Наш текущий аппаратный брандмауэр позволяет блокировать входящие и исходящие порты. У нас есть две возможности:
Я вижу несколько недостатков в варианте 2. Иногда веб-серверы размещаются на нестандартных портах, и нам придется решать возникающие проблемы. Кроме того, ничто не препятствует, например, размещению вредоносной или нежелательной службы на порту 80. Какие есть плюсы?
В сценарии (2), если компьютер в сети заражен каким-либо вредоносным ПО, вы запрещаете ему либо отправлять почту (если вы блокируете или прозрачно прокси-сервер SMTP), либо подключаться к каналу IRC, который предназначен для дистанционного управления с ( или аналогичные бэкдоры).
редактировать Очевидно, что ни в одном из этих сценариев это не остановится. все, но это не позволит большинству обычных ботов превратить вашу сеть в источник спама и т.п.
Положительным моментом является то, что вы останавливаете все, что не может адаптироваться (вредоносное ПО для рассылки спама и т. Д.), И всех, кто не знает, как это обойти.
Другие ответы здесь, похоже, имеют характер «что бы вы ни делали, я обойду это, поэтому даже не пытайтесь», но большинство людей не знают, как сделать что-то, чтобы обойти ограничения брандмауэра, чтобы вы уменьшили риск неприятностей много.
Вдобавок ко всему, если кто-то может сначала получить доступ к сервису за пределами вашего брандмауэра, потому что порт открыт, это одно дело, но если им придется намеренно обходить ваш брандмауэр, это совсем другое. Это может дать вам больше доказательств, например, для демонстрации неправильного использования компьютерных систем.
А для соблюдения нормативных требований или по причинам аудита вам может потребоваться обосновать каждый порт, открытый на вашем брандмауэре, было бы лучше иметь возможность сказать «Порт 1433 исходящий, потому что учетным записям он нужен для программы Q, даже если он может открыть дверь для некоторого неправильного использования» чем «SQL работает, потому что мы ничего не блокировали».
tl; dr: Безопасность - это не просто одно серебряное решение, которое что-либо исправляет, и вариант 2 может стать еще одним уровнем, помогающим снизить риск и неправильное использование.
Если кто-то собирался запустить BitTorrent, скажем, на порту 80, на самом деле не имеет значения, какой вариант вы выберете, но вариант 2 дает вам больше шансов заблокировать нежелательный трафик. Вы упоминаете о возможности открытия дополнительных портов для специальных веб-сайтов, но, в зависимости от вашего брандмауэра, вы можете открывать эти порты только для определенных целей.
В варианте 1, когда вы начинаете блокировать порты для ограничения трафика, этот трафик почти наверняка переместится на другой порт. В конце концов, вы обнаружите, что вам нужно закрыть так много портов, что вы почти вернетесь туда, где вы были бы, если бы вы выбрали вариант 2 в начале.
Bittorrent не работает на каком-либо конкретном порту, так что забудьте о любой мечте о блокировке таким образом. Даже блокирование доступа ко всем известным сайтам трекеров довольно неэффективно с сегодняшними системами без трекеров.
Есть администраторы, которые считают, что они успешно заблокировали BitTorrent-трафик из своих сетей. Основываясь на моих собственных экспериментах в качестве пользователя BitTorrent, я не думаю, что когда-либо смогу быть настолько уверенным. Конечно, у меня нет доступа ко всем различным маркам и моделям межсетевых экранов для тестирования, поэтому я могу просто не знать об эффективной системе.
Простой ответ - №2, вам не нужно быть экспертом в использовании каждого порта, только те, которые действительно разрешены вами. Когда выходит новая служба IM / P2P, которая использует другой порт по умолчанию Вам не нужно ничего делать, чтобы заблокировать это. Вариант №2 также позволяет вам точно знать, какие протоколы используются в вашей сети и ВОЗ просил вас сделать их доступными.
Я предпочитаю вариант №3 - заблокировать доступ ко всем портам и проксировать нужные вам службы. В подавляющем большинстве случаев это работает хорошо. Фактически, в большинстве случаев все, что вам нужно, - это веб-прокси, поскольку почта часто обрабатывается внутренним сервером (или используйте Outlook RPC-over-http).
Большинство веб-прокси также позволяют указать, на каких портах вам разрешено устанавливать HTTP-соединения, поэтому вам не нужно открывать дыры в брандмауэре для нестандартных сайтов. Кроме того, веб-прокси может (в зависимости от настройки) дать вам некоторую защиту от пользователей, злоупотребляющих этой службой путем туннелирования VPN и т. Д.
По словам Мо, это также очень выгодно с точки зрения ограничения распространения вредоносных программ и действительно тех серых зон, где пользователи пытаются использовать свое собственное программное обеспечение или учетные записи электронной почты. Я надеюсь, что даже если вы действительно хотите позволить это, вы сначала захотите узнать!