Остановит ли стандартный межсетевой экран NAT-маршрутизатор исходящий трафик?
Остановит ли стандартный межсетевой экран NAT-маршрутизатор исходящий трафик?
Я вижу, что брандмауэр остановит входящий трафик, но что остановит исходящий трафик в случае, если на компьютере установлено вредоносное ПО?
Является ли исключительно ответственность брандмауэра операционной системы, чтобы остановить исходящий трафик?
6 ответов
Вообще говоря, типичный домашний широкополосный маршрутизатор по умолчанию не накладывает никаких ограничений на исходящий трафик. Некоторые из них могут быть настроены для управления исходящим трафиком, некоторые имеют ограниченные исходящие параметры, но обладают довольно обширной способностью управлять исходящим.
Любой брандмауэр корпоративного класса или бизнес-брандмауэр будет абсолютно способен управлять исходящим трафиком, в том числе бесплатным (поиск по сайту, на брандмауэрах есть несколько постов).
Большинство системных администраторов сходятся во мнении, что для того, чтобы быть хорошим гражданином Интернета, необходимо управлять исходящим трафиком, а также управлять пропускной способностью и производительностью. Например, обычно исходящий SMTP и POP-трафик разрешен только с почтового сервера, чтобы предотвратить распространение спама на любых зараженных вредоносным ПО компьютерах. Или, если есть прокси-сервер для управления просмотром, исходящий веб-трафик разрешен только с прокси-сервера.
Большинство брандмауэров (с которыми я работал) имеют неявное правило разрешения, которое разрешает весь трафик из более защищенной сети (обычно внутренней ЛВС) в менее защищенную сеть (обычно Интернет), так что весь исходящий трафик разрешен из вашего внутреннего Локальная сеть к Интернету (или к DMZ) Обычно вам не нужно создавать явные правила, разрешающие исходящий трафик.
Большинство брандмауэров (с которыми я работал) имеют неявное правило запрета, которое запрещает весь трафик из менее защищенной сети (обычно Интернет) в более защищенную сеть (обычно внутреннюю локальную сеть), так что весь входящий трафик запрещается из Интернета. (или из DMZ) во внутреннюю локальную сеть. Обычно вам нужно создать явные правила, разрешающие входящий трафик.
Аппаратный брандмауэр не может легко отличить "хорошие" или "плохие" пакеты, поскольку все они приходят из одного и того же источника. Программный брандмауэр может определить, какое приложение сгенерировало пакет, поэтому он лучше подготовлен для их блокировки по желанию.
Для стандартных комбинированных маршрутизаторов и межсетевых экранов, выходящих за рамки розничной торговли, исходящий получает меньше внимания, чем входящий трафик. Последние несколько, которые я видел, также имели возможность ограничивать исходящие. Фокус полностью поменялся. На моем домашнем NetGear это позволяет входящий и блокирует исходящий. Я могу разрешить SSH на конкретный хост и запретить telnet исходящий. В этом смысле это не настоящий полнофункциональный межсетевой экран. Некоторые такие маршрутизаторы имеют возможность блокировать определенные внутренние IP-адреса от доступа к интернет-стороне таких устройств, хотя не все это делают.
Как и во многих других вещах, "это зависит".
От брандмауэра зависит, какой трафик может проходить в каком направлении, если вы не настроили никаких исходящих правил, то по умолчанию он, вероятно, разрешит все исходящие соединения.
"В случае вредоносного ПО" является отдельным, так как это может быть определено только самим ПК. (Если вы не инвестируете в N/IDS).
Существуют способы предотвращения исходящего трафика, если не участвует человек, см. http://en.wikipedia.org/wiki/Captive_portal
В случае вредоносного ПО на хосте, какой смысл блокировать исходящий трафик с помощью брандмауэра той же машины? Проницательный автор вредоносных программ будет использовать любые средства (стандартные API для правил исключений или что-то подобное руткиту), чтобы позволить ему общаться с Интернетом.
Попробуйте найти такой трафик - с маршрутизатора, а не с хоста.