如果我只想允许 HTTP、POP3、IMAP4、SMTP 功能进行出站流量(即站点上没有托管服务器),是否需要打开任何其他端口才能允许这些功能正常运行(例如 DNS UDP 端口)?
也可以看看:始终打开的出站端口
如果下面的一些答案看起来很奇怪,请参阅这篇文章的编辑 - 我删除了很多似乎在征求不同问题答案的细节。
答案1
如果您“...与一个或多个其他组织共享互联网连接,而我们对这些组织几乎没有控制权,除了 ASA 上的配置之外”,您不认为您至少应该询问他们可能有的具体需求吗?我不确定您的设置是什么,但我以前遇到过“共享”互联网连接的情况,您需要先咨询他们,而不是任意阻止除您的组织需要的端口之外的所有内容,否则,如果您阻止其他组织之一的业务所需服务,您可能会面临诉讼,因为您不想先询问他们……
由于问题已完全修改,因此进行了编辑
- HTTP-TCP:80
- HTTPS-TCP:443
- POP3 - TCP:110(安全 POP 通常为 TCP:995)
- IMAP4- TCP:143(安全 IMAP 通常为 TCP:993)
- SMTP - TCP:25(安全 SMTP 通常为 TCP:465)
- DNS - UDP:53(外部查找)
这些服务可以可以使用其他端口,但这些是标准端口。有人提到可以使用 8000 范围内的其他 HTTP 端口,但公共站点通常不会这样做。同样,您应该监控流量,看看是否需要其他端口,然后再打开它们。
如果您确定您的公司确实使用了这些端口(您的用户通过 POP3、IMAP 连接到外部邮件服务器,并直接通过 SMTP 端口发送邮件),那么您可能应该注意他们连接到哪些外部 IP,并将 ACL 限制为防火墙上的那些 IP。如果您的任何用户感染了邮件蠕虫或其他类似病毒,这将在一定程度上限制您的暴露程度。
对于 DNS 查找,根据您的设置,只有您的内部 DNS 服务器(如果您使用 AD,则为 AD DC)会进行任何查找,并且您的客户端会将它们用作其 DNS 服务器。您通常还会知道他们正在使用哪些外部 DNS 服务器,并将他们的出站查找限制为仅那些外部 DNS 服务器进行转发。如果您的客户端自己进行查找,那么您可能也会知道他们要访问哪些外部 DNS 服务器,并将他们的出站连接限制为仅那些外部服务器。
在所有这些 ACL 设置中,您只需要允许服务端口出去。任何有状态防火墙(我相信您在编辑之前提到过您有 ASA 5505?)都会识别来自外部的响应并将其作为已建立的会话允许进入(并拒绝没有已建立会话的连接)。
答案2
我最近在我提供咨询的环境中实施了这项技术。我花了一周时间记录了所有出口流量,这样我首先就能很好地了解哪些是最常用的端口。对于任何不常见的高使用率端口(例如 Steam 端口),我都会与管理层合作,确保它们是否对业务有用。我还检查了组织运行的任何专有软件是否在非标准端口上进行通信。
最后,我实施了阻止更改,并在接下来的几周内进行监控。
总的来说,这个过程花了我大约一个月的时间,但是因为我提前做好了准备工作,所以一切进行得很顺利。
-乔希
答案3
在端口 8080 或 8000 或 8888 上运行的网络服务器并不罕见,因此您可能需要将它们包括在内。
答案4
这取决于您要允许多少服务通过流量。没有万能药方。也许您在列表中忘记了 ftp 端口 21 和 20。为了获得更详细的答案,我们需要更详细的允许通过流量的服务列表。