Брандмауэры блокируют не HTTP-трафик через порт 80?
Может ли кто-нибудь подтвердить, что использование постоянного исходящего TCP-соединения через порт 80 не будет заблокировано подавляющим большинством пользовательских межсетевых экранов?
Это предположение основано на том факте, что HTTP работает по TCP, но, конечно, теоретически можно анализировать пакеты. Вопрос в том, делают ли это большинство ПОТРЕБИТЕЛЬСКИХ файерволов или нет?
3 ответа
Функция называется ALG, шлюз прикладного уровня. Это где брандмауэр знает и, возможно, даже участвует в протоколе приложения
Брандмауэр может сделать это по двум основным причинам:
- Поддержка протокола. Для поддержки протокола необходимо отслеживать / участвовать, например, открывая дополнительные порты для непассивного FTP или медиа-порты для SIP+SDP.
- Для обеспечения дополнительной безопасности ALG может функционировать как прозрачный прокси-сервер и фильтровать команды и действия протокола для обеспечения соблюдения политики. Например, предотвращение метода HTTP CONNECT
В течение многих лет ALG были общей чертой межсетевых экранов с отслеживанием состояния, хотя зачастую источником нестабильности.
В средах с повышенным уровнем безопасности ожидайте, что HTTP будет проверен и отфильтрован либо брандмауэром, либо другим специализированным устройством обеспечения соблюдения политик.
Жилые широкополосные маршрутизаторы, как правило, не имеют расширенных функций брандмауэра. Я был бы удивлен, чтобы найти любой с проверкой / фильтрацией HTTP на порт 80.
Персональные программные брандмауэры бывают двух видов: базовые и расширенные. У большинства потребителей будет базовый, который, вероятно, поставляется с их операционной системой и не будет выполнять HTTP-проверку / фильтрацию.
Однако в антивирусных продуктах наблюдается тенденция к дифференциации усовершенствованной фильтрации интернет-контента для защиты от угроз, существует значительная вероятность того, что они могут фильтровать активность HTTP (но это трудно с уверенностью определить из их списков функций).
Почти невозможно ответить на этот вопрос чем-либо, кроме "это зависит".
Большинство ведущих поставщиков решений брандмауэров сделают это через свою конфигурацию.
Вы найдете параноидальные организации (финансовые, правительственные, военные, азартные игры и т. Д.), Как правило, с такими интеллектуальными возможностями приложений. Они обнаружат трафик как недействительный HTTP и заблокируют его по соображениям безопасности и производительности.
Этот тип функции (в наши дни) обычно включен по умолчанию, и, как вы знаете, большинство людей не изменяют конфигурацию по умолчанию после того, как поставщик или консультант ушел.
Однако некоторые компании, в которых технические специалисты не понимают или не имеют никакой власти в принятии решений, отключают такие интеллектуальные функции приложений, поскольку они мешают работе бизнеса, то есть внутренним приложениям или внешним приложениям (работающим в локальной сети и подключающимся обратно)., разработанные как индивидуальные решения, работают через TCP-порт 80 (эй, он всегда открыт) и не являются http.
Вам не нужно просто беспокоиться о брандмауэрах, так как большинство компаний используют внутренние прокси-серверы для исходящего трафика, и теперь они обычно разрешают только действительный HTTP на порт 80, и их конфигурация не изменяется, так как прокси-сервер обычно запрашивается инфраструктурой и командам по обеспечению безопасности, и им не нужно не HTTP через порт 80. Кроме того, есть также балансировщики нагрузки, и они обычно настроены для HTTP на порту 80 по разным причинам, таким как переключение контента, перезапись, балансировка нагрузки и безопасность,
Подводя итог, по моему опыту, это было бы да, но я мало работал с МСП, прежде всего с крупными корпорациями.
Порт 80 заблокирован многими брандмауэрами, например, вы должны добавить исключения, например, я разрешаю Skype или MSN Messenger использовать порт 80 для исходящего трафика