任何人都可以确认在端口80上使用持久性传出TCP连接不会被绝大多数消费者防火墙阻止吗?
这是基于HTTP在TCP上运行这一事实的假设,但理论上理论上可以分析数据包。问题是大多数消费者防火墙是否这样做?
答案 0 :(得分:4)
该功能称为ALG,应用层网关。这是防火墙知道的地方,甚至可能参与应用程序协议
防火墙可能有两个主要原因:
多年来,ALG一直是状态防火墙的常见功能,但往往是不稳定的根源。
对于安全性,禁止性环境要求HTTP由防火墙或其他专用策略实施设备进行验证和过滤。
住宅宽带路由器不具备高级防火墙功能。我会惊讶地发现在端口80上有HTTP验证/过滤。
个人软件防火墙有两种版本,基本版和高级版。大多数消费者将拥有一个可能附带其操作系统的基本消费者,并且不会进行任何HTTP验证/过滤。
然而,针对威胁防护的高级互联网内容过滤的防病毒产品差异化趋势正在上升,这些过滤器可能会过滤HTTP活动(但很难从其功能列表中确定)。
答案 1 :(得分:2)
除了“取决于”之外,几乎不可能回答这个问题。
大多数领先的防火墙供应商解决方案都是通过其配置来实现的。
您会发现偏执组织(金融,政府,军队,赌博等)通常会启用此类应用智能。他们会将流量检测为无效的HTTP,因此出于安全性和性能原因阻止流量。
此类功能(目前)通常默认打开,如您所知,大多数人在供应商或顾问离开后都不会更改默认配置。
然而,一些技术人员不了解或者他们在决策中没有权力的公司会将这种应用智能关闭,因为它会干扰业务,即内部应用或外部应用(在局域网和开发为定制解决方案,通过TCP端口80工作(嘿,它始终是打开的),并且是非http。
您不必担心防火墙,大多数公司都会为传出流量运行内部代理服务器,这些通常现在只允许端口80上的有效HTTP,并且它们的配置不会因为代理服务器通常被请求而改变基础架构和安全团队,他们不希望非HTTP通过端口80.此外,还有负载平衡器,它们通常配置为端口80上的HTTP,出于各种原因,如内容切换,重写,加载 - 平衡和安全。
总结一下,根据我的经验,这是肯定的,但我没有与中小企业合作,主要是大企业。
答案 2 :(得分:0)
端口80被许多防火墙阻止,例如你必须添加例外情况,例如我允许Skype或msn信使使用端口80进行流量