我已经知道如何使用 设置防火墙iptables,但 IT 安全部门来访后,他们说我需要过滤OUTPUT,但这对我来说毫无意义,我真的找不到需要这样做的情况。所以,这是我的第一个问题:
我真的需要过滤吗OUTPUT?
我OUTPUT默认接受所有,没有规则。这是安全漏洞吗?
他们还说我的规则代表了安全漏洞,我不同意。让我们以此FORWARD为例:
-P FORWARD DROP
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp --dport 80 -j ACCEPT
他们说接受ESTABLISHED而不指定source,destination因为第一条规则是安全漏洞ACCEPT ESTABLISHED。真的吗?这又是一个安全漏洞吗?不指定source和是不好的作法destination?
答案1
从安全角度来看,该政策通常是“一切不允许的就应被拒绝”从这方面来说,OUTPUT链上过滤也属于这一综合政策的范畴。
这OUTPUT链涉及传出的 TCP/IP 数据包和连接源自运行 iptables 的设备而不是通过防火墙的数据包。
管理员应该了解设备的正常用途和预期目的,并且应该能够为OUTPUT链生成合适的过滤规则。
对于防火墙来说,这不会有太大影响...
我临时预计 DNS、NTP 和 syslog 流量可能会到达特定主机。
实际上,对于服务器,我通常不会看到链上的过滤OUTPUT,每个服务器只是有选择地打开服务和过滤器INPUT,而传出的流量在网络边界(段)上被过滤。这个想法是,主机级防火墙也可以从主机上进行修改,因此对恶意管理员来说并不是一个很大的障碍,一旦主机被完全攻陷,也不会提供太多的保护。
过滤传出的流量,即通过网络边界上的防火墙将流量从“内部”路由(转发)到“外部”(反之亦然),通常称为出口过滤并且发生在FORWARD链中,而不是OUTPUT链中。
出口过滤是一件好事,你绝对应该这么做。
答案2
取决于你想要的安全程度。过滤出站流量做提高安全性并减少攻击媒介等。
就我个人而言,我只过滤出站 SMTP(任何客户端都不应连接到外部 SMTP 服务器)和 DNS(以防止受到更改用户 DNS 服务器以获取外部主机的恶意软件的影响)。
不过,许多组织的出站规则要严格得多。如果您的安全部门说您需要过滤出站,那么您就需要过滤出站。现在您只需与他们合作,确定他们需要什么级别的过滤。