将端口转发到设备(或对设备进行 DMZ 处理)是否意味着即使设备上没有运行监听这些端口的软件,设备也容易受到开放端口的刺激?
例如:我的 PC(地址为 192.168.1.101)运行的是 Win7,并且没有软件监听端口 999。但我已将路由器设置为将端口 999 转发到该 PC。
如果有人扫描(或试图利用)我的 IP 上的 999 端口,它会告诉用户该端口已打开吗?还是只有当我实际运行侦听 999 端口的软件时,它才会告诉用户该端口已打开?
最终,我想我要问的是,如果相关设备上没有任何实际软件(在该端口上)可以利用,那么转发端口是否存在安全风险。
答案1
有一些事情你可能要担心。
- 端口将响应已关闭,而不是完全不响应。这不是什么大问题,但它确实确认了您的 IP 地址有一个系统。
- 一个您意想不到的程序可能会在您不知情的情况下最终监听该端口。
- 如果 Windows 网络堆栈存在可通过封闭端口攻击的漏洞,那么它将可以被远程利用。
但请注意,在 PC 上正确配置防火墙可以缓解所有这些问题。
答案2
只要现在或将来没有任何内容监听该端口,该端口就会关闭。理论上,如果您可以保证永远不会有任何东西监听该 IP + 端口组合,那么您就无需担心。
确保路由器上的端口关闭可以通过两种方式提供安全性 - 1. 通过防止因配置错误而导致打开端口的问题 2. 通过降低受感染系统的通信能力(这在家庭环境中可能无关紧要)