ポート80で永続的な発信TCP接続を使用しても、大多数のコンシューマファイアウォールによってブロックされないことを誰かが確認できますか?
これは、HTTPがTCP上で実行されるという事実に基づいた仮定ですが、もちろん、理論的にはパケットを分析することは可能です。質問は、ほとんどのCONSUMERファイアウォールがこれを行うかどうかです。
質問する
8340 次
3 に答える
4
この機能は ALG、Application Layer Gateway と呼ばれます。これは、ファイアウォールがアプリケーション プロトコルを認識し、おそらく参加する場所です。
ファイアウォールがこれを行う主な理由は 2 つあります。
- プロトコルのサポート。プロトコルをサポートするには、スヌープ/参加する必要があります。たとえば、非パッシブ FTP 用の追加ポートを開くか、SIP+SDP 用のメディア ポートを開きます。
- 追加のセキュリティとして、ALG は透過的なプロキシとして機能し、プロトコル コマンドとアクションをフィルタリングしてポリシーを施行することができます。例: HTTP CONNECT メソッドの防止
ALG は長年にわたってステートフル ファイアウォールの一般的な機能でしたが、多くの場合、不安定性の原因となっていました。
セキュリティの厳格な環境では、HTTP がファイアウォールまたはその他の専用のポリシー適用アプライアンスによって検証およびフィルタリングされることを期待してください。
家庭用ブロードバンド ルーターには、高度なファイアウォール機能が備わっていない傾向があります。ポート 80 で HTTP 検証/フィルタリングを行っているものを見つけたら驚くでしょう。
パーソナル ソフトウェア ファイアウォールには、ベーシックとアドバンストの 2 種類があります。ほとんどのコンシューマーは、おそらくオペレーティング システムに付属している基本的なものを持っており、HTTP 検証/フィルタリングを行いません。
ただし、脅威保護のための高度なインターネット コンテンツ フィルタリングのアンチウイルス製品の差別化が増加傾向にあり、これらが HTTP アクティビティをフィルタリングする可能性がかなりあります (ただし、機能リストから確実に判断することは困難です)。
于 2012-05-16T08:18:46.303 に答える
2
この質問に「場合による」以外で答えることはほとんど不可能です。
ほとんどの主要なファイアウォール ベンダー ソリューションは、構成を通じてこれを行います。
偏執的な組織 (金融、政府、軍隊、ギャンブルなど) では、通常、このようなアプリケーション インテリジェンスが有効になっています。トラフィックが無効な HTTP として検出され、セキュリティとパフォーマンスの両方の理由からブロックされます。
このタイプの機能は (最近では) 通常デフォルトで有効になっており、ご存じのとおり、ベンダーやコンサルタントが退職した後、ほとんどの人はデフォルト設定を変更しません。
ただし、技術者が理解していないか、意思決定に力を持たない一部の企業は、ビジネスに干渉するため、そのようなアプリケーション インテリジェンスを無効にします。 、オーダーメイドのソリューションとして開発され、TCP ポート 80 (常に開いている) で動作し、http ではありません。
ただし、ファイアウォールについて心配する必要はありません。ほとんどの企業は、送信トラフィック用に内部プロキシ サーバーを実行しています。これらは通常、ポート 80 で有効な HTTP のみを許可し、プロキシ サーバーは通常、インフラストラクチャによって要求され、構成は変更されません。セキュリティ チームは、ポート 80 で非 HTTP を使用したくありません。さらに、ロード バランサーもあり、コンテンツの切り替え、書き換え、負荷分散、セキュリティなどのさまざまな理由から、通常はポート 80 で HTTP 用に構成されています。 .
要約すると、私の経験では、それはイエスですが、中小企業、主に大企業とはあまり仕事をしたことがありません。
于 2012-05-16T08:40:45.400 に答える
0
ポート 80 は多くのファイアウォールによってブロックされています。たとえば、Skype や msn メッセンジャーが発信トラフィックにポート 80 を使用できるようにするなどの例外を追加する必要があります。
于 2012-05-16T08:05:30.877 に答える