我有一台思科 ASA 5505,有三个接口:内部 (100)、DMZ (50) 和外部 (0)。内部有一个 IPSEC VPN 隧道通往我的内部网络
由于所有端口限制等原因,我无法登录我的域。我尝试通过界面监控流量,查看它阻止了什么,然后解除阻止这些端口的权限,但即便如此,它也无法完全正常工作
我最后添加了一条规则,允许任何 IP 流量从任何网络到内部接口上的任何网络,当然,它工作正常
但这是好的安全做法吗?我是否应该阻止内部接口上的端口以及具有最高安全级别的 VPN 上的端口?
答案1
明智的做法是只允许定义为可接受的流量并阻止所有其他流量。
我知道这可能很麻烦,但您应该检查路由器中的内容,并确定哪些内容应被允许作为“官方”流量。这可能需要一些系统性的工作来确定您当前运行的技术所使用的端口。
考虑一下:如果内部系统受到损害,它是否能够通过通常不会使用的端口向任何 IP 地址发送数据?