Linux

關閉沒有服務執行的埠的優勢

  • August 6, 2013

關閉沒有服務執行的埠是否有優勢?

在 iptables 級別終止連接而不是接下來會做什麼(我猜是作業系統),我可以獲得什麼。

我會走另一條路線並封鎖所有埠。在您需要服務時打開它們。這樣做的好處是,如果您在不知不覺中啟動了一項服務,您的機器就不會受到攻擊。

優點是您可以安全地使用該埠。許多程序將使用偽隨機埠,或者可以程式為使用埠。在任何一種情況下,如果您不關閉埠,它們可能會被其他主機訪問。

正如弗朗索瓦所說,封閉式政策更安全。從關閉所有埠開始,然後在適當的方向打開您需要的埠。需要您沒有或不想要本地伺服器的服務是很常見的。DNS 通常是必需的,但您不需要允許傳入請求。正確的網路功能需要幾種 ICMP 類型 (3,4,11),但可以安全地阻止其他類型。有選擇地啟用 (8) 是很常見的,如果數據包被接受echo,這應該啟用傳入的echo-reply(0) 消息。related

大多數防火牆建構器(例如Shorewall)將在其範例或預設規則集中允許這些埠。

引用自:https://serverfault.com/questions/528545