Исходящие порты для разрешения через брандмауэр - базовые требования
Если Вы "... совместно используете интернет-соединение с одной или несколькими другими организациями, над которыми мы имеем очень мало контроля, азидов от конфигурации на ASAs". разве Вы не думаете, что необходимо, по крайней мере, попросить у них определенных потребностей, которые они могут иметь? Я не уверен, какова Ваша установка, но я был в "общей" ситуации с интернет-соединением прежде, и Вы захотите консультироваться с ними сначала вместо того, чтобы произвольно блокировать все за исключением портов, что у Ваших потребностей org или иначе Вас мог быть судебный процесс на Ваших руках, если Вы блокируете требуемый от бизнеса сервис для одного из других orgs просто, потому что Вы не испытывали желание спрашивать их сначала...
ОТРЕДАКТИРУЙТЕ из-за полностью пересмотренного вопроса
- HTTP - TCP:80
- HTTPS - TCP:443
- POP3 - TCP:110 (защищают POP, обычно является TCP:995),
- IMAP4-TCP:143 (защищают IMAP, обычно является TCP:993),
- SMTP - TCP:25 (защищают SMTP, обычно является TCP:465),
- DNS - UDP:53 (внешние поиски)
Эти сервисы могли быть на других портах, но это стандартные порты. Некоторые упомянули другие порты HTTP в этих 8 000 диапазонов, которые являются возможными, но общедоступными сайтами, обычно не делают этого. Снова, необходимо контролировать трафик и видеть, необходимы ли другие порты перед открытием их.
Если Вы установили, что эти порты действительно используются Вашей компанией (у Вас есть пользователи, соединяющиеся с внешними почтовыми серверами по POP3, IMAP, и отправляющие почту непосредственно по порту SMTP), необходимо, вероятно, принять во внимание, с каким внешним дюйм/с они соединяются и ограничивают ACLs только ими дюйм/с на брандмауэре. Это ограничит несколько Ваше воздействие, если какой-либо из Ваших пользователей когда-нибудь будет заражен почтовым червем или другим подобным вирусом.
Для поисков DNS, в зависимости от Вашей установки только Ваши внутренние серверы DNS (AD DCS при использовании AD) сделали бы любые поиски, и клиенты использовали бы их в качестве своих серверов DNS. Вы обычно также знали бы, какие внешние серверы DNS они используют и ограничивают свои исходящие поиски просто теми внешними серверами DNS для передачи. Если бы Ваши клиенты делают сами поиски, с другой стороны Вы, вероятно, знали бы, в какие внешние серверы DNS они идут и ограничивают свое исходящее соединение только с теми внешними серверами.
Во всех этих ACL устанавливает все, в чем Вы нуждаетесь, должен разрешить посещать порту сервиса. Какой-либо брандмауэр с сохранением информации (я полагаю, что Вы упомянули, что у Вас было 5505 ASA? до редактирования), распознает ответ с внешней стороны и впустит его как установленную сессию (и откажется от соединений, которые не имеют никакой установленной сессии).
Я недавно реализовал это в среде, в которой я консультируюсь. Я занял неделю и зарегистрировал весь исходящий трафик так, чтобы я сначала получил хорошую идею того, что было наиболее используемыми портами. Любые высокие порты использования, который был необычен (Паровые порты для, например), я работал с управлением и удостоверился, что они были или были не нужны для бизнеса. Я также проверил, чтобы удостовериться, что не было никакого собственного программного обеспечения, которое организация запустила, который связывался на нестандартных портах.
Наконец, я реализовал блокирующиеся изменения и контролировал в течение следующих недель пары.
Все сказали, этот процесс взял меня приблизительно месяц, но потому что я сделал подготовительную работу заранее, это пошло очень гладко.
- Josh
Весьма распространено найти работу веб-серверов порта 8080 или 8000 или 8888, таким образом, Вы могли бы хотеть включать их.
это зависит от того, сколько делают сервисы Вы хотите позволить трафик. Нет всего предписания цели. Возможно, в Вашем списке Вы забыли порты ftp 21 и 20. Для более подробного ответа нам нужен более подробный список сервисов с трафиком для разрешения.