Firewall
防火牆傳出連接有什麼意義?
我有一個防火牆 ( csf ),它允許您分別允許傳入和傳出 TCP 埠。我的問題是,為什麼有人想要關閉任何傳出埠?
我了解預設情況下您可能希望關閉所有埠以進行傳入連接。從那裡,如果您正在執行 HTTP 伺服器,您可能想要打開埠 80。如果您想要執行 FTP 伺服器(在主動模式下),您可能想要打開埠 21。但如果它設置為被動 FTP 模式,則一堆埠將是接收來自 FTP 客戶端的數據連接所必需的……以此類推以獲取其他服務。但僅此而已。與伺服器提供的特定服務無關的其餘埠,特別是如果您主要是客戶端電腦,則必須關閉。
但是傳出連接呢?為出站連接關閉目標埠是否有任何安全收益?我問這個是因為起初我認為關閉所有埠與傳入連接的策略非常相似。但後來我意識到,例如在被動 FTP 模式下充當客戶端時,隨機高埠會嘗試連接到 FTP 伺服器。因此,通過在客戶端阻止這些高埠,您可以有效地禁用該客戶端中的被動 FTP,這很煩人。我很想只允許所有內容傳出,但我擔心這可能會構成安全威脅。
是這樣嗎?這是一個壞主意,還是僅打開所有(或許多)埠僅用於傳出連接以促進被動 FTP 等服務的明顯缺點?
有人可能希望關閉傳出埠的原因有很多。以下是我在不同時間應用於各種伺服器的一些內容
- 該機器位於僅允許出站 Web 流量並通過代理的公司環境中。所有其他埠都已關閉,因為它們不需要。
- 這台機器正在執行一個帶有可執行程式碼(想想 PHP、Ruby、Python、Perl 等)的網路伺服器。作為緩解可能的程式碼缺陷的一部分,只允許預期的出站服務。
- 機器上執行的服務或應用程序嘗試連接到遠端資源,但伺服器管理員不希望它這樣做。
- 良好的安全實踐:應拒絕未明確允許的內容。