我们的服务器管理员告诉我,我们的服务器没有 DNS 解析,因为他们受到严格的 PCI DSS 出站数据规定。我不太明白这一点,因为服务器用于托管一个所有人都可以通过 URL 访问的网站,但当我通过远程桌面登录到服务器时,我无法从服务器使用互联网,即它可以提供数据但不能发送出站数据。这怎么可能?它怎么能通过来回发送 http 数据来访问互联网,但不能解析 DNS 名称?
答案1
通常在这种情况下,防火墙被配置为执行以下几件事:
仅允许特定服务端口(HTTP 和 HTTPS)上的入站连接。
仅允许与入站连接相关的出站连接(即对客户端 HTTP 请求的响应)。在许多情况下,DNS 请求被明确阻止。
这可以防止服务器自行连接到其他 IP 地址,包括防止为了进行 DNS 查找而连接到 DNS 服务器。这是阻止服务器上的恶意代码将数据传输到其他地方和下载其他数据的一种方法。它还可以阻止服务器管理员在服务器上“浏览网页”,而他们绝对不应该这样做。
答案2
您所描述的可以通过状态防火墙实现。
当入站 TCP 连接到达时,初始数据包的标头会设置 SYN 位。这表明它是新 TCP 流中的第一个数据包。现在,如果防火墙允许它进入,例如进入端口 80,则会创建一个“状态”并将其应用于同一流中的所有其他数据包。防火墙将进一步允许任何与此状态匹配的数据包,其中包括从服务器发送到客户端的响应。
UDP 和 ICMP 连接的跟踪稍微有点模糊,因为从根本上说它们是无连接的。它们不包含 TCP 会话中的任何流信息。但它的工作原理大致相同。
考虑到这一点,您的出站 DNS 查询将被防火墙阻断,因为连接是从内部发起的。而 HTTP 流量是从外部发起的,并根据策略允许进入。