Остановит ли исходящий трафик стандартный межсетевой экран NAT-маршрутизатора?
Я вижу, что брандмауэр остановит входящий трафик, но что остановит исходящий трафик в случае, если на машине есть вредоносное ПО?
Ответственность за прекращение исходящего трафика лежит исключительно на брандмауэре операционной системы?
Большинство брандмауэров (с которыми я работал) имеют неявное разрешающее правило, которое разрешает весь трафик из более безопасной сети (обычно внутренней LAN) в менее безопасную сеть (обычно Интернет), так что весь исходящий трафик разрешен из вашей внутренней сети. ЛВС в Интернет (или в демилитаризованную зону) Обычно не требуется создавать явные правила для разрешения исходящего трафика.
Большинство брандмауэров (с которыми я работал) имеют неявное правило запрета, которое запрещает весь трафик из менее безопасной сети (обычно Интернет) в более безопасную сеть (обычно внутреннюю локальную сеть), так что весь входящий трафик из Интернета запрещается. (или из DMZ) во внутреннюю локальную сеть. Обычно вам нужно создать явные правила для разрешения входящего трафика.
Аппаратный брандмауэр не может легко отличить «хорошие» от «плохих» пакетов, поскольку все они поступают из одного источника. Программный брандмауэр может определить, какое приложение сгенерировало пакет, поэтому лучше подготовиться к их блокировке по желанию.
Брандмауэр должен определить, какой трафик может течь в каком направлении. Если вы не настроили какие-либо правила для исходящего трафика, то по умолчанию он, вероятно, разрешит все исходящие подключения.
«В случае вредоносного ПО» рассматривается отдельно, так как это может определить только сам ПК. (Если вы не инвестируете в N / IDS).
Есть способы предотвратить исходящий трафик без участия человека, см. http://en.wikipedia.org/wiki/Captive_portal
Для стандартных комбинаций маршрутизатор / межсетевой экран, продающиеся без розничной продажи, исходящему трафику уделяется меньше внимания, чем входящему трафику. Последние, которые я видел, также имели возможность ограничивать исходящие сообщения. Однако фокус меняется на противоположный. В моем домашнем NetGear он разрешает входящий и блокирует исходящий. Я могу разрешить SSH на конкретный хост и запретить исходящий telnet. В этом смысле это не настоящий полнофункциональный межсетевой экран. Некоторые такие маршрутизаторы имеют возможность блокировать определенные внутренние IP-адреса от доступа к Интернету таких устройств, хотя не все.
Как и во многих других случаях, «это зависит от обстоятельств».
Вообще говоря, типичный домашний широкополосный маршрутизатор по умолчанию не накладывает никаких ограничений на исходящий трафик. Некоторые из них могут быть настроены для управления исходящим трафиком, некоторые имеют ограниченные параметры исходящего трафика и обладают довольно обширными возможностями управления исходящим трафиком.
Любой брандмауэр «корпоративного» класса или бизнес-класса будет иметь возможность управлять исходящим трафиком, в том числе бесплатным (поиск по сайту, есть ряд сообщений о брандмауэрах).
Большинство системных администраторов согласны с тем, что необходимо управлять исходящим трафиком, чтобы быть хорошим интернет-гражданином, а также управлять пропускной способностью и производительностью. Например, как правило, исходящий трафик SMTP и POP разрешен только с почтового сервера, чтобы предотвратить распространение спама на компьютерах, зараженных вредоносным ПО. Или, если есть прокси-сервер для управления просмотром, исходящий трафик просмотра веб-страниц разрешен только с прокси-сервера.
В случае вредоносного ПО на хосте, какой смысл блокировать исходящий трафик с помощью брандмауэра той же машины? Проницательный автор вредоносного ПО будет использовать любые средства (стандартные API-интерфейсы для правил исключений или что-то вроде руткитов), чтобы позволить ему взаимодействовать с Интернетом.
Попробуйте обнаружить такой трафик - от маршрутизатора, а не от хоста.