我正在设置一个可连接到互联网的家庭无线网络。路由器有配置防火墙规则的设置。
当前它设置为 INBOUND ALL ANY 和 OUTBOUND ALL ANY。
我应该设置哪些规则(如果有的话)来降低被入侵的风险?连接的笔记本电脑是 Vista 和 XP。我们只有简单的浏览需求,所以我可以只打开以下入站端口吗?
80 HTTP
21 FTP
443 HTTPS
这对于正常的网页浏览来说够了吗?我应该设置任何出站规则吗?
不希望使用 POP 或 SMTP
答案1
你应该允许不入站流量。您应该允许您使用的协议的出站流量。您的列表很好,但是如果您想同步时间,您可能需要添加 DNS 和 NTP。
请注意,TCP/IP(根据定义)是双向的。此处提到的方向性是指发起连接的方向。这意味着……如果您浏览 www.serverfault.com,您的 PC 将向 serverfault.com 的 IP 地址发送 HTTP 流量。防火墙将识别出有响应即将到来,并且该响应将被允许返回到您的 PC。但这被称为“出站”流量,您不需要在大多数防火墙中考虑响应。
建议:使用 Steve Gibson 的护盾升起网站来测试防火墙允许什么,并获得有关哪些服务正在做什么的大量信息。
答案2
取消允许任何入站!这样做的唯一原因是用于主动 FTP,但您可以改用被动。我个人允许任何出站。
如果只是简单的浏览,那么你现有的应该就够了。唯一的区别是当网页中的小程序或插件想要通过 HTTP/HTTPS 以外的方式直接与其主服务器通信时。
答案3
正如 squillman 所说,立即删除任何入站内容。
假设防火墙是有状态的,您所需要的只是“允许任何出站”;返回流量应该被允许通过,因为它们将与连接表中的现有连接匹配。
你知道路由器的型号吗?看看它的默认路由/NAT/端口转发配置是什么会很有趣。
答案4
[出境方面]
我建议你开始练习一些好的网络邻居礼仪,应用出口过滤防火墙上的规则。基本上,关闭客户端在受到攻击时可能使用的不常用端口(传出)。这里有一个更好的解释:
出口过滤可防止您(和您的客户)向互联网发送不必要的流量。这可能包括泄露私有地址空间或阻止受感染的系统尝试与远程主机通信。出口过滤还可以帮助防止由于配置错误以及某些网络映射尝试而导致的信息泄露。最后,出口过滤可以防止内部系统执行出站 IP 欺骗攻击。
适用于此做法的常见端口是:
..你明白了。