我有一个思科ASA 5505三个接口:内部(100),DMZ(50)和外部(0)。 内部有一个IPSEC VPN隧道到我的内部networking
由于所有的端口限制等原因,我无法login到我的域名。 我试着监视通过界面的stream量,看看它阻塞了什么,然后解除阻塞这些端口,但即使如此,它不能正常工作
我终于刚刚添加了一个规则,允许从任何networking到内部接口上的任何networking的任何IPstream量,当然,它工作正常
但是,这是很好的安全措施? 我是否应该阻止内部接口和最高安全级别的VPN?
仅允许定义为可接受的stream量并阻止所有其他stream量将是明智的。
我知道这可能是一个痛苦,但你应该审查什么通过你的路由器,并能够确定什么应该被允许作为“官方”的stream量。 这可能需要一些系统的工作来确定您目前使用的技术所使用的端口。
考虑一下:如果一个内部系统受到攻击,它能够将数据发送到通常不会用于任何IP地址的端口上吗?