Я просто настраиваю домашнюю беспроводную сеть с подключением к Интернету. Маршрутизатор имеет настройки для настройки правил межсетевого экрана.
В настоящее время для него установлено значение INBOUND ALL ANY и OUTBOUND ALL ANY.
Какие правила я должен установить (если есть), чтобы снизить риск компрометации? Подключаемые ноутбуки - Vista и XP. У нас есть только простые потребности в просмотре, могу ли я просто открыть следующие входящие порты?
80 HTTP
21 FTP
443 HTTPS
Этого достаточно для обычного просмотра веб-страниц? Стоит ли устанавливать какие-либо правила для исходящего трафика?
Не ожидаете использовать POP или SMTP
Вы должны разрешить Нет входящий трафик. Вы должны разрешить исходящий трафик для протоколов, которые вы будете использовать. Ваш список хорош, хотя вы можете добавить DNS, а также NTP, если хотите синхронизировать время.
Имейте в виду, что (по определению) TCP / IP двунаправлен. Упомянутая здесь направленность - это направление, в котором инициируется соединение. Это означает ... если вы перейдете на сайт www.serverfault.com, ваш компьютер будет отправлять HTTP-трафик на IP-адрес serverfault.com. Брандмауэр распознает, что приходит ответ, и этот ответ будет разрешен обратно на ваш компьютер. Но это называется «исходящим» трафиком, и вам не нужно учитывать ответ в большинстве брандмауэров.
Предложение: используйте Стива Гибсона Щиты вверх site, чтобы проверить, что разрешено в вашем брандмауэре, и получить много информации о том, какие службы и что делают.
Потерять входящий разрешить любой! Единственная причина для этого - активный FTP, но вместо этого вы можете использовать пассивный. Я лично разрешаю любой исходящий.
Если это простой просмотр, то у вас должно получиться хорошо с теми, которые у вас есть. Единственная разница заключается в том, что апплеты или плагины на веб-страницах хотят напрямую общаться со своими домашними серверами по чему-то другому, кроме HTTP / HTTPS.
Как сказал Сквиллман, немедленно удалите все входящие сообщения.
Если предположить, что брандмауэр отслеживает состояние, все, что вам нужно, это «разрешить любой исходящий»; обратный трафик должен быть разрешен, поскольку они будут сопоставлены с существующими соединениями в таблице соединений.
Вы знаете модель роутера? Было бы интересно посмотреть, какова его конфигурация маршрутизации / NAT / переадресации портов по умолчанию.
[OUTBOUND-мудрый]
Я предлагаю вам начать практиковать этикет хорошего интернет-соседа, применив исходящая фильтрация правила вашего брандмауэра. В значительной степени, закрытие обычно неиспользуемых портов (исходящих), которые могут использоваться вашими клиентами, когда они скомпрометированы. Вот лучшее объяснение:
Фильтрация исходящего трафика не позволяет вам (и вашим клиентам) отправлять нежелательный трафик в Интернет. Это может включать утечку частного адресного пространства или остановку скомпрометированных систем, пытающихся связаться с удаленными хостами. Выходная фильтрация также может помочь предотвратить утечку информации из-за неправильной конфигурации, а также некоторых попыток сопоставления сети. Наконец, фильтрация исходящего трафика может предотвратить выполнение внутренними системами атак с подменой исходящего IP-адреса.
Общие порты, применимые к этой практике:
.. вы поняли.