我的服务器pipe理员告诉我们,我们的服务器没有DNSparsing,因为他们正在严格遵守PCI DSS规定的出站数据。 我不太明白这一点,因为服务器是用来托pipe一个网站,所有人都可以从URL访问,但是当我通过远程桌面login到服务器,我不能使用互联网从服务器,即它可以提供数据但不能发送出站数据。 这怎么可能? 如何通过发送http数据访问互联网,但无法parsingDNS名称?
通常在这种情况下,防火墙被configuration为做一些事情:
只允许特定服务端口(HTTP和HTTPS)的入站连接。
只允许与入站连接相关的出站连接(即对客户端的HTTP请求的响应)。 在很多情况下,DNS请求被明确阻止。
这样可以防止服务器与其他IP地址build立自己的连接,包括阻止连接到DNS服务器以进行DNS查找。 这是阻止服务器上的恶意代码从其他地方传输数据和下载其他数据的一种方式。 它也阻止了服务器pipe理员能够在服务器上“浏览网页”,而他们绝对不应该这样做。
你所描述的可以通过状态防火墙来实现。
当入站TCP连接到达时,初始数据包的头部被设置为SYN位。 这表明它是新TCPstream中的第一个数据包。 现在,如果防火墙允许它进入端口80,则会创build一个“状态”,并将其应用于同一个stream中的所有其他数据包。 任何匹配这个状态的数据包将被防火墙进一步允许,其中包括从服务器发送到客户端的响应。
UDP和ICMP连接的跟踪更加模糊,因为它们从根本上说是无连接的。 它们不包含在TCP会话中find的任何stream信息。 但它或多或less地以相同的方式工作。
考虑到这一点,您的出站DNS查询正在被防火墙closures,因为连接是从内部启动的。 而HTTPstream量是从外部发起并被政策允许的。