任何人都可以确认在端口 80 上使用持久的传出 TCP 连接不会被绝大多数消费者防火墙阻止吗?
这是基于 HTTP 在 TCP 上运行的事实的假设,但当然理论上可以分析数据包。问题是大多数消费者防火墙是否这样做?
问问题
8340 次
3 回答
4
该功能称为 ALG,即应用层网关。这是防火墙知道甚至可能参与应用程序协议的地方
防火墙可能执行此操作的主要原因有两个:
- 协议支持,为了支持协议,必须监听/参与,例如为非被动 FTP 开放额外端口或为 SIP+SDP 开放媒体端口
- 额外的安全性,ALG 可以充当透明代理并过滤协议命令和操作以执行策略。例如阻止 HTTP CONNECT 方法
多年来,ALG 一直是状态防火墙的共同特征,但通常是不稳定的根源。
对于安全禁止环境,期望 HTTP 由防火墙或其他专用策略实施设备验证和过滤。
住宅宽带路由器往往不具备高级防火墙功能。我会惊讶地发现在端口 80 上有 HTTP 验证/过滤。
个人软件防火墙有两种类型,基本的和高级的。大多数消费者都会有一个基本的,可能是他们的操作系统附带的,不会做任何 HTTP 验证/过滤。
但是,用于威胁防护的高级 Internet 内容过滤的防病毒产品差异化呈上升趋势,这些产品很可能会过滤 HTTP 活动(但很难从其功能列表中确定)。
于 2012-05-16T08:18:46.303 回答
2
除了“它取决于”之外,几乎不可能用任何其他东西来回答这个问题。
大多数领先的防火墙供应商解决方案将通过他们的配置来做到这一点。
您会发现偏执的组织(金融、政府、军事、赌博等)通常会启用此类应用程序智能。他们会将流量检测为无效的 HTTP,因此出于安全和性能原因将其阻止。
这种类型的功能(这些天)通常默认打开,如您所知,大多数人在供应商或顾问离开后不会更改默认配置。
但是,一些技术人员不了解或没有决策权的公司会关闭此类应用程序智能,因为它会干扰业务,即内部应用程序或外部应用程序(在局域网上运行并连接回来) ,作为定制解决方案开发,在 TCP 端口 80 上工作(嘿,它总是打开的)并且是非 http 的。
不过,您不必担心防火墙,大多数公司运行内部代理服务器来处理传出流量,这些通常现在只允许端口 80 上的有效 HTTP,并且它们的配置不会更改,因为基础架构通常会请求代理服务器,并且安全团队,他们不希望端口 80 上的非 http。此外,还有负载平衡器,它们通常配置为端口 80 上的 HTTP,原因有多种,例如内容切换、重写、负载平衡和安全性.
总而言之,根据我的经验,这是肯定的,但我与中小企业,主要是大型企业合作不多。
于 2012-05-16T08:40:45.400 回答
0
端口 80 被许多防火墙阻止,例如,您必须添加例外,例如我允许 Skype 或 msn messenger 使用端口 80 传输流量
于 2012-05-16T08:05:30.877 回答