作者 主題: [問題]防火牆與port 80  (閱讀 13105 次)

0 會員 與 1 訪客 正在閱讀本文。

靖安

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
[問題]防火牆與port 80
« 於: 2005-03-30 17:46 »
想請教一下大家防火牆為什麼預設都不擋port 80啊?
除了說大家預設都是用port 80上網,預設擋住的話會比較不方便之外,還有別的原因嗎
畢竟不是只要有開放port就有多一分被入侵的危險嗎?  :roll:

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
[問題]防火牆與port 80
« 回覆 #1 於: 2005-03-30 19:04 »
你只要在公司做個實驗把 80埠擋掉
很快你就會有答案了

開放80埠是必須的
但是不代表就讓它為所欲為
這也是我上課一再強調蝦米防火牆都已經沒啥用
IPTABLES在實務上已經無能為力的原因
佈線深似海!
網路高如天!

靖安

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #2 於: 2005-03-30 19:11 »
這個嘛...因為我本身不是網管人員,所以大概找不到那個單位願意借我擋一下port80吧 :roll:

那可以請zman直接指點一下,或者有沒有那幾篇文章有提到防火牆開放port 80的必要性呢? :D

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #3 於: 2005-03-30 20:53 »
不懂防火牆的
千萬不要任意動防火牆
不然會到處被叫去夾卵蛋
千真萬確
無庸置疑

至少去了解一下tcp/ip與internet service
你就大概知道防火牆的作用
多見者博,多聞者智,拒諫者塞,專己者孤

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[問題]防火牆與port 80
« 回覆 #4 於: 2005-03-30 22:49 »
現在不是有第 8 層或 7+ 層了嗎?
很多都是包在 http packet 裡. 這對 firewall 來說, 的確很成問題.

前一陣子, 不是有個日本人弄了個 virtual hub 的東東出來嗎?
啥 firewall 都沒用, 只要你要開放他們的 L7 packet 的話...

dnl

  • 可愛的小學生
  • *
  • 文章數: 21
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #5 於: 2005-03-31 15:01 »
引述: "netman"
前一陣子, 不是有個日本人弄了個 virtual hub 的東東出來嗎?
啥 firewall 都沒用, 只要你要開放他們的 L7 packet 的話...


http://www.softether.com/jp/  這個嗎?

不過開發者也很貼心的提供了專用的 sniffer 和 blocker 啊 :p

cmwang

  • 活潑的大學生
  • ***
  • 文章數: 322
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #6 於: 2005-03-31 17:40 »
ipp2p有根據payload處理p2p traffic的功能,不過要是遇到像softether這類加密過的traffic恐怕就很難搞了 :o  :o ....
不要,不要,我不要這種顏色的帽子 ;D ;D....

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
[問題]防火牆與port 80
« 回覆 #7 於: 2005-03-31 21:26 »
正規的企業MIS不應該有如何擋SOFTETHER的旁門左道想法
大家想一下如何改變自己的錯誤觀念
我旅遊回來再公佈答案
佈線深似海!
網路高如天!

coffeefish

  • 鑽研的研究生
  • *****
  • 文章數: 572
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #8 於: 2005-04-01 21:46 »
我覺得那是使用負向表列的方式管理公司內部網路活動,
為啥不反各方向『有哪些是公司允許的網路活動』,除了允許的以外都禁止,那就簡單了啊!

dean

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1279
  • 性別: 男
  • 有些人,有些事,值得.
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #9 於: 2005-04-02 01:16 »
引述: "coffeefish"
我覺得那是使用負向表列的方式管理公司內部網路活動,
為啥不反各方向『有哪些是公司允許的網路活動』,除了允許的以外都禁止,那就簡單了啊!


如果公司允許使用者上網查資料,則port 80肯定要放行,那麼Softether就挖洞出去了.就算不給port 80放行,難保不會出現一隻會自己找洞鑽的挖洞程式.除非公司不上INTERNET.
如果放行某些Port,但進行目標網域限制,或許可行,但僅限那種很"孤獨"的公司..試想一個行銷部門透過Google找資料,三不五時要來knock knock 要求放行某些目標網域,這將會製造出更多的管理成本.
企業各類管理大部份跟人有關,IT方面的管理也不例外.
設定這個擋那個是個永無止境的道魔遊戲.今天有Softether,就算附上了 filter,哪天冒出個變種怎麼辦?且這類軟體不只該擋,而是連灌都不給灌.
在面對一個有可能被人為製造的Trouble 我們通常會設計主動與被動防範措施,然而主動的部份卻常常被以技術本位的人們所遺忘,或許是因為機器再難搞也不會比人難搞.但現實上使用者再教育與制度面的控管也是不可忽視的.

當然不是說主動防範一定優於被動,但肯定的是兩者缺其一的話你就會很累.

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
[問題]防火牆與port 80
« 回覆 #10 於: 2005-04-03 02:05 »
引述: "dean"
設定這個擋那個是個永無止境的道魔遊戲.今天有Softether,就算附上了 filter,哪天冒出個變種怎麼辦?且這類軟體不只該擋,而是連灌都不給灌


呵呵 好球友 這麼快就帶領大家到正確的方向
佈線深似海!
網路高如天!

dean

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1279
  • 性別: 男
  • 有些人,有些事,值得.
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #11 於: 2005-04-03 03:51 »
^^ || 呵,瞎貓終於碰到死耗子了..

離題一下~
說到球友,一個辣姊球友報給我一家1分鐘10元的球店.呵,Z嫂不會來這邊看文章吧!!??

jlovet

  • 憂鬱的高中生
  • ***
  • 文章數: 126
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #12 於: 2005-04-06 19:26 »
靖安:

你說的公司擋port 80 是說不讓人家連到外部的port 80

而不是說不讓別人連進來自己機器的port 80

還有...不是擋掉越多就越安全吧...

要看你的機器上面跑的是什麼服務..安全應該是要更新server才是喔

coffeefish

  • 鑽研的研究生
  • *****
  • 文章數: 572
    • 檢視個人資料
[問題]防火牆與port 80
« 回覆 #13 於: 2005-04-07 21:49 »
引述: "dean"
引述: "coffeefish"
我覺得那是使用負向表列的方式管理公司內部網路活動,
為啥不反各方向『有哪些是公司允許的網路活動』,除了允許的以外都禁止,那就簡單了啊!


如果公司允許使用者上網查資料,則port 80肯定要放行,那麼Softether就挖洞出去了.就算不給port 80放行,難保不會出現一隻會自己找洞鑽的挖洞程式.除非公司不上INTERNET.
如果放行某些Port,但進行目標網域限制,或許可行,但僅限那種很"孤獨"的公司..試想一個行銷部門透過Google找資料,三不五時要來knock knock 要求放行某些目標網域,這將會製造出更多的管理成本.
企業各類管理大部份跟人有關,IT方面的管理也不例外.
設定這個擋那個是個永無止境的道魔遊戲.今天有Softether,就算附上了 filter,哪天冒出個變種怎麼辦?且這類軟體不只該擋,而是連灌都不給灌.
在面對一個有可能被人為製造的Trouble 我們通常會設計主動與被動防範措施,然而主動的部份卻常常被以技術本位的人們所遺忘,或許是因為機器再難搞也不會比人難搞.但現實上使用者再教育與制度面的控管也是不可忽視的.

當然不是說主動防範一定優於被動,但肯定的是兩者缺其一的話你就會很累.


對不起,我表達的不是很好!在此補充一下我的看法,
我把『有哪些是公司允許的網路活動』特別括號起來,所要表達的只的並非是一般我們在做網管所稱的TCP PORTS,而是如IE上網、outlook express的POP3收信......等等的活動,而針對這些活動作一個定義及管制。
前一陣子有跟國內一家防火牆公司討論到他們的產品,覺得他們的IDEA不錯。他們的軟體是在USER端裝設控管軟體,配合他們的防火牆做一個控管。看哪些軟體是經過『MIS部門認證』可以擁有網路活動通過防火牆,其餘的全都DENY掉,如此便可以有效的控管『對外』網路活動。
如此便控管到哪些軟體可以使用網路了!那既然是管制軟體,我想有一個不錯的產品『還原卡』,應該也不錯用(MIS人員可能要承受很多壓力)。再不然使用如Citrix 的系統應該也是不錯的選擇。只是有哪些公司有意願及能力呢?