如果我只想允许出站stream量的HTTP,POP3,IMAP4,SMTPfunction(即没有托pipe在站点的服务器),是否还有其他端口需要打开以允许这些function工作(例如,DNS UDP端口)?
另请参阅: 始终打开的出站端口
如果下面的一些答案看起来很奇怪,请参阅这篇文章的编辑 – 我删除了很多细节,似乎要求完全回答不同的问题。
如果你“…与一个或多个我们几乎不能控制的其他组织共享互联网连接,你可能不认为你至less应该向他们询问他们可能需要的具体需求有? 我不确定你的设置是什么,但是我之前一直处于“共享”互联网连接状态,你需要先与他们进行协商,而不是任意阻止除你的组织需要的端口之外的任何事情,否则你可以如果您因其他组织之一阻碍了业务所需的服务,只能因为您不想先询问他们而在您的手中提起诉讼。
编辑由于完全修改的问题
这些服务可能在其他端口上,但这些是标准端口。 有些人提到8000范围内的其他HTTP端口是可能的,但是公共场所通常不这样做。 再次,你应该监视stream量,看看是否有其他端口是必要的,然后再打开它们。
如果您确定您的公司确实使用了这些端口(您的用户通过POP3,IMAP和通过SMTP端口直接发送邮件的用户连接到外部邮件服务器),您应该注意它们连接到哪些外部IP,并限制ACL仅限于防火墙上的IP。 如果您的任何用户感染了邮件蠕虫或其他类似的病毒,这将会限制您的暴露。
对于DNS查找,根据您的设置,只有您的内部DNS服务器(如果您使用的是AD,则为AD DC)将执行任何查找,您的客户端将使用它们作为其DNS服务器。 您通常也会知道他们正在使用哪个外部DNS服务器,并将其出站查找限制为仅用于转发的外部DNS服务器。 如果你的客户正在自己做查询,那么你可能会知道他们要去哪些外部DNS服务器,并限制他们的出站连接到外部服务器。
在所有这些ACL设置中,您只需要允许服务的端口输出。 任何有状态的防火墙(我相信你曾经提到你有ASA 5505s?在编辑之前)会识别来自外部的响应,并让它作为一个build立的会话(并拒绝没有build立会话的连接)。
我最近在一个我参考的环境中实现了这个function。我花了一个星期的时间logging了所有出口stream量,以便我首先了解哪些是最常用的端口。 任何高度使用的端口是不寻常的(比如蒸汽端口),我和pipe理层一起工作,确保他们是不是需要做生意。 我也检查过,以确保没有任何组织运行的专用软件在非标准端口上进行通信。
最后,我实施了阻止更改,并在接下来的几周进行监控。
总而言之,这个过程花了我大约一个月的时间,但是因为我提前做了准备工作,所以走得很顺利。
-Josh
在端口8080或8000或8888上运行web服务器并不罕见,因此您可能需要包含这些服务器。
端口25 smtp,但如果你有一个继电器,然后只允许继电器。 信使 – MSN,GTalk等
设置日志logging并观察被阻塞的内容,可能有人使用不同的端口。
这取决于你想让交通有多less服务。没有任何目的的处方。 也许在你的列表中,你忘记了ftp端口21和20.对于更详细的答案,我们需要一个更详细的服务列表,允许stream量。