我们的网络管理员/安全管理员认为我们应该保持公共(面向外部)端口(FTP、XMPP、IMAP、IPSEC)关闭,因为这会带来更大的安全风险,使我们更容易受到攻击。虽然我可以理解这些选择是出于安全考虑而做出的,但它往往会使我们的最终用户/员工/顾问的工作变得困难,甚至充满挑战。
封锁常用端口是否会让我们的整个网络更加安全?
答案1
我认为你指的是出口过滤?
这其实只是一个问题,即你的组织可以接受什么程度的风险。至于它是否能提高安全性,我会用一个合格的答案来回答是的- 一般来说,这是一个很好的安全步骤,但需要做得很好才能有效(如果他们只是专门阻止某些端口,我会感到惊讶 - 更有可能的是,他们只允许某些白名单端口)。
它可以发挥作用的示例场景包括僵尸网络僵尸报告和垃圾邮件转发等安全问题,以及 bittorrent 或流视频等策略/带宽使用问题。
您可能应该采取的方法是陈述允许使用协议的商业案例 - 并尝试找到折中方案(如果需要),例如仅允许 IMAP 访问已批准的服务器。请记住,实施该协议很可能出于政策原因。
答案2
我不同意这里已经给出的答案,我说不,几乎肯定不是。如果你有以下任何你的系统外部,然后允许与它们进行未加密的连接可能会暴露您有兴趣保持安全的登录ID,但由于我们正在讨论出口过滤,我猜您那里没有任何这样的系统,因此通过阻止未加密的服务(ftp,pop,imap)您只是保护了其他人的秘密,而这不是您的工作。
此外,这毫无意义。只要您允许端口 443 出站(如果禁止端口 443 出站,我工作过的任何组织都会发生骚乱),用户就会从大楼的左、右和中间建立 SSL 加密隧道,而您不知道他们通过这些隧道传输了什么。当然可能是 HTTP,但也可能是 SSH、可能是 IMAP、可能是 OpenVPN,可以是任何东西,只要它在 SSL 加密隧道内即可。
当然,你可以通过阻止其他出站端口来惹恼人们,但只要你允许 HTTPS,从安全角度来看这完全是没有意义的;它无法阻止一个坚定的对手超过一分钟,而且它会真正惹恼你所有的合法用户。