iT邦幫忙

0

一般硬體防火牆,對外 大多要限制那些服務?

  • 分享至 

  • xImage

您好:
請問,一般FORTI防火牆,需要限制那些對外的服務
謝謝

看更多先前的討論...收起先前的討論...
不明 檢舉
你先提出你們公司會用到哪些服務吧,"預設"的立場是大家都一樣,可惜用防火牆的當下就不可能大家都一樣了,有些公司能開LINE,有些公司不能開LINE,一個一個舉例出來不知道要講到民國幾年了
DennisLu iT邦好手 1 級 ‧ 2024-05-04 21:36:29 檢舉
上網看網頁~
UDP 53 DNS
TCP 443 https
然後等人抱怨什麼不能用 或是什麼不正常
你就知道要開什麼了

有些公司是不給上網的,有些公司是都給上網...
要開那些,只有自己知道...
預設當然是全部關閉啊 ...
要開要看你們對外有提供什麼服務
沒有就是全關閉有的話要看什麼服務
例如 DNS MX WEB 這些比較常見,至於要開那些PORT或協定,看這些服務的設定
預設全關,連管理功能都盡量不開,然後按需求開啟虛擬主機或端口轉發
DennisLu iT邦好手 1 級 ‧ 2024-05-08 10:44:31 檢舉
中文很奧妙的
你直接寫
你是問
lan To wan
還是
wan To lan
好了

就像別的NAS論壇的
明明是只要不要讓NAS wan to lan ,
開始有人說NAS不要放上網裸奔>變成NAS不要上網(lan to wan都擋住) >最後解讀NAS有用再接上網路線最安 全(WTF?)
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
BKY
iT邦好手 1 級 ‧ 2024-05-03 11:11:15

防火牆規則建議採用正面表列的方式
就是預設全部關閉,再來開放需要對外的服務

noway iT邦研究生 1 級 ‧ 2024-05-03 13:46:06 檢舉

那有哪些服務一般 會開的謝謝

sd3388 iT邦好手 1 級 ‧ 2024-05-08 11:49:49 檢舉

Fortigate要看機型與OS版本
有些預設是lan to wan 全開

0
mytiny
iT邦超人 1 級 ‧ 2024-05-03 15:37:06

傳統的防火牆才會說要限制"服務"
事實上,限制服務是沒用的
而NGFW限制的是內容,
這才是防護的核心

樓主公司買的是Forti防火牆
請先開啟網頁過濾與應用程式控制
先一段時間讓所有內容通過但記錄
然後根據紀錄(所謂的威脅統計)再去做封鎖

網頁有網頁的類別,應用程式也有類別
當然如果公司沒有買授權
基本上NGFW就沒啥用
同時如果沒好的SI協助作業
大概想做深入細節的設定也會很難

0
WUcheap
iT邦研究生 4 級 ‧ 2024-05-03 15:50:05

防火牆在預設情況下會封鎖所有連接埠,但已知的幾個預先確定的常用連接埠除外。
例如
連接埠 20 和 21:檔案傳輸通訊協定 (FTP)
連接埠 22:安全殼層 (SSH)
連接埠 25:郵件傳輸通訊協定 (SMTP)
連接埠 53:Domain Name System (DNS)
連接埠 80:超文字傳輸通訊協定 (HTTP)
連接埠 123:網路時間通訊協定 (NTP)
連接埠 179:邊界閘道通訊協定 (BGP)
連接埠 443:HTTP 安全 (HTTPS)
連接埠 500:網際網路安全關聯和金鑰管理通訊協定 (ISAKMP)
連接埠 587:使用加密的現代化、安全的 SMTP
連接埠 3389:遠端桌面通訊協定 (RDP)

請依公司實際需求開啟

sd3388 iT邦好手 1 級 ‧ 2024-05-08 11:51:16 檢舉

並不是,你沒用過fortigate吧
Fortigate要看機型與OS版本
有些預設是lan to wan 全開

WUcheap iT邦研究生 4 級 ‧ 2024-05-08 13:31:49 檢舉

並不是的點是我內容有誤還是什麼呢?
[防火牆在預設情況下會封鎖所有連接埠,但已知的幾個預先確定的常用連接埠除外]是指安全上的認知,而非針對防火牆機器,還是有廠牌機器真的剛剛好只開我說的預設PORT

發問者沒特別說明,自然我也不會通靈
[有些預設是lan to wan 全開],所以代表有些全關,最後也補上依公司需要開放,並無不妥,特殊需要或許只開22或其他也說不定

0
chuway
iT邦新手 2 級 ‧ 2024-05-04 20:11:35

一般分成
內對外(SRC)及外對內(DST)
內對外(裡面設備連外上網)
1.幾乎不會管制
2.頂多對內部不需上網的終端或伺服器做限制(防止中後門對外傳輸)
3.應用程式管制如p2p,teamviewer
4.頻寬管理或備援

外對內(外面電腦連入內部伺服器)
1.固定IP/連接埠,如mail/web
2.特定用途伺服器(如ERP/DVR/表單):限制外部IP連入,公司外點
3.保守使用(LOG ONLY)攻擊防禦(IPS/WAF)

另外有些公司還會使用PPTP/L2TP供員工撥入VPN,
有些會使用Site2Site IPsec VPN(辦公室對辦公室)
高階一點還會使用上網稽核(側錄上網/Mail等)

0
bluegrass
iT邦高手 1 級 ‧ 2024-05-06 14:41:01

首先是要限制有防火牆知識的人去做操作/images/emoticon/emoticon19.gif

sd3388 iT邦好手 1 級 ‧ 2024-05-08 11:52:57 檢舉

哈哈!笑死!讚!

我要發表回答

立即登入回答