web-dev-qa-db-ja.com

WatchguardのTCP-UDP-Proxyポリシーにより、セキュリティの問題が発生しますか?

「すべてのポートが開いている」ようなもののように思えるので、このポリシーを見たのを覚えていません。デフォルトに設定されています "tcp:0(any)-udp:0(any)"これを無効にすると、特にHTTPプロキシポリシーを有効にしても、Webトラフィックでさえ機能しません...これは正常ですか?異常な?ベストプラクティスは何ですか?私はこれに私を導いたcrpytolockerウイルスを見つけようとしている...

1
Seth

このルールは、発信トラフィック、および内部マシンによって開始される会話を許可します。このようなルールを設定することはかなり一般的です。 Ithinkほとんどのウォッチガードモデルには、デフォルトでそのルールがあります。

ルールを有効にすると、信頼できる側のコンピューターは必要な接続を開くことができます。外部側のコンピューターは応答できますが、接続を開始できません。

私の推測では、HTTPプロキシポリシー(「Any-Trusted」から「Any-External」まで)はありますが、DNSトラフィックのルールはありません。DNS解決がないため、Webトラフィックはありません。

ベストプラクティスは、すべてをブロックしてから、必要なトラフィックを許可することです。少なくとも、一般的なオフィスネットワークの場合、これはHTTPおよびHTTPSトラフィック(オプションでプロキシ経由)、DNS(少なくとも、内部DNSサーバーが外部に接続するため)、および電子メールトラフィック(SMTP、POP3、IMAP、など...使用するものによって異なり、内部の電子メールサーバーが外部に直接接続することのみが許可される場合があります)。

ただし、これを維持することはイライラする可能性があります。人々はビデオ会議にAdobeを使いたいと考えており、請負業者はデフォルト以外のポートなどでWebサイトにアクセスする必要があります。そのため、すべての発信接続を許可し、着信するものをフィルタリングすることを心配する人もいます。許容範囲は、必要な安全性、ネットワークの信頼できる側をどれだけ信頼できるか、ファイアウォールルールの維持にどれだけの時間と労力を費やすことができるかによって異なります。

0
Grant