我有一个大约有 60 个用户的网络,他们可以通过 ISA Server 2004 和硬件防火墙访问互联网。理所当然的是,我总是会阻止对外界的匿名请求。
我们正在安装一个新软件,该软件需要从特定网站查找数据,而它唯一能正常工作的方式就是我允许匿名请求通过防火墙。
我是不是在冒巨大的风险,还是我过去只是过于谨慎了?
答案1
听起来你正在使用 ISA Web 代理的身份验证功能来验证用户对网站的访问。现在你有一个无法处理代理身份验证的软件,因此你不得不放弃并允许匿名访问非代理友好型软件想要访问的网站。
在我看来,开放对单个网站的匿名 HTTP 访问(假设该网站没有任何类型的“代理”或“类似代理”的功能(例如 Google 翻译、Google 缓存等))可能不是什么大问题。
如果该软件确实在您的客户端计算机上运行,并且您决定进行每个用户的身份验证,那么您可以考虑将 Microsoft 防火墙客户端部署到您的客户端计算机。防火墙客户端嵌入 Windows Sockets API(这是一个相当聪明的技巧),并允许通过 ISA 服务器从客户端计算机进行每个用户的授权和 TCP 连接审核。由于所有身份验证都发生在套接字层,因此不会发生 HTTP 代理身份验证。
答案2
是的,这是一种风险。恶意用户可能会使用您的连接发送垃圾邮件,这可以通过阻止传出的 tcp 25 (smtp) 和 tcp 465 (smtps) 来避免。几年前,蠕虫(如 blaster)扫描端口 tcp 445 并利用 windows dcom/rpc 中的众多漏洞之一进行传播非常常见。这可能会导致对您提出停止和终止 (C&D) 命令。在另一种情况下,恶意黑客可能会使用您的连接安全地进行攻击。或者另一种情况是恶意黑客可能会故意扫描国防部拥有的 IP 范围,这将导致您的互联网连接在几天内被关闭,这是一种恶意的拒绝服务攻击。