这很常见，而且很糟糕。

我过去已经解决了这个问题。在一个大型金融组织中，两年内每周大约需要 4 个小时。

• 第 1 步：批准并传达新政策以阻止未经批准的 P2P 应用程序。阻止他们。
• 第 2 步：监控出站端口 25，识别合法流量，与发起它的团队交谈，修复它或创建例外。实施新规则。
• 第三步：安装代理。对端口 80 和 443 重复步骤 2（代理除外）
• 第 4 步：监控用户段的其他出站流量。与团队沟通，记录异常情况。
• 第 5 步：阻止用户段中的所有其他出站内容。
• 第 6 步：监控 DMZ 段的其他出站流量。与团队沟通，记录异常情况。
• 第 7 步：阻止 DMZ 段中的所有其他出站。

每一步都会逐步提高您的安全性，并使公司更适应这些变化。您需要在问题出现时对其作出反应。这会消耗更多的时间。

一次改变它可能会奏效......但这将是地狱，最后，你将没有流程和文档来展示它，只有团队在深夜尖叫XYZ坏了或Dobson 报告不再生成。

如果您谈论的是一个非常小的组织，请立即完成所有工作，让人们尖叫。您可以快速响应而无需职责分离，因此更具成本效益。

在大型组织中，一切都是变更记录或事件。破坏事物将比您费力地完成这一切要昂贵得多。

您的意见分歧正是关于网络访问控制的两种不同理念之间的差异。这些理念还展示了安全性和可用性之间的经典权衡。

黑名单，类似于您的防火墙管理员的立场，是一种允许除已定义的流量模式列表之外的所有流量模式通过的做法。就可用性和管理而言，这是最容易做到的，但相当不安全和幼稚。声称黑名单是安全的，就是假设您知道网络中所有可能的威胁，并将它们全部添加到您的拒绝列表中。要知道所有可能的威胁显然是不可能的，即使那样，选择性地将所有这些威胁包括在拒绝列表中也会导致列表庞大且难以管理。

白名单，你被“提出”（可以这么说）的哲学，是完全相反的。它假定所有流量都应该被拒绝，除了在您的允许列表中指定的流量。这是更安全的选择，但也会对可用性和管理开销产生很大影响。它基于“最少原则......”安全规则 - 您只允许您的用户/计算机/程序/等。去做他们真正需要做的事情。这样做的好处是您确切地知道您的网络是什么允许做。虽然仅此一项并不能让您免受所有威胁，但它会帮助保护您免受大部分未知因素的影响。仍然有方法可以规避这一点（例如：通过允许的端口/协议进行隧道传输），但这比针对黑名单的方法要困难得多。当然，这种方法的缺点是，在仍然保持“最少……原则”规则的同时，解决网络应用程序的问题通常会更加困难。

每种方法都有其优点和缺点。最后，由您（或您公司的高管）决定哪种方法对您的组织最合理。一种良好的纵深防御方法，包括除外围防火墙之外的保护措施，对于减轻您选择的任何防火墙配置或硬件造成的风险也至关重要。

在防火墙 ACL 底部有一个隐式拒绝是标准的。他在允许所有传出流量方面很懒惰。这是僵尸网络的梦想。

基本上，如果您感染了一台机器，该机器现在可以在任何端口上发起与命令和控制服务器的对话。

• 或者，如果您有一个代理，人们必须通过过滤，他们可以关闭代理并绕过您的过滤。
• 或者他们现在可以绕过您的电子邮件防火墙并直接发送垃圾邮件。
• 或者他们可以绕过您在电子邮件防火墙上设置的数据丢失防护。

地狱你的安全区在这一点上并不重要，因为他有一个隐含的允许。因此，如果攻击者在您的网络上获得了一个盒子，则该盒子可以进入其中的任何位置。哦，可能性。纯粹的天才。

从有状态的角度来看，默认情况下允许所有新的传出连接是常见的。这个想法是用户正在与网络外部的服务器建立新的连接。如果您使用白名单方法并且只允许端口 80 和 443 出局，那么您确实会阻止诸如僵尸网络之类的东西在您的网络中使用它们的立足点在非标准端口 (6667) 上调用家，除非它们使用端口 80，这几乎是始终打开。

关于允许所有新的传出连接的量化风险可能有一个有效的讨论，但“更安全”的方法是将传出连接列入白名单，即使你并没有保护你的网络，而不是允许它们全部。

就我而言，我很想知道什么流量在异常端口上传出，并知道正在传达什么，但我有资源使该分析对我有价值。