在路由器上向所有 WAN IP 或仅向特定 WAN IP 范围开放端口

在路由器上向所有 WAN IP 或仅向特定 WAN IP 范围开放端口

只是想看看有多少人会赞成在路由器上打开一个端口,比如端口 22 或类似端口,用于 ssh,用于所有外部 WAN 连接或仅为该服务打开一组特定的 WAN IP。这样做是为了减少服务被黑客攻击。协议是 ssh,使用,当然是部署 ssh 的最佳实践。我注意到,最好阻止到该端口的连接,只允许少数外部 IP 地址从已知用户的位置进行连接。

这是否有点过分?我通常会在用户需要这些服务时打开路由器上的端口,或者被要求为需要访问其位置的软件/硬件供应商打开端口。是我太过分了,还是在特定时间/应用程序中需要将其强化到这种程度?谢谢。

答案1

现在,您非常清楚地说明了“路由器”,但我想您的意思是“防火墙”?

理想情况下,您只打开必要的内容。越明确越好,但制定广泛的规则也没有问题。例如,我通常创建一条规则,允许内部的任何主机使用 UDP/53 出站,以便内部的任何客户端都可以进行外部 DNS 查找。但是,在允许 SSH 入站的情况下,您可以考虑为每个资源制定单独或聚合的规则。这样,在调试情况下,您可以看到哪条规则与哪条流量匹配(或就此而言被丢弃)。在这种情况下,SSH 是一种强大的协议,可用于将流量隧道传输到您的网络中。如果它被破解并且您只允许任何 IP 地址连接,您可能会遇到一些有趣的事情。

答案2

我几乎总是向尽可能少的人开放端口。

相关内容