我不记得看到过这个策略,因为在我看来,它就像是“所有端口都打开”之类的东西。它默认设置为“tcp:0(任意)- udp:0(任意)”如果我禁用它,即使我专门启用了 HTTP 代理策略,网络流量也无法工作……这是正常的吗?不正常的?最佳做法是什么?我正在尝试查找导致我遇到这种情况的 crpytolocker 病毒……
答案1
此规则允许任何传出流量以及由内部机器发起的对话。设置这样的规则相当常见。我思考大多数 Watchguard 模型默认都有该规则。
只需启用规则,受信任端的计算机就可以打开任何它们想要的连接。外部端的计算机可以回复,但不能发起连接。
我的猜测是,虽然您有一个 HTTP 代理策略(应该是从“任何受信任的”到“任何外部的”),但您没有 DNS 流量规则——没有 DNS 解析,因此没有网络流量。
最佳做法是阻止一切,然后允许您想要的流量。对于典型的办公网络,这至少是 HTTP 和 HTTPS 流量(可选择通过代理)、DNS(至少用于您的内部 DNS 服务器连接到外部世界)和电子邮件流量(SMTP、POP3、IMAP 等...取决于您使用什么,并且可能只允许您的内部电子邮件服务器直接连接到外部世界)。
但是,维护这种情况可能会令人沮丧。人们希望使用 Adobe 等进行视频会议,而承包商需要通过非默认端口访问他们的网站等。因此,有些人选择允许所有传出连接,并担心过滤传入的内容。无论哪种方式都可以接受,具体取决于您需要的安全性、您对网络的受信任端的信任程度以及您可以投入多少时间和精力来维护防火墙规则。