我有一台 Draytek 路由器 (Vigor 2865),已经用了一段时间了,虽然它是一款很棒的路由器,但我对防火墙和 WAN 安全有一些疑问:
我的 WAN 连接概述 - 标准 VDSL 具有单个动态 IPv4,我认为有多个 IPv6,(每个设备都有不同的 IPv6,尽管我对 IPv6 的了解是有限)。路由器执行 NAT。我使用动态 DNS 系统。简单。
显然,我希望防火墙拒绝所有传入连接类型设置。所有端口都应为“隐身”入站。绝对没有回应。唯一的例外应该是 VPN 服务器(在路由器上)正在监听的情况。我最初以为路由器会默认这样做:防火墙配置中的“默认规则”设置为通过,(我认为这是必要的,否则出站数据包将被阻止?)如下所示:
防火墙的‘常规设置’如下所示:
我想我在某处看到过“阻止从 WAN 发起的路由连接”仅适用于非 NAT 设置,因此它适用于 IPv6 但不适用于 IPv4,但我不知道?我也应该勾选 v4 的复选框吗?
最后,我通常不会在防火墙过滤器设置中设置任何规则来明确阻止来自 WAN 的入站连接。我需要添加这些规则吗?
有趣的是,我确实尝试过,作为测试,添加这样的规则:
Direction: WAN -> LAN/DMZ/RT/VPN
Src IP: Any
Dest IP: Any
Service Type: Any
Action: Block Immediate
然而,当启用此规则时查看日志,它们充满了如下块:
[FILTER][Block][WAN->LAN/RT/VPN, 436:15:10 ][@S:R=2:2, x.x.x.x:80->192.168.20.32:40064][TCP][HLen=20, TLen=52, Flag=AF, Seq=2525108200, Ack=2848724396, Win=256]
其中 xxxx(源 IP)是某个 WAN IP,通常是 Google、Microsoft、Amazon 等数据中心,而目标 IP 是我的一台本地机器,但有趣的是,源端口通常是 80、443 等,而本地机器上的目标端口是一个非常高的端口,比如本例中的 40064。除此之外,我真的不认为所有这些阻止都是人们可以预料到的随机互联网扫描(源 IP 通常对应于我可能正在使用的服务,例如 Outlook 等),这让我怀疑这条规则是否阻止了对我的机器建立的连接的响应(但我不是专家)?
但是,启用此规则后,似乎什么都不会停止工作......
抱歉发了这么长的帖子,我只是想确保在这种情况下我的防火墙以最安全的方式设置。通常我对这种事情没什么意见,但这里的一些东西让我有点困惑...
附言 - 我还注意到路由器暴露 HTTPS Web 界面的某些怪异之处,尽管应该禁用来自 WAN 的管理,但只是因为我启用了“SSL VPN 服务”。其他人遇到过类似的奇怪事情吗?