为了解决我们服务器上的 facebook 授权连接,我们决定在防火墙中打开所有传出连接/端口,看看它是否真的是安全问题。
允许后,facebook 连接工作。
但是我不知道如果我们完全实施这些设置会有什么风险。
谢谢你!
我认为锁定流出网络的流量背后的“常识”一直是“坏人可能以您不希望他们的方式将流量发送出您的网络”。当然,我已经看到远程漏洞被攻击性防火墙阻止,阻止漏洞利用代码通过 FTP 下载以下载其有效负载等。限制出口端口有一定的价值。
尽管如此,任何东西都可以通过另一个协议进行隧道传输(HTTP 上的任意 TCP、DNS 上的 SSH、信鸽上的 IP 等),因此限制出口端口以限制出口流量会让人产生一种虚假的安全感. 除非您正在对出口流量进行第 7 层检查,否则您无法真正确定在 TCP 端口 80 上发出请求的东西确实是 HTTP 客户端。即使它是一个 HTTP 客户端,除非您对第 7 层检查非常严格,否则它可能是一个通过 HTTP 隧道传输任意数据的 HTTP 客户端。
限制出口端口是一个好主意,但不要误以为这是一个重大的“安全胜利”。“智能”软件(malicioius 或其他方式——Skype 是一个很好的程序示例,它可以很好地处理过滤的出口端口)将在您身边工作。
顺便说一句,我不知道 Facebook 需要 HTTP 和 HTTPS 以外的任何东西。
如果您在 LAN 上有任何 Windows 机器,我强烈建议至少关闭除邮件服务器之外的所有端口 25。一些病毒/蠕虫会导致受感染的机器发送垃圾邮件。这会很快让您进入阻止列表,这会对您发送合法电子邮件的能力产生严重的不利影响。这发生在我刚开始工作的地方,从这些列表中删除需要付出相当多的努力。没有真正的方法可以判断公司因此损失了多少收入,但我们确实知道我们至少失去了一些客户。
| 归档时间: |
|
| 查看次数: |
4274 次 |
| 最近记录: |