出口過濾如何防止網路攻擊？

出口過濾是一種監控或限制資料外出的實踐，通常使用防火牆來阻止不符合特定安全標準的資料包。“出口”的意思是“外出”，出口路由器允許資料包從一個網路退出並進入另一個網路。

出口過濾的主要目標是防止不需要的或有害的流量（例如惡意軟體、非法電子郵件或對網站的請求）離開網路。例如，防火牆可以用來防止大學校園網上的學生從網路上的任何機器傳送病毒或侵犯版權的內容。出口過濾也可以用於只允許公司網路上的特定伺服器或電腦傳輸資料到網路外部。此安全措施可以幫助防止員工使用公司電腦進行私人通訊或休閒上網。

出口過濾是一種網路安全策略，它使用防火牆過濾外發資料，然後將其傳送到另一個網路，從而防止所有非法流量離開。

為什麼要使用出口過濾？

出站或出口控制保護內部資源免受對網際網路上潛在有害端點的未授權訪問。只有受信任的站點才能透過受良好保護的 VPC 訪問，從而降低數字服務與任何不良實體互動的可能性，並防止伺服器內可能發生的任何感染向其命令和控制位置“打電話”。

深入探討出口安全和過濾

出口過濾限制了繫結到外部實體並透過主機網路邊緣路由器到達其目標節點的資料量。在允許出站連線之前，必須評估許多策略或過濾器規則集；否則，有害主機可能是您計算機之一請求的物件。透過只允許 VPC 中例項到網際網路的 IPv6 出站通訊，僅出口網際網路閘道器可以防止網際網路與您的例項建立 IPV6 連線。

僅出口網際網路閘道器將子網例項中的流量轉發到其他 AWS 服務或網際網路，併發送回響應。單用途網際網路閘道器是使用 amazon VPC 控制檯構建的。

出口過濾可以使用多種方法實現，包括反欺騙過濾器，這些過濾器可以防止流量使用偽造的源地址（例如分散式拒絕服務攻擊生成的源地址）離開網路。由於某些服務通常保留用於內部網路，並且可能與漏洞利用相關聯，因此需要針對僅內部服務的過濾器。過濾經常與惡意活動相關聯或應限制為少量已知主機的服務。

由於 AWS VPC 具有 NAT 閘道器但具有本機 AWS IP 地址限制，因此出口流量過濾可以幫助防止網路資產中的資料洩露。由於採用了“拒絕所有”出站策略、資料包過濾器或防火牆規則，因此除了在出口流量執行策略中定義的服務外，沒有任何東西會在未經明確許可的情況下離開網路。

透過限制性粒度規則，管理員可以訪問網路和系統。透過建立僅允許來自分配給內部網路的 IP 網路號的源地址透過防火牆的 IP 欺騙策略，限制可以將資料傳送到網際網路的地址。

應停用任何不應連線到網際網路伺服器的網路段或 VLAN。不應建立到 DROP（不路由或對等）或 BGP 過濾器列表中列出的目標的出站連線。由於 Web 代理為 HTTP 提供 URL 和內容過濾，因此僅允許透過防火牆的代理進行出站連線。對於透過乙太網協商和交換 PPP 的防火牆，阻止防火牆中的路由協議至關重要。

出口過濾最佳實踐

以下是出口過濾的一些最佳實踐：

儘可能使用代理

如果您在網路中使用代理斷點，則防火牆只能接受來自少數代理的流量，而不是整個網路的流量。這減少了到達防火牆的流量量，併為您的出站流量提供了額外的安全層。

使用防火牆配置審計軟體

如果防火牆一開始沒有為輸出過濾設定，則規則集很可能設定為允許未過濾的出站流量。但是，由於大多數防火牆都有幾十條甚至數萬條防火牆規則，因此手動掃描它們以檢視哪些規則容易受到攻擊是不切實際的。您可以使用防火牆規則集解析器針對防火牆規則集（例如啟用出站高風險流量和開放埠的規則）快速發現防火牆中的風險。對這些風險進行心理畫像，並評估使用它們的系統。

防火牆出站規則：業務理由

建立一項策略，宣告所有未來的出站規則都必須記錄業務原因，包括這些規則的制定原因、誰使用它們、哪些應用程式和系統使用它們以及誰擁有原始業務流程。這不僅對審計有用，而且也有助於理解防火牆規則，尤其是在它們允許資料包離開網路時。

檢查安全區域

您的網路肯定有 DMZ 區域、PCI 區域或其他無法直接訪問的敏感網路部分。這些是網路的關鍵部分，資料輸入和輸出防火牆需要更多關注和控制。它們的防火牆必須定期進行審計，並且必須遵循與其他與外部網路通訊的防火牆相同的日誌記錄、審查和控制協議。

安全性和便利性的平衡

有些企業無法承擔檢測和接受有效流量的負擔。這就像安全領域的任何其他事情一樣，是便利性和安全性的平衡。雖然預設允許策略不太可能中斷正常的業務運營，但它也不夠安全。

出口過濾很難實施，但非常值得付出努力。並且它將來可能會變得越來越普遍。即使它有時很煩人，出口過濾甚至預設拒絕也符合組織安全的最佳利益。

Ayushi Bhargava

更新於：2022年8月16日

421 次檢視

開啟您的職業生涯

完成課程獲得認證

開始學習