我们的networkingpipe理员/安全pipe理员使我们应该保持共同的(外部的)端口(FTP,XMPP,IMAP,IPSEC)closures,因为它是一个更大的安全风险,使我们更容易受到攻击。 虽然我可以理解,这些select是考虑到安全性的,但它往往使最终用户/员工/顾问的工作变得困难,而且更糟。
阻止常用端口是否使我们的整体networking更安全?
我想你是指出口过滤 ?
这只是一个问题,真的是什么样的风险水平是可以接受的。 至于是否增加安全性,我会回答合格的是的 – 一般来说,这是一个很好的安全步骤,但它需要做得很好才能有效(如果他们只是特意阻塞某些端口,我会感到惊讶 – 更有可能的是,他们只允许某些列入白名单的端口)。
可以使用的示例场景是安全问题,如僵尸networking僵尸报告和垃圾邮件中继,以及策略/带宽使用问题,如BitTorrent或streamvideo。
您应该采取的方法是陈述协议允许的商业案例,并尝试find中间地带,如果需要的话,比如只允许IMAP到批准的服务器。 请记住,这可能是一个政策原因,它已经到位。
我将与这里的答案有所不同,并且说不,几乎肯定不是。 如果你有任何外部的系统,那么允许未encryption的连接可能会暴露例如你有兴趣保持安全的loginID,但是由于我们正在谈论出口过滤,所以我猜你没有任何这样的系统那么通过阻止未encryption的服务(ftp,pop,imap),你只能保护别人的秘密,这不是你的工作。
而且,这没有意义。 只要你允许端口443出站 – 如果这是被禁止的,那么在我曾经工作过的任何一个组织中都会出现骚乱 – 你已经有用户在build筑物的左边,右边和中间build立了SSLencryption隧道,你不知道他们通过他们通过什么。 当然可以是HTTP,但也可以是SSH,也可以是IMAP,可以是OpenVPN,可以是任何东西,只要它在SSLencryption隧道内即可。
因此,可以通过阻止其他端口向外发出骚扰,但是只要您允许HTTPS,从安全的angular度来看,这是毫无意义的。 它不会阻止一个坚定的对手超过一分钟,它会真正惹恼你所有的合法用户。