Seth Asked: 2014-06-08 18:07:07 +0800 CST2014-06-08 18:07:07 +0800 CST 2014-06-08 18:07:07 +0800 CST Watchguard 中的 TCP-UDP-Proxy 策略是否会给我带来安全问题? 772 我不记得看到过这个政策,因为在我看来它像是“所有端口都开放”之类的东西。它设置为默认“tcp:0(any) - udp:0(any)” 如果我禁用它,即使我专门启用了 HTTP 代理策略,即使 Web 流量也无法工作......这正常吗?异常?最佳做法是什么?我正在处理试图找到导致我这样做的crpytolocker病毒...... firewall 1 个回答 Voted Best Answer Grant 2014-06-09T07:07:00+08:002014-06-09T07:07:00+08:00 此规则允许任何传出流量和由内部机器启动的对话。设置这样的规则是相当普遍的。我认为大多数 watchguard 模型默认都有这个规则。 仅启用规则后,受信任端的计算机可以打开他们想要的任何连接。外部计算机可以回复,但不能发起连接。 我的猜测是,虽然你有一个 HTTP 代理策略(应该是从“任何可信”到“任何外部”),但你没有 DNS 流量规则——没有 DNS 解析,所以没有网络流量。 最佳做法是阻止一切,然后允许您想要的流量。对于典型的办公网络来说,这至少是 HTTP 和 HTTPS 流量(可选通过代理)、DNS(至少是您的内部 DNS 服务器连接到外部世界)和电子邮件流量(SMTP、POP3、IMAP、等等...取决于您使用的内容,并且可能只允许您的内部电子邮件服务器直接连接到外部世界)。 但是,保持这一点可能会令人沮丧。人们想使用 Adobe 进行视频会议,而承包商需要在非默认端口上访问他们的网站等。所以有些人选择允许所有传出连接,并担心过滤传入的内容。任何一种方式都可以可接受,这取决于您需要的安全程度、您对网络受信任端的信任程度以及您可以投入多少时间和精力来维护防火墙规则。
此规则允许任何传出流量和由内部机器启动的对话。设置这样的规则是相当普遍的。我认为大多数 watchguard 模型默认都有这个规则。
仅启用规则后,受信任端的计算机可以打开他们想要的任何连接。外部计算机可以回复,但不能发起连接。
我的猜测是,虽然你有一个 HTTP 代理策略(应该是从“任何可信”到“任何外部”),但你没有 DNS 流量规则——没有 DNS 解析,所以没有网络流量。
最佳做法是阻止一切,然后允许您想要的流量。对于典型的办公网络来说,这至少是 HTTP 和 HTTPS 流量(可选通过代理)、DNS(至少是您的内部 DNS 服务器连接到外部世界)和电子邮件流量(SMTP、POP3、IMAP、等等...取决于您使用的内容,并且可能只允许您的内部电子邮件服务器直接连接到外部世界)。
但是,保持这一点可能会令人沮丧。人们想使用 Adobe 进行视频会议,而承包商需要在非默认端口上访问他们的网站等。所以有些人选择允许所有传出连接,并担心过滤传入的内容。任何一种方式都可以可接受,这取决于您需要的安全程度、您对网络受信任端的信任程度以及您可以投入多少时间和精力来维护防火墙规则。