linux – 如果所有传出连接/端口都打开,有什么风险?

前端之家收集整理的这篇文章主要介绍了linux – 如果所有传出连接/端口都打开,有什么风险?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
为了解决我们服务器上的facebook授权连接,我们决定打开防火墙中的所有传出连接/端口,看看它是否真的存在安全问题.

允许后,Facebook连接工作.

但是,如果我们完全实施这些设置,我不知道有什么风险.

谢谢!

解决方法

我认为锁定流量排除网络背后的“共同智慧”总是类似于“糟糕的人可能以你不希望的方式将流量发送出网络”.当然,我已经看到远程攻击被侵略性防火墙挫败,阻止了漏洞利用代码从FTP下载其有效载荷等.限制出口端口有一些价值.

尽管如此,任何事情都可以通过其他协议进行隧道传输(任意TCP over HTTP,SSH over DNS,IP over carrier pigeon等),因此限制出口端口以限制出口流量会产生一种虚假的安全感. .除非您正在对出口流量进行第7层检查,否则您无法确定在TCP端口80上发出请求出站的内容确实是HTTP客户端.即使它是一个HTTP客户端,除非你对第7层检查非常苛刻,否则它可能是通过HTTP隧道传输任意数据的HTTP客户端.

限制出口端口是一个好主意,但不要误以为它是一个主要的“安全胜利”. “智能”软件(applesioius或其他方式 – Skype是一个很好地处理过滤出口端口的程序的一个很好的例子)将在你周围工作.

顺便说一句,我不知道Facebook需要除HTTP和HTTPS之外的任何东西.

猜你在找的Linux相关文章