谁能确认在端口 80 上使用持久传出 TCP 连接不会被绝大多数消费者防火墙阻止?
这是基于 HTTP 在 TCP 上运行这一事实的假设,但当然理论上可以分析数据包。问题是大多数消费者防火墙是否这样做?
该功能称为 ALG,应用层网关。这是防火墙知道甚至可能参与应用程序协议的地方
防火墙可能这样做的主要原因有两个:
- 协议支持,为了支持协议,有必要监听/参与,例如为非被动 FTP 开放额外端口或为 SIP+SDP 开放媒体端口
- 额外的安全性,ALG 可以充当透明代理和过滤协议命令和操作以强制执行策略。例如。阻止 HTTP CONNECT 方法
多年来,ALG 一直是状态防火墙的一个常见功能,尽管常常是不稳定的根源。
对于安全禁止性环境,期望 HTTP 通过防火墙或其他专用策略执行设备进行验证和过滤。
住宅宽带路由器往往不具备高级防火墙功能。我会惊讶地发现任何在端口 80 上进行 HTTP 验证/过滤的内容。
个人软件防火墙有两种类型:基本型和高级型。大多数消费者都会有一个可能随其操作系统附带的基本版本,并且不会执行任何 HTTP 验证/过滤。
然而,用于威胁防护的高级互联网内容过滤的防病毒产品差异化趋势呈上升趋势,这些产品很可能会过滤 HTTP 活动(但很难从其功能列表中确定)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
