dun*_*nxd 5 networking security firewall cisco-asa
如果我只想允许出站流量使用 HTTP、POP3、IMAP4、SMTP 功能(即站点上没有托管服务器),是否需要打开任何其他端口以允许这些功能工作(例如 DNS UDP 端口)?
另请参阅:始终打开的出站端口
如果下面的一些答案看起来很奇怪,请查看这篇文章的编辑 - 我删除了很多似乎完全征求不同问题答案的细节。
如果您“...与我们几乎无法控制的一个或多个其他组织共享 Internet 连接,除了 ASA 上的配置。”,您不认为您至少应该询问他们的具体需求吗?有?我不确定您的设置是什么,但我之前一直处于“共享”互联网连接情况,您需要先咨询他们,而不是随意阻止除组织需要的端口之外的所有内容,否则您可以如果您仅仅因为不想先询问其他组织而阻止其提供业务所需的服务,那么您将面临诉讼...
由于完全修改的问题而进行编辑
这些服务可能位于其他端口,但这些是标准端口。有些人提到 8000 范围内的其他 HTTP 端口是可能的,但公共站点通常不会这样做。同样,您应该监控流量并在打开它们之前查看是否需要其他端口。
如果您确定您的公司确实使用了这些端口(您有用户通过 POP3、IMAP 连接到外部邮件服务器,并直接通过 SMTP 端口发送邮件),您可能应该注意它们连接到哪些外部 IP 并对其进行限制ACL 仅适用于防火墙上的那些 IP。如果您的任何用户感染了邮件蠕虫或其他类似病毒,这将在一定程度上限制您的暴露。
对于 DNS 查找,根据您的设置,只有您的内部 DNS 服务器(如果您使用 AD,则为 AD DC)会进行任何查找,而您的客户端会将它们用作他们的 DNS 服务器。您通常还会知道他们正在使用哪些外部 DNS 服务器,并将其出站查找限制为仅用于转发的外部 DNS 服务器。如果您的客户端自己进行查找,那么您可能会再次知道他们将要访问哪些外部 DNS 服务器并将其出站连接限制为仅这些外部服务器。
在所有这些 ACL 设置中,您所需要的只是允许服务的端口输出。任何有状态的防火墙(我相信你在编辑之前提到过你有 ASA 5505s?)都会识别来自外部的响应并将其作为已建立的会话(并拒绝没有建立会话的连接)。
| 归档时间: |
|
| 查看次数: |
23672 次 |
| 最近记录: |