我可以看到防火墙会阻止传入的stream量,但是当机器上存在恶意软件时,会阻止传出stream量?
是否完全是操作系统防火墙的责任来阻止传出stream量?
一般来说,典型的家庭宽带路由器默认情况下不会对出站stream量设置任何限制。 有些可以configuration为pipe理传出stream量,有些传出选项有限,具有相当全面的出站pipe理能力。
任何“企业”级别或商业防火墙都绝对有能力pipe理输出stream量,包括免费stream量(search站点,防火墙上有多个post)。
大多数系统pipe理员都认为,为了成为一个好的互联网公民,pipe理输出stream量是必要的,同时也要pipe理带宽和性能。 例如,通常只允许来自邮件服务器的外发SMTP和POP通信,以防止任何感染恶意软件的PC产生垃圾邮件。 或者,如果有代理服务器来pipe理浏览,则仅允许来自代理服务器的传出网页浏览通信。
大多数防火墙(我曾经使用过)有一个隐含的允许规则,允许所有来自更安全networking(通常是内部局域网)的stream量到不太安全的networking(通常是互联网),以便所有的出站stream量都可以从您的内部局域网到互联网(或到DMZ)通常不需要创build明确的规则来允许出站stream量。
大多数防火墙(我曾经使用过)有一个隐式的拒绝规则,拒绝所有来自不太安全的networking(通常是互联网)的stream量到一个更安全的networking(通常是内部局域网),这样所有的入站stream量都被拒绝(或从DMZ)到您的内部LAN。 您通常需要创build明确的规则以允许入站stream量。
硬件防火墙不能很好地区分“好”或“坏”的数据包,因为它们都来自同一个来源。 软件防火墙可以确定哪个应用程序生成了数据包,因此可以根据需要做好更好的准备。
由防火墙决定哪个stream量可以向哪个方向stream动,如果您没有configuration任何出站规则,那么默认情况下它可能允许所有出站连接。
“在恶意软件的情况下”是分开的,因为这只能由PC自己决定。 (除非你投资N / IDS)。
除非涉及到人员,否则有防止出站stream量的方法,请参阅http://en.wikipedia.org/wiki/Captive_portal
对于标准的零售柜台路由器/防火墙组合,出站受到的关注比入站stream量less。 我见过的最后几个人也有限制出站的能力。 虽然重点是相反的。 在我的家NetGear它允许入站和阻止出站。 我可以允许SSH进入特定的主机,并拒绝telnet出站。 在这个意义上说,它不是一个真正的全function防火墙。 一些这样的路由器确实能够阻止特定的内部IP地址访问这些设备的互联网端,尽pipe不是全部。
和许多事情一样,“这取决于”。
对于主机上的恶意软件,使用同一台计算机的防火墙阻止传出stream量的意义何在? 精明的恶意软件作者将使用任何方法(例外规则的标准API或类似rootkit的)来允许它与互联网进行通信。
考虑尝试检测这种types的stream量 – 从路由器而不是主机。