谁能确认在端口 80 上使用持久传出 TCP 连接不会被绝大多数消费者防火墙阻止?
这是基于 HTTP 在 TCP 上运行这一事实的假设,但当然理论上可以分析数据包。问题是大多数 CONSUMER 防火墙是否这样做?
最佳答案
该功能称为 ALG,应用层网关。这是防火墙知道甚至可能参与应用程序协议(protocol)的地方
防火墙可能这样做的主要原因有两个:
- 协议(protocol)支持,为了支持协议(protocol),必须窥探/参与,例如为非被动 FTP 或 SIP+SDP 的媒体端口打开额外的端口
- 额外的安全性,ALG 可以充当透明代理并过滤协议(protocol)命令和操作以执行策略。例如。阻止 HTTP CONNECT 方法
多年来,ALG 一直是状态防火墙的一个共同特征,但通常是不稳定的根源。
对于安全严苛的环境,希望通过防火墙或其他专用策略执行设备验证和过滤 HTTP。
住宅宽带路由器往往没有高级防火墙功能。我会惊讶地发现任何在端口 80 上进行 HTTP 验证/过滤的东西。
个人软件防火墙有两种类型,基本型和高级型。大多数消费者将拥有一个可能与他们的操作系统一起提供的基本版本,并且不会进行任何 HTTP 验证/过滤。
但是,用于威胁防护的高级 Internet 内容过滤的防病毒产品差异化呈上升趋势,这些产品很可能会过滤 HTTP 事件(但很难从它们的功能列表中确定地确定)。
关于http - 防火墙是否会阻止端口 80 上的非 HTTP 流量?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10614318/