数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装学
法学出口过滤如何防止网络攻击?
出口过滤是一种监控或限制数据外出的实践,通常使用防火墙来阻止不符合特定安全标准的数据包。“出口”的意思是“外出”,出口路由器允许数据包从一个网络退出并进入另一个网络。
出口过滤的主要目标是防止不需要的或有害的流量(例如恶意软件、非法电子邮件或对网站的请求)离开网络。例如,防火墙可以用来防止大学校园网上的学生从网络上的任何机器发送病毒或侵犯版权的内容。出口过滤也可以用于只允许公司网络上的特定服务器或电脑传输数据到网络外部。此安全措施可以帮助防止员工使用公司电脑进行私人通信或休闲上网。
出口过滤是一种网络安全策略,它使用防火墙过滤外发数据,然后将其发送到另一个网络,从而防止所有非法流量离开。
为什么要使用出口过滤?
出站或出口控制保护内部资源免受对互联网上潜在有害端点的未授权访问。只有受信任的站点才能通过受良好保护的 VPC 访问,从而降低数字服务与任何不良实体交互的可能性,并防止服务器内可能发生的任何感染向其命令和控制位置“打电话”。
深入探讨出口安全和过滤
出口过滤限制了绑定到外部实体并通过主机网络边缘路由器到达其目标节点的数据量。在允许出站连接之前,必须评估许多策略或过滤器规则集;否则,有害主机可能是您计算机之一请求的对象。通过只允许 VPC 中实例到互联网的 IPv6 出站通信,仅出口互联网网关可以防止互联网与您的实例建立 IPV6 连接。
仅出口互联网网关将子网实例中的流量转发到其他 AWS 服务或互联网,并发送回响应。单用途互联网网关是使用 amazon VPC 控制台构建的。
出口过滤可以使用多种方法实现,包括反欺骗过滤器,这些过滤器可以防止流量使用伪造的源地址(例如分布式拒绝服务攻击生成的源地址)离开网络。由于某些服务通常保留用于内部网络,并且可能与漏洞利用相关联,因此需要针对仅内部服务的过滤器。过滤经常与恶意活动相关联或应限制为少量已知主机的服务。
由于 AWS VPC 具有 NAT 网关但具有本机 AWS IP 地址限制,因此出口流量过滤可以帮助防止网络资产中的数据泄露。由于采用了“拒绝所有”出站策略、数据包过滤器或防火墙规则,因此除了在出口流量执行策略中定义的服务外,没有任何东西会在未经明确许可的情况下离开网络。
通过限制性粒度规则,管理员可以访问网络和系统。通过创建仅允许来自分配给内部网络的 IP 网络号的源地址通过防火墙的 IP 欺骗策略,限制可以将数据发送到互联网的地址。
应禁用任何不应连接到互联网服务器的网络段或 VLAN。不应建立到 DROP(不路由或对等)或 BGP 过滤器列表中列出的目标的出站连接。由于 Web 代理为 HTTP 提供 URL 和内容过滤,因此仅允许通过防火墙的代理进行出站连接。对于通过以太网协商和交换 PPP 的防火墙,阻止防火墙中的路由协议至关重要。
出口过滤最佳实践
以下是出口过滤的一些最佳实践:
尽可能使用代理
如果您在网络中使用代理断点,则防火墙只能接受来自少数代理的流量,而不是整个网络的流量。这减少了到达防火墙的流量量,并为您的出站流量提供了额外的安全层。
使用防火墙配置审计软件
如果防火墙一开始没有为输出过滤设置,则规则集很可能设置为允许未过滤的出站流量。但是,由于大多数防火墙都有几十条甚至数万条防火墙规则,因此手动扫描它们以查看哪些规则容易受到攻击是不切实际的。您可以使用防火墙规则集解析器针对防火墙规则集(例如启用出站高风险流量和开放端口的规则)快速发现防火墙中的风险。对这些风险进行心理画像,并评估使用它们的系统。
防火墙出站规则:业务理由
创建一项策略,声明所有未来的出站规则都必须记录业务原因,包括这些规则的制定原因、谁使用它们、哪些应用程序和系统使用它们以及谁拥有原始业务流程。这不仅对审计有用,而且也有助于理解防火墙规则,尤其是在它们允许数据包离开网络时。
检查安全区域
您的网络肯定有 DMZ 区域、PCI 区域或其他无法直接访问的敏感网络部分。这些是网络的关键部分,数据输入和输出防火墙需要更多关注和控制。它们的防火墙必须定期进行审计,并且必须遵循与其他与外部网络通信的防火墙相同的日志记录、审查和控制协议。
安全性和便利性的平衡
有些企业无法承担检测和接受有效流量的负担。这就像安全领域的任何其他事情一样,是便利性和安全性的平衡。虽然默认允许策略不太可能中断正常的业务运营,但它也不够安全。
出口过滤很难实施,但非常值得付出努力。并且它将来可能会变得越来越普遍。即使它有时很烦人,出口过滤甚至默认拒绝也符合组织安全的最佳利益。
421 次查看
