如何确保端口转发的安全性

如何确保端口转发的安全性

我在读了解端口转发及其用途。虽然该主题非常清楚地解释了端口转发是什么,但在路由器上设置一个端口将所有请求转发到网络上的计算机是否会使该特定计算机容易受到攻击?

该帖子简要地谈到了这一点:

[...] 您失去了该计算机的那层安全保护:它现在完全对来自互联网的传入连接开放,因此您需要像直接连接一样保护它。当然,只要您转发端口,接收端的计算机就会在该特定端口上变得脆弱。因此,请确保您运行的是配置良好的最新软件。

在这种情况下,如何确保安全,因为据我所知,所有安全工具(例如防火墙等)都必须安装在路由器上?

答案1

在路由器上设置一个端口将所有请求转发到网络上的某台计算机,难道不会使该台计算机变得脆弱吗?

从最严格的意义上讲,但仅在该端口上有效(假设您谈论的是真正的端口转发,而不是通常不安全的家用路由器“DMZ”设置)。这就是监听该端口的软件的安全性发挥作用的地方。假设软件配置正确,并且没有任何未修补的漏洞(错误)可供攻击者利用,那么暴露该端口/设备可能相对安全。

“[...] 你失去了该计算机的那层安全保护:它现在完全对来自互联网的传入连接开放,因此你需要像直接连接一样保护它。

正如评论中已经指出的那样,这部分与典型的端口转发无关(指定要转发的单个或非常具体的端口范围),而是与家庭路由器“DMZ”设置有关。“端口转发”通常会过滤所有未专门发送到转发端口的请求,而“DMZ”设置通常会转发所有连接,而不会进行任何过滤等。想象一下,两者的区别就像在度假时打开前门并坐在门旁边,而不是将家里的所有门窗都打开并敞开。

当然,只要你转发一个端口,接收端的计算机就会在该特定端口上变得脆弱。因此,请确保你运行的是配置良好的最新软件。

保持软件更新且配置良好意味着攻击者可能利用的漏洞(如本答案第一段所述)已在更新中得到修补或以其他方式不可用,因此理想情况下不再可用于访问远程系统。

在这种情况下,如何确保安全,因为据我所知,所有安全工具(例如防火墙等)都安装在路由器上?

除了正确的软件配置和安全补丁之外,防火墙等也可以存在于接收 PC 本身(例如 Windows 防火墙),甚至可以存在于路由器和 PC 之间的专用防火墙设备上(因此路由器实际上会转发到此设备,然后设备会将过滤后的连接传递到服务器)。虽然这肯定不是这种事情的唯一例子,Sophos UTM 主页是您可以在专用设备(例如旧 PC)上安装以提供此类安全性的软件示例。

相关内容