Я понимаю, что кто-то хотел бы блокировать входящий трафик по общему правилу, за исключением публичных ресурсов. И я также понимаю, что вы можете захотеть заблокировать весь исходящий трафик, кроме определенных внешних служб.
Но есть ли серьезный риск безопасности, если я разрешаю входящий трафик, который представляет собой ответы на предыдущий исходящий трафик, например HTTP-запросы?
Потенциально угроза безопасности огромна. В качестве простого и распространенного примера: скомпрометированный или вредоносный веб-сайт может заразить или иным образом скомпрометировать машину, просматривающую сайт, что, в свою очередь, может вызвать всевозможные проблемы в остальной части сети.
Такие риски, конечно, можно уменьшить и контролировать, используя такие вещи, как разумные разрешения на уровне пользователя, которые обычно предотвращают распространение проблемы за пределы затронутой машины.
Организации или ведомства, которые действительно серьезно относятся к безопасности, такие как некоторые военные и другие правительственные ведомства, не позволяют определенным машинам или даже целым сетям получать доступ к Интернету именно по этим причинам.
Для подавляющего большинства систем при хорошем управлении как ИТ-системами, так и людьми, которые их используют, риски в действительности довольно незначительны, но никогда не равны нулю.
Это балансирующий акт. С одной стороны, у вас безопасная сеть без Интернета. С другой стороны, у вас есть сеть, которая подвержена некоторым рискам, но может использовать многие преимущества доступа в Интернет.
Это не сильно отличается от вождения или вождения автомобиля. Существует реальный риск смерти, но многие ли из нас отказываются садиться в машину по этой причине?