我有大约60个用户通过ISA Server 2004和硬件防火墙访问互联网的networking。 当然,我一直阻止对外界的匿名请求。
我们正在安装一个需要从一个特定的网站查询数据的新软件,唯一的办法就是如果我允许通过防火墙发出匿名请求。
我冒了一个巨大的风险,还是我过去一直过于谨慎?
这听起来像你正在使用ISA Web代理的身份validationfunction来validation用户对网站的访问。 现在,您已经拥有了一些无法处理代理身份validation的软件,因此,您不得不中断并允许匿名访问非代理友好的软件要访问的网站。
在我看来,假设网站没有任何“代理”或“类似代理”function(认为谷歌翻译,谷歌caching等)的匿名HTTP访问到一个单一的网站,可能不是一个非常大的交易。
如果软件实际在您的客户端计算机上运行,并且您决定进行每个用户的身份validation,则可以考虑将Microsoft Firewall Client部署到您的客户端计算机上。 防火墙客户端可以进入Windows套接字API(这非常聪明),允许每个用户通过客户端计算机的ISA服务器授权和审计TCP连接。 由于所有身份validation发生在套接字层,因此不会发生HTTP代理身份validation。
是的,这是一个风险。 恶意用户可以使用你的连接发送垃圾邮件,这可以通过阻止传出的tcp 25(smtp)和tcp 465(smtps)来避免。 几年前,蠕虫(如blaster)扫描端口tcp 445并使用windows dcom / rpc中的许多漏洞传播是非常普遍的。 这可能会导致您提出停止和终止(C&D)命令。 在另一种情况下,恶意黑客可能会利用您的连接安全地执行攻击。 或者另一个scnario是一个恶意的黑客可以有目的地扫描国防部拥有的IP范围,这将导致你的互联网连接在几天内被closures,这是一个令人讨厌的拒绝服务攻击。