标准 NAT 路由器防火墙会阻止传出流量吗?

标准 NAT 路由器防火墙会阻止传出流量吗?

标准 NAT 路由器防火墙会阻止传出流量吗?

我可以看到防火墙会阻止传入流量,但是如果机器上有恶意软件,什么会阻止传出流量呢?

阻止传出流量仅仅是操作系统防火墙的责任吗?

答案1

一般而言,典型的家用宽带路由器默认不会对传出流量进行任何限制。有些路由器可以配置为管理传出流量,有些路由器的传出选项有限,有些路由器的传出流量管理能力相当全面。

任何“企业”级或商业防火墙都绝对有能力管理传出流量,包括免费流量(搜索网站,有许多关于防火墙的帖子)。

大多数系统管理员都同意,为了成为优秀的互联网公民,有必要管理传出流量,同时也要管理带宽和性能。例如,通常只允许从邮件服务器传出 SMTP 和 POP 流量,以防止任何受恶意软件感染的 PC 产生垃圾邮件。或者,如果有代理服务器来管理浏览,则只允许从代理服务器传出 Web 浏览流量。

答案2

大多数防火墙(我用过的)都有一个隐式允许规则,允许从更安全的网络(通常是内部 LAN)到不太安全的网络(通常是互联网)的所有流量,以便所有出站流量都被允许从内部 LAN 到互联网(或 DMZ)您通常不需要创建明确的规则来允许出站流量。

大多数防火墙(我使用过的)都有隐式拒绝规则,该规则拒绝从安全性较低的网络(通常是互联网)到安全性较高的网络(通常是内部 LAN)的所有流量,因此从互联网(或 DMZ)到内部 LAN 的所有入站流量都被拒绝。您通常需要创建显式规则来允许入站流量。

答案3

硬件防火墙无法轻易区分“好”或“坏”数据包,因为它们都来自同一个来源。软件防火墙可以确定哪个应用程序生成了数据包,因此可以更好地根据需要阻止它们。

答案4

对于标准的零售柜台路由器/防火墙组合,出站流量比入站流量受到的关注较少。我见过的最后几种路由器也能够限制出站流量。不过重点是相反的。在我家的 NetGear 上,它允许入站并阻止出站。我可以允许 SSH 进入特定主机并拒绝 telnet 出站。从这个意义上说,它不是真正的全功能防火墙。一些这样的路由器确实能够阻止特定的内部 IP 地址访问此类设备的 Internet 端,但并非所有路由器都具有此功能。

正如许多事情一样,“这取决于情况”。

相关内容