Блокировка исходящего трафика обычно помогает ограничить действия злоумышленника после того, как он скомпрометировал систему в вашей сети. Блокировка исходящего трафика может помочь предотвратить это, так что это не столько остановит вас от заражения, сколько сделает его менее опасным, когда это произошло.
Почему рекомендуется блокировать неиспользуемые исходящие порты?
Потому что вы хотите ограничить, но не предотвратить доступ
Хотя это и не является надежной мерой безопасности, устраняет большую часть вредоносного трафика, позволяя вам сосредоточиться обратите внимание на более продвинутых злоумышленников.
Должны ли быть заблокированы входящие соединения?
В целом, это почти то же самое. Входящие соединения с программами блокируются, если они не находятся в списке разрешенных … У вас также есть профиль общедоступной и частной сети для брандмауэра, и вы можете точно контролировать, какая программа может взаимодействовать в частной сети, а не в Интернет.
Какие порты всегда должны быть заблокированы?
Например, Институт SANS рекомендует блокировать исходящий трафик, использующий следующие порты:
- MS RPC – порт TCP и UDP 135.
- NetBIOS/IP – порты TCP и UDP 137-139.
- SMB/IP – порт TCP 445.
- Простой протокол передачи файлов (TFTP) – порт UDP 69.
- Syslog – порт UDP 514.
Что такое исходящие соединения?
Исходящие относится к соединениям, исходящим к определенному устройству с устройства/хоста. например Веб-браузер, подключающийся к вашему веб-серверу, является исходящим соединением (к веб-серверу)