我不记得看到这个政策,因为在我看来,就像“所有港口开放”那样的事情。 它被设置为默认“tcp:0(任何) – udp:0(任何)”如果我禁用这个,甚至networkingstream量将无法正常工作,虽然我特别是有HTTP代理策略启用…这是正常的? 不正常? 最佳做法是什么? 我正在处理试图findcrpytolocker病毒,导致我这…
此规则允许任何传出stream量和由内部机器启动的对话。 build立这样的规则是相当普遍的。 我认为大多数的看守型号默认都有这个规则。
只需启用规则,受信任端的计算机就可以打开他们想要的任何连接。 外部计算机可以回复,但不能启动连接。
我的猜测是,虽然你有一个HTTP代理策略(应该是从'任何可信任'到'任何外部'),你没有DNSstream量的规则 – 没有DNSparsing,所以没有networkingstream量。
最好的做法是阻止一切 ,然后允许你想要的stream量。 至less对于典型的办公networking来说,这将是HTTP和HTTPSstream量(可选地通过代理),DNS(至less用于连接到外部世界的内部DNS服务器)和电子邮件stream量(SMTP,POP3,IMAP,等等…取决于你使用什么,可能只允许你的内部邮件服务器直接连接到外部世界)。
但是,保持这一点可能令人沮丧。 人们希望在video会议中使用Adobe,而承包商则需要在非默认端口上访问他们的网站等等。因此,有些人select允许所有外出连接,并担心过滤进入的内容。无论哪种方式都可以可以接受,取决于您需要的安全程度,您信任networking的可信任方的程度,以及您可以花费多less时间和精力来维护防火墙规则。