Если я хочу разрешить только HTTP, POP3, IMAP4, SMTP-функции для исходящего трафика (то есть на сайте нет серверов), есть ли какие-либо дополнительные порты, которые необходимо открыть, чтобы эти функции работали (например, DNS UDP-порты)?
Смотрите также: исходящие порты, которые всегда открыты
Если некоторые из приведенных ниже ответов кажутся странными, просмотрите правки этого сообщения - я удалил много деталей, которые, казалось, вообще требовали ответов на разные вопросы.
Если вы «... разделяете подключение к Интернету с одной или несколькими другими организациями, над которыми мы очень мало контролируем, кроме конфигурации на ASA.», Не думаете ли вы, что вам следует хотя бы спросить их о конкретных потребностях, которые они могут иметь? Я не уверен, какова ваша настройка, но раньше у меня была ситуация с "общим" подключением к Интернету, и вы захотите сначала проконсультироваться с ними, а не произвольно блокировать все, кроме портов, которые нужны вашей организации, иначе вы могли бы у вас на руках судебный процесс, если вы заблокируете услугу, необходимую для бизнеса, для одной из других организаций только потому, что вам не хотелось сначала спрашивать их ...
ИЗМЕНИТЬ из-за полностью измененного вопроса
Эти услуги мог быть на других портах, но это стандартные порты. Некоторые упомянули другие HTTP-порты в диапазоне 8000, что возможно, но публичные сайты обычно этого не делают. Опять же, вы должны контролировать трафик и видеть, нужны ли другие порты, прежде чем открывать их.
Если вы установили, что эти порты действительно используются вашей компанией (у вас есть пользователи, подключающиеся к внешним почтовым серверам через POP3, IMAP и отправляющие почту непосредственно через порт SMTP), вам, вероятно, следует отметить, к каким внешним IP-адресам они подключаются, и ограничить списки ACL только для тех IP-адресов на брандмауэре. Это несколько ограничит вашу уязвимость, если кто-либо из ваших пользователей когда-либо заразится почтовым червем или другим подобным вирусом.
Для поиска DNS, в зависимости от вашей настройки, только ваши внутренние DNS-серверы (AD DC, если вы используете AD) будут выполнять любые запросы, и ваши клиенты будут использовать их в качестве своих DNS-серверов. Обычно вы также знаете, какие внешние DNS-серверы они используют, и ограничиваете свои исходящие запросы только этими внешними DNS-серверами для пересылки. Если ваши клиенты сами выполняют поиск, вы, вероятно, снова знаете, на какие внешние DNS-серверы они собираются, и ограничивают свое исходящее соединение только этими внешними серверами.
Во всех этих настройках ACL все, что вам нужно, - это разрешить порт службы. Любой межсетевой экран с отслеживанием состояния (я полагаю, вы упомянули, что у вас были ASA 5505? До редактирования) распознает ответ извне и впустит его как установленный сеанс (и откажется от соединений, для которых сеанс не установлен).
Я недавно реализовал это в среде, в которой я консультируюсь. Я потратил неделю и зарегистрировал весь исходящий трафик, чтобы я сначала получил хорошее представление о наиболее используемых портах. Я работал с руководством и следил за тем, чтобы все часто используемые порты были необычными (например, порты Steam), чтобы они были или не нужны для бизнеса. Я также проверил, нет ли в организации какого-либо проприетарного программного обеспечения, которое взаимодействует с нестандартными портами.
Наконец, я внес изменения в блокировку и следил за ними в течение следующих двух недель.
В общем, этот процесс занял у меня около месяца, но поскольку я провел подготовительную работу заранее, он прошел очень гладко.
-Джош
Нередко можно найти веб-серверы, работающие на порте 8080, 8000 или 8888, поэтому вы можете включить их.
порт 25 smtp, но если у вас есть реле, просто разрешите реле. мессенджеры - msn, gtalk и др.
настройте ведение журнала и посмотрите, что заблокировано, возможно, кто-то использует другой порт.
это зависит от того, сколько сервисов вы хотите разрешить трафик. Универсального рецепта не существует. Возможно, в вашем списке вы забыли порты ftp 21 и 20. Для более подробного ответа нам нужен более подробный список сервисов с разрешенным трафиком.