为了解决我们服务器上的Facebook授权连接问题,我们决定在防火墙中打开所有的传出连接/端口,看看是否真的存在安全问题。
允许后,Facebook连接工作。
但是,如果我们完全实施这些设置,我不知道风险是什么。
谢谢!
我认为lockingnetworkingstream量的“共同智慧”总是像“不好的人可能以不希望他们的方式将stream量从networking中传出”一样。 当然,我也看到远程攻击被攻击性防火墙阻止,防止利用代码从FTP下载有效载荷等等。限制输出端口是有一定价值的。
尽pipe如此,任何事情都可以通过另一个协议(任意的TCP over HTTP,DNS over SSH,IP over over the carrier)来实现,所以限制出口端口限制出口stream量会带来虚假的安全感。 除非您正在对出口stream量进行第7层检查,否则无法真正确定在TCP端口80上发出请求的情况是否为HTTP客户端。 即使它是一个HTTP客户端,除非你对第7层检查非常严格,它可能是一个通过HTTP隧道传输任意数据的HTTP客户端。
限制出口港口是一个好主意,但不要被认为这是一个重大的“安全胜利”。 “智能”软件(malicioius或其他 – Skype是一个很好的处理过滤出口端口的程序的好例子)将在你身边工作。
另外,我不知道Facebook需要HTTP和HTTPS以外的任何东西。
如果在局域网上有任何Windows机器,我强烈build议至lessclosures除端口25以外的所有邮件服务器。 某些病毒/蠕虫会导致受感染的机器发送垃圾邮件。 这可以很快让你进入阻止名单,这可能会严重影响你发送合法电子邮件的能力。 在我刚开始工作的时候,这发生在我工作的地方,并且花费了相当的努力从这些列表中删除。 没有真正的方法可以告诉我们公司有多less收入,但是我们知道我们至less损失了一些客户。
通常阻止传入连接比传出连接要重要得多; 阻塞传出连接只有在你担心你不信任的东西可以在你的服务器上运行时才有意义,而这通常不是Linux系统的重点(更多的是Windows系统,它很容易被蠕虫感染)服务器系统只有pipe理员有控制台访问,从而降低了意外从互联网上下载不好的东西的风险。
也就是说,您不需要打开任何超过传出的HTTP(80)和HTTPS(443)来访问Facebook,这是一个网站,不使用任何其他协议。
除了通过SMTP发送垃圾邮件之外,我所看到的一件事情是内部networking上的被感染机器呼叫远程IRC服务器。 这在僵尸networking中经常使用,并可能受限于传出连接。
但是,正如其他人所说,随着攻击变得更加复杂,将有可能规避所有这些事情。