我们当前的硬件防火墙允许阻止传入和传出端口。我们有两种可能性:
- 阻止某些麻烦的端口(不安全的 smtp、bittorrent 等)
- 除了少数几个批准的端口(http、https、ssh、imap-ssl 等)之外,阻止所有端口
我发现选项 2 有几个缺点。有时 Web 服务器托管在非标准端口上,我们必须处理由此产生的问题。此外,没有什么可以阻止恶意或不需要的服务托管在端口 80 上。优点是什么?
答案1
在场景 (2) 中,如果网络中的某台机器被某种恶意软件感染,您可以阻止它发送邮件(如果您阻止或透明代理 SMTP),或者阻止它连接到旨在进行远程控制的 IRC 频道(或类似的后门)。
编辑显然,无论是哪种情况,它都不会停止一切,但它可以阻止很多常见的机器人将您的网络变成垃圾邮件等的来源。
答案2
好处是,你可以阻止所有不能适应的事物(垃圾邮件、恶意软件等)以及所有不知道如何绕过它的人。
这里的其他答案似乎属于“无论你做什么我都会绕过它所以不要费心尝试”的性质,但大多数人不知道如何绕过防火墙限制,因此你大大降低了遇到麻烦的风险。
除此之外,如果有人因为端口开放而可以先尝试访问防火墙之外的服务,那是一回事,但如果他们必须故意绕过防火墙,那就完全是另一回事了。例如,这可能会给你提供更多证据来证明计算机系统被滥用。
出于监管合规或审计的原因,您可能需要证明防火墙上每个端口的开放是合理的,最好能够说“端口 1433 出站,因为帐户需要它来运行程序 Q,即使它可能会导致滥用”,而不是“SQL 有效,因为我们没有费心阻止任何东西”。
tl;dr:安全不是一种可以解决所有问题的灵丹妙药,而选项 2 可以成为帮助降低风险和滥用的另一个层面。
答案3
如果有人要在端口 80 上运行 bittorrent,那么选择哪个选项其实没什么区别,但选项 2 可以让你更好地阻止不需要的流量。你提到了可能需要为特殊网站打开额外的端口,但根据你的防火墙,你可能只能为特定目标打开这些端口。
对于选项 1,当您开始阻止端口以限制流量时,流量几乎肯定会转移到另一个端口。最后您会发现需要关闭很多端口,因此您几乎又回到了一开始选择选项 2 时的状态。
Bittorrent 不在任何特定端口上运行,因此别想通过这种方式阻止它。在当今无跟踪器系统中,甚至阻止访问所有已知跟踪器站点也是非常无效的。
有些管理员认为他们已经成功阻止了来自他们网络的 Bittorrent 流量。根据我作为 Bittorrent 用户的亲身体验,我认为我永远无法如此自信。当然,我无法接触到所有不同品牌和型号的防火墙来进行测试,因此可能只是不知道有效的系统。
答案4
我更喜欢选项 3 - 阻止对所有端口的访问,并代理您需要的服务。在绝大多数情况下,这种方法效果很好。事实上,大多数时候,您只需要一个 Web 代理 - 因为邮件通常由内部服务器处理(或使用 Outlook 的 RPC-over-http)。
大多数 Web 代理还会让您指定允许在哪些端口上进行 HTTP 连接 - 这样您就不必为非标准站点打开防火墙漏洞。此外,Web 代理可能(取决于设置)为您提供一些保护,防止用户通过隧道 VPN 等滥用该服务。
正如 Mo 所说,从限制恶意软件传播的角度来看,它也是十分有益的,而且确实可以限制用户试图使用自己的软件或电子邮件帐户的灰色地带。即使你确实想允许这样做,我希望你先了解一下!