主页 / server / 问题 / 7513
Accepted
Guy
Asked: 2009-05-13 10:12:28 +0800 CST

基于家庭的系统应该使用哪些防火墙规则[关闭]

  • 772

我只是建立一个连接到互联网的家庭无线网络。路由器具有配置防火墙规则的设置。

目前它设置为 INBOUND ALL ANY 和 OUTBOUND ALL ANY。

我应该设置什么规则(如果有的话)来降低妥协的风险?连接的笔记本电脑是 Vista 和 XP。我们只有简单的浏览需求,我可以只打开以下入站端口吗?

80 HTTP
21 FTP
443 HTTPS

这对于正常的网页浏览是否足够?我应该设置任何出站规则吗?

不希望使用 POP 或 SMTP

networking security port

4 个回答

  1. Best Answer

    您应该不允许站流量。您应该允许您将使用的协议的出站流量。您的列表很好,但如果您想同步时间,您可能需要添加 DNS 和 NTP。

    请注意(根据定义)TCP/IP 是双向的。这里所说的方向性是发起连接的方向。这意味着.. 如果您浏览到 www.serverfault.com,您的 PC 会将 HTTP 流量发送到 serverfault.com 的 IP 地址。防火墙将识别出响应即将到来,并且该响应将被允许返回您的 PC。但这被称为“出站”流量,您不需要考虑大多数防火墙中的响应。

    建议:使用 Steve Gibson 的Shields Up站点来测试防火墙上允许的内容以及有关哪些服务在做什么的大量信息。

    • 8

  2. 丢失入境允许任何!唯一的理由是主动 FTP,但您可以使用被动 FTP。我个人允许任何出站。

    如果只是简单的浏览,那么您应该对现有的浏览器感到满意。唯一的区别是当网页中的小程序或插件想要通过 HTTP/HTTPS 以外的方式直接与其家庭服务器通信时。

    • 4

  3. 正如 squillman 所说,立即删除入站的任何内容。

    假设防火墙是有状态的,您所需要的只是“允许任何出站”;应该允许返回流量通过,因为它们将与连接表中的现有连接相匹配。

    你知道路由器的型号吗?看看它的默认路由/NAT/端口转发配置是什么会很有趣。

    • 1

  4. [出境]

    我建议您通过在防火墙上应用出口过滤规则来开始练习一些好的互联网邻居礼仪。几乎可以关闭客户端在受到攻击时可能使用的常用端口(传出)。这是一个更好的解释:

    出口过滤可防止您(和您的客户)将不需要的流量发送到 Internet。这可能包括泄露私有地址空间或阻止试图与远程主机通信的受感染系统。出口过滤还可以帮助防止由于配置错误以及一些网络映射尝试而导致的信息泄漏。最后,出口过滤可以防止内部系统执行出站 IP 欺骗攻击。

    适用于这种做法的常见端口是:

    • SMTP(防止向全世界发送垃圾邮件)
    • DNS(防止 DNS 劫持)
    • 中小企业
    • ICMP哎呀……忘了我的帖子是关于出口的!PMTUD (ICMP: rfc792 )

    ..你明白了。

    • 1

相关问题