我看到我之前的问题已关闭,因为为什么要使用防火墙阻止传出网络流量?. 每个人都同意的答案提到了阻止传出连接的价值(以限制恶意软件的 call-home-and-get-additional-instructions 能力),但没有那么多使用端口白名单的有效性,其中包括HTTP 和 HTTPS。这个新问题要求在该领域给予更多关注。
显然传入的连接必须被阻止。(地址+端口组合的白名单除外 - 例如,如果您在网络上运行网络服务器)
要求:假设必须允许网页浏览(保持 HTTPS 和 HTTP 和 DNS 开放)......下面的分析是否正确?(请记住,以下所有这些都是除了 IP 地址的白名单,这对于阻止 DNS 和 SMTP 很有用,但对于阻止 HTTP 和 HTTPS 是不可接受的)
- 限制 SMTP将具有重要的实际价值。
- 限制 DNS会有一点实际价值。
- 拥有一些端口白名单并阻止所有其他端口具有一些真正的价值,因此只是“弥补”端口的机器人编写者将不会成功。
- 在某个时间级别上打开额外的端口不是安全风险。如果您已经打开了 HTTP/HTTPS,那么通过限制诸如 NTP、FTP、WHOIS 之类的东西,您将不会获得可衡量的优势。
- 在使用 HTTP/HTTPS 之前要求代理将是唯一真正的方式(鉴于上述要求)具有重要的实际价值,特别是如果您在浏览器级别配置代理(机器人将寻找代理配置的第二或第三位置),而不是计算机范围的级别(机器人将首先查找代理配置)。(您可能需要为 Windows 自动更新添加地址白名单,这样就不需要代理了)
这种分析是否存在不准确之处?这个分析应该有更多内容吗?