する必要があります。

詳細

ポートには2つの主要な状態があります。

1. オープン（サービスは待機中）
2. クローズド（リスニングはありません）

あなたは2つの状態に精通しているようです-ポートはデフォルトで「クローズ」になり、サービスが待機している場合は「オープン」に切り替えます。開いているポートと閉じているポートの両方を列挙するのは非常に高速です。OSは実際に、「ここにサービスがあります」（ポートが開いている）または「ここにサービスがない」（ポートが閉じている）のいずれかを示す応答を送信します。

ファイアウォールを使用する場合は、ポートをフィルタリングするオプションが提供されます。フィルタリングされたポートの場合、OSはまったく応答しません。つまり、コンピュータが応答を送信しなかったかどうか、または応答が転送中に失われたかどうかを知る方法がないため、攻撃者はより多くの時間をかけてポートの状態を判断する必要があります。

さらに、ファイアウォールを実行している場合は、誤って追加のサービスをインターネットに公開しないように保護します。

ファイアウォールをオフにしたデスクトップのサンプルスキャンを含めました（検出されたポートの数とスキャンにかかった時間に特に注意してください）：

$ nmap 192.168.1.26

Starting Nmap 6.40 ( http://nmap.org ) at 2015-01-24 21:41 EST
Nmap scan report for TehPwner (192.168.1.26)
Host is up (0.00017s latency).
Not shown: 987 closed ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  Microsoft-ds
902/tcp   open  iss-realsecure
912/tcp   open  apex-mesh
2869/tcp  open  icslap
5357/tcp  open  wsdapi
8081/tcp  open  blackice-icecap
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49163/tcp open  unknown
49176/tcp open  unknown

Nmap done: 1 IP address (1 Host up) scanned in 2.30 seconds

ファイアウォールを有効にしました：

$ nmap 192.168.1.26

Starting Nmap 6.40 ( http://nmap.org ) at 2015-01-24 21:42 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn

Nmap done: 1 IP address (0 hosts up) scanned in 3.03 seconds

もう一度、pingプローブをスキップします。

$ nmap 192.168.1.26 -Pn

Starting Nmap 6.40 ( http://nmap.org ) at 2015-01-24 21:42 EST
Nmap scan report for TehPwner (192.168.1.26)
Host is up (0.00090s latency).
Not shown: 996 filtered ports
PORT     STATE SERVICE
902/tcp  open  iss-realsecure
912/tcp  open  apex-mesh
2869/tcp open  icslap
5357/tcp open  wsdapi

Nmap done: 1 IP address (1 Host up) scanned in 49.29 seconds