我们的软件在 IIS 上运行在 443(https)上,我们的网络管理员坚持关闭防火墙上的端口 80。端口 80 将用于重定向到 443。
问题是,用户现在需要在浏览器中专门输入“https://”才能访问该网站(但实际上并不需要)。如果没有端口 80,就无法重定向到 443。
那么关闭80端口会让服务器更安全吗?
答案1
偶尔会有人提出这样的观点:禁用端口 80 可以防止 Web 开发人员造成的错误。他们可能会无意中将包含需要安全保护数据的表单发送给 http 站点,而不是 https 站点。如果端口 80 关闭,则 TCP 握手将失败,不会以不安全的方式发送任何数据。如果端口 80 未关闭,并且用户的浏览器配置不当,则安全数据可能会以不安全的方式发送。
有一种攻击叫做SSL 剥离。此攻击工具可以监视从 http 到 https 的重定向,然后调整通过 http 发送的重定向以指向代理,从而使流量保持未加密,从而导致 MITM。
也可以看看:
答案2
不,打开 80 端口并不危险。
然而,在端口 80 上传输敏感数据是非常不安全的。这可能是您的网络管理员的想法。
强迫用户在服务器地址中手动输入 https 是近年来大多数网络已经不再使用的做法。当重定向很容易时,就没有必要像对待 IT 专家一样对待您的用户。
我们在 IIS 上使用两个不同的虚拟站点。一个使用空白虚拟目录监听端口 80,其中唯一设置的是指向我们另一个虚拟主机的 IIS“HTTP 重定向”,该虚拟主机仅在 https 上运行,就像您的管理员设置的那样。效果非常好。