允許通過防火牆的出站埠 - 核心要求
如果我只想為出站流量啟用 HTTP、POP3、IMAP4、SMTP 功能(即站點上沒有託管伺服器),是否需要打開其他埠才能使這些功能正常工作(例如 DNS UDP 埠)?
另請參閱:始終打開的出站埠
如果下面的一些答案看起來很奇怪,請查看這篇文章的編輯——我刪除了很多似乎完全徵求不同問題答案的細節。
如果您“…與我們幾乎無法控制的一個或多個其他組織共享網際網路連接,除了 ASA 上的配置。”,您是否認為您至少應該向他們詢問他們可能的特定需求有?我不確定您的設置是什麼,但我之前一直處於“共享”網際網路連接的情況,您需要先諮詢他們,而不是任意阻止除您的組織需要的埠之外的所有內容,否則您可以如果您僅僅因為不想先詢問他們而阻止其他組織之一的業務所需服務,那麼您將面臨訴訟……
編輯由於完全修改的問題
- HTTP - TCP:80
- HTTPS- TCP:443
- POP3 - TCP:110(安全 POP 通常為 TCP:995)
- IMAP4- TCP:143(安全 IMAP 通常為 TCP:993)
- SMTP - TCP:25(安全 SMTP 通常為 TCP:465)
- DNS - UDP:53(外部查找)
這些服務可以在其他埠上,但這些是標準埠。有些人提到了 8000 範圍內的其他 HTTP 埠,這是可能的,但公共站點通常不會這樣做。同樣,您應該監控流量並在打開它們之前查看是否需要其他埠。
如果您確定您的公司確實使用了這些埠(您有使用者通過 POP3、IMAP 連接到外部郵件伺服器,並直接通過 SMTP 埠發送郵件),您可能應該注意他們連接到的外部 IP 並限制ACL 僅適用於防火牆上的那些 IP。如果您的任何使用者感染了郵件蠕蟲或其他類似病毒,這將在一定程度上限制您的暴露。
對於 DNS 查找,根據您的設置,只有您的內部 DNS 伺服器(如果您使用 AD,則為 AD DC)會進行任何查找,並且您的客戶端會將它們用作其 DNS 伺服器。您通常還會知道他們正在使用哪些外部 DNS 伺服器,並將其出站查找限制為僅用於轉發的那些外部 DNS 伺服器。如果您的客戶端自己進行查找,那麼您可能會再次知道他們將訪問哪些外部 DNS 伺服器,並將其出站連接限制為僅這些外部伺服器。
在所有這些 ACL 設置中,您只需要允許服務的埠出局。任何有狀態的防火牆(我相信您在編輯之前提到過您有 ASA 5505s?)將辨識來自外部的響應並將其作為已建立的會話(並拒絕沒有建立會話的連接)。