我正在阅读这篇文章以了解端口转发及其用途。尽管该线程非常清楚地解释了端口转发是什么,但在路由器上设置一个端口以将所有请求转发到网络上的计算机不会使该特定计算机易受攻击吗?
该线程简要介绍了它:
“ [...]你失去了那台计算机的安全层:它现在对来自互联网的传入连接完全开放,所以你需要保护它,就像它是直接连接的一样。当然,任何时候你转发一个端口,接收端的计算机在该特定端口上变得容易受到攻击。因此,请确保您运行配置良好的最新软件。 “
在这种情况下如何确保安全,因为据我所知,防火墙等所有安全工具都将在路由器上设置?
在最严格的意义上,但仅在该端口上有效(假设您正在谈论真正的端口转发,而不是通常不安全的家庭路由器“DMZ”设置)。这就是监听该端口的软件的安全性所在。假设软件配置正确并且没有任何未修补的漏洞(错误)可供攻击者利用,那么暴露该端口/设备可能相对安全。
正如评论中已经指出的那样,这部分不是关于典型的端口转发(指定转发单个或非常特定的端口范围),而是家庭路由器“DMZ”设置。“端口转发”通常会过滤所有未专门发送到转发端口的请求,而“DMZ”设置通常会转发所有连接周期,不进行任何过滤等。可以将差异想象为打开前门并坐在它旁边,而不是在您度假时将家中的每个门窗都解锁并敞开。
保持软件最新且配置良好意味着攻击者可能利用的漏洞(如本答案第一段所述)已在更新中修补或不可用,因此理想情况下不再可用于访问远程系统。
除了正确的软件配置和安全补丁之外,防火墙等也可以存在于接收 PC 本身(想想 Windows 防火墙)上,甚至可以存在于路由器和 PC 之间的专用防火墙设备上(因此路由器实际上会转发到该设备) ,然后设备会将过滤后的连接传递给服务器)。虽然肯定不是此类事情的唯一示例,但Sophos UTM Home是您可以安装在专用设备(例如旧 PC)上以提供此类安全性的软件示例。