我只是build立一个连接到互联网的家庭无线networking。 路由器具有configuration防火墙规则的设置。
目前它被设置为INBOUND ALL ANY和OUTBOUND ALL ANY。
我应该设置什么样的规则(如果有的话)来减less妥协的风险? 连接的笔记本电脑是Vista和XP。 我们只有简单的浏览需求,所以我可以打开以下入站端口?
80 HTTP 21 FTP 443 HTTPS 这仅仅是正常的网页浏览吗? 我应该设置任何出站规则吗?
不期望使用POP或SMTP
您应该允许没有入站stream量。 您应该允许您将使用的协议的出站stream量。 你的列表是好的,但是如果你想同步时间,你可能想添加DNS和NTP。
注意(按照定义)TCP / IP是双向的。 这里所指的方向是连接开始的方向。 含义..如果您浏览到www.serverfault.com,您的PC将发送HTTPstream量到serverfault.com的IP地址。 防火墙将认识到应答即将到来,并且该应答将被允许回到您的PC。 但是这被称为“出站”stream量,在大多数防火墙中不需要考虑响应。
build议:使用Steve Gibson的Shields Up站点来testing防火墙允许的内容,以及关于哪些服务正在做什么的大量信息。
丢失入站允许任何! 只有原因是为了主动FTP,但你可以使用被动。 我个人允许任何出站。
如果只是简单的眉毛,那么你应该对你有好的。 唯一的区别是当网页中的小程序或插件想通过HTTP / HTTPS以外的其他方式直接与主服务器通信时。
正如squillman所说的那样,马上取下入口。
假设防火墙是有状态的,你只需要'允许任何出站'。 返回stream量应该被允许通过,因为它们将被匹配到连接表中的现有连接。
你知道路由器的型号吗? 看看它的默认路由/ NAT /端口转发configuration是很有趣的。
[出站明智]
我build议你开始在防火墙上应用出口过滤规则来练习一些好的互联网邻居礼节。 非常多,closures一般未使用的端口(外出),当客户受到威胁时可能会使用这些端口。 这里有一个更好的解释:
出口过滤可防止您(和您的客户)将不需要的stream量发送到Internet。 这可能包括泄漏私有地址空间或阻止试图与远程主机通信的受损系统。 出口过滤还可以帮助防止由于configuration错误导致的信息泄露,以及一些networking映射尝试。 最后,出口过滤可以防止内部系统执行出站IP欺骗攻击。
适用于这种做法的通用端口是:
..你明白了。