closures没有服务运行的端口是否有优势?
在iptables级别终止连接,而不是下一步(我猜操作系统)有什么收获。
我会去其他路线,并阻止所有端口。 打开它们,因为你需要的服务。 这样做的好处是,如果你在不知不觉中启动服务,你的机器就不会受到攻击。
好处是您可以安全地使用端口。 许多程序将使用一个伪随机端口,或者可以编程使用一个端口。 无论哪种情况,如果您不closures端口,则可以从其他主机访问端口。
弗朗索瓦斯指出,封闭政策更安全。 从所有的港口closures,并开始在适当的方向你需要的。 要求您没有或需要本地服务器的服务是很常见的。 DNS通常是必需的,但您不需要允许传入的请求。 一些ICMPtypes(3,4,11)对于正确的networkingfunction是必需的,但其他的可能会被安全地阻止。 通常启用echo (8),如果接收到related数据包,它将启用传入的echo-reply (0)消息。
大多数防火墙制造商(如Shorewall )将允许这些端口在其示例或默认规则集中。
正如其他答案所指出的,一般来说,封闭政策比只locking某些服务更安全。
例如,假设您安装了一个开始在随机端口上侦听的胭脂服务,并且手机在家中。 编写这个软件的黑帽人员可能会通过他们的服务来进行不请自来的行动。