目前,一家小公司的防火墙正在阻塞其networking上的组播。 他们应该继续阻止多播吗? 是否有解除安全问题? 解除封锁有好处吗?
我曾经使用的唯一的多播应用程序是Ganglia监视工具和ntp(有时也不是默认的ntpconfiguration)。 对于我来说,目前在小型networking上真正使用多less多播是不太清楚的,所以我不确定是否阻止它太重要。
同时,我认为没有任何理由在没有特定威胁的情况下阻止您的networking。 我投票保留在您的networking畅通无阻。
为了安全起见,我会说阻止它在networking的边缘,尽pipe默认情况下,多播不会被路由,除非你经过额外的环节。
在边界阻塞多播有一些好的事情。 在内部阻止我个人不同意。 这是一个意见。
这是一个SANS文章 ,可能会对组播安全问题有所了解。 此外,查看SF过去的多播问题可能是一个好主意,并注意可能会影响您的networking的问题模式。
有一个有效的参数来locking所有stream量types,只打开你所需要的。 我个人不会将这种情况扩展到在小型networking上内部阻塞多播,但它可以说是一个意见问题(正如sysadmin1138所说),而不是单纯的正确或错误。
如果有人阻止了这一切,作为阻止一切的一部分,只打开他们需要的东西,那么这对我来说似乎是完全合理的。
如果有人感受到多播的直接威胁或问题,那么他们可能是绝对正确的(例如,他们过去有问题,这是解决方法),或者他们可能有点偏执,这是不一样的错误 。
如果这个区块到位,但是因为有人不知道他们在做什么,只是阻止CEO认为的所有东西都听起来“可怕”,那么这就不太好了。