ファイアウォールがあります(脳脊髄液)、着信および発信TCPポートを個別に許可できます。私の質問は、誰かがなぜ欲しいのかです。どのアウトバウンドポートは閉じていますか?
私は基本的にあなたがおそらく欲しいことを知っていますみんなポート着信接続のために閉じる。 HTTPサーバーを実行している場合は、ここでポート80を開く必要があります。 FTP サーバーをアクティブモードで実行するには、ポート 21 を開く必要があります。ただし、手動 FTP モードに設定されている場合、FTP クライアントのデータ接続を受け入れるには多数のポートが必要です。追加サービスには等が必要です。しかし、それはすべてです。サーバーが提供する特定のサービスに関連していない残りのポート、特にデフォルトではクライアントシステムの場合は閉じる必要があります。
しかし、薬発信接続?アウトバウンド接続の宛先ポートを閉じると、セキュリティ上の利点はありますか?私がこの質問をしたのは、最初に着信接続に対してすべてのポートを閉じる非常に似たポリシーが適用される可能性があると考えたからです。しかし、例えばパッシブFTPモードでクライアントとして機能する場合、任意の高いポートがFTPサーバーに接続しようとすることに気づきました。したがって、クライアントがこれらの高いポートをブロックすると、そのクライアントで手動FTPが効果的に無効になります。これは迷惑なことです。すべてを公開したいのですが、これがセキュリティの脅威になる可能性があることが心配です。
そうですか?これは悪い考えですか、それとも手動FTPなどのサービスを容易にするために発信接続のためにすべて(または多くの)ポートを開くことには明らかな欠点がありますか?
ベストアンサー1
誰かが出てくるポートを閉じたいと思う理由はいくつかあります。以下は、異なる時間に異なるサーバーに適用したいくつかの点です。
- コンピュータが企業環境にあり、トラフィックがプロキシを通過するアウトバウンドWebトラフィックのみが許可されます。他のすべてのポートは必要ないため、閉じています。
- マシンは実行可能なコード(PHP、Ruby、Python、Perlなど)を持つWebサーバーを実行しています。可能なコード欠陥を軽減するために、意図されたアウトバウンドサービスのみが許可されます。
- コンピュータで実行されているサービスまたはアプリケーションはリモートリソースに接続しようとしますが、サーバー管理者はそれを望んでいません。
- 模範的なセキュリティ慣行:明示的に許可されていないコンテンツは拒否する必要があります。