我们目前的硬件防火墙允许阻塞传入和传出的端口。 我们有两种可能性:
我发现选项2有几个缺点。有时,Web服务器托pipe在非标准端口上,我们将不得不处理由此产生的问题。 另外,例如,没有任何东西阻止恶意的或不需要的服务被托pipe在端口80上。 有什么好处?
在情况(2)中,如果networking中的某台机器受到某些恶意软件的感染,则阻止其发送邮件(如果您阻止或透明地代理SMTP),或者连接到IRC频道,或类似的后门)。
编辑显然,在这两种情况下都不会阻止所有的事情 ,但是它会阻止很多常见的机器人把你的networking变成垃圾电子邮件等等。
好处是你可以阻止所有不适应的东西(垃圾邮件恶意软件等)以及每个不知如何避开的人。
这里的其他答案似乎是“无论你做什么我会绕过它,所以甚至不打扰尝试”的性质,但大多数人不知道如何做到防火墙的限制,所以你减less风险麻烦了很多。
最重要的是,如果有人能够在防火墙之外获得服务,那么首先尝试一下,因为这个端口是开放的,这是一回事,但是如果他们不得不故意在防火墙上工作,那又是另外一回事了。 例如,它可能会给你更多的证据来certificate滥用计算机系统。
出于法规遵从或审计的原因,您可能需要certificate防火墙上的每个端口是开放的,因此最好能够说出“端口1433出站,因为帐户需要用于程序Q,即使它可能会打开一些误用的大门”比“SQL的作品,因为我们没有打扰任何阻塞”。
tl; dr:安全不是解决任何问题的一个解决scheme,而解决scheme2可以是帮助减less风险和滥用的另一个层面。
如果有人打算在端口80上运行bittorrent,那么select哪个选项确实没有什么区别,但是选项2为阻止不必要的stream量提供了更好的机会。 您提到必须为特殊网站打开额外端口的可能性,但取决于您的防火墙,您可能只能为特定目标打开这些端口。
使用选项1,当您启动阻止端口来限制stream量将几乎肯定会移动到另一个端口的stream量。 最后,你会发现你需要closures这么多的端口,你几乎可以回到你在开始时select了选项2的地方。
Bittorrent不能在任何特定的端口上运行,所以忘记任何可能阻止它的梦想。 即使阻止访问所有已知的跟踪器网站是相当无效的今天的跟踪系统。
有pipe理员相信他们已经成功地阻止了来自他们networking的stream量。 基于我自己的实验作为一个bittorrent用户,我不认为我会永远是那样的自信。 当然,我不能访问所有不同的防火墙品牌和型号来testing,所以可能根本就不了解一个有效的系统。
一个简单的答案是#2, 你不需要成为使用每个端口的专家 ,只是你实际允许的端口 。 当一个新的IM / P2P服务出现,使用不同的默认端口, 你不必做一个单一的事情来阻止它 。 选项#2也可以让你确切地知道你的networking上使用了什么协议, 谁让你使它们可用。
我更喜欢选项#3 – 阻止对所有端口的访问,并代理您需要的服务。 在绝大多数情况下,这个效果很好。 事实上,大多数情况下,您只需要一个Web代理 – 因为邮件通常由内部服务器处理(或使用Outlook的RPC-over-http)。
大多数Web代理也可以让你指定哪些端口允许你build立HTTP连接 – 所以你不必为非标准的站点打开防火墙漏洞。 此外,networking代理可以(取决于设置)为您提供一些保护,防止通过隧道VPN等滥用该服务的用户。
正如莫说的,从限制恶意软件传播的angular度,以及用户尝试使用自己的软件或电子邮件帐户的那些灰色地带,这也是非常有益的。 即使你确实想要这样做,你也想先知道,我希望!