选择性开放网络网关端口的最佳实践

Question

我们的网络目前被Linux机箱隔离，运行iptables和Squid来控制网络访问。

默认情况下，我们拒绝所有IP的所有传出流量，以强制Web流量通过代理，而拒绝其余的。但是，我们需要允许一些用户使用FTP，但不是全部。

前面的管理员用来为路由表中允许FTP的用户手动添加相应的条目，但是，随着越来越多的人请求FTP离开网络，我想知道通过代理强制FTP通信和管理允许通过代理的ACL输出FTP的用户是否会更容易呢？

它是否会被认为不如手动管理允许的IP(我认为这是非常愚蠢的，因为老管理员经常忘记删除适当的路线，当人们离开公司，IP是重新分配者.)？

Answer 1

如果代理对HTTP流量足够好，那么对于FTP通信也应该足够好。

理论上说，让系统更容易管理不应该使系统更安全，因为您应该正确地执行现有的、可怕的管理任务。但正如你所指出的，在现实世界中，维持政策越容易，你就越有可能坚持政策。

(请注意:虽然每个web浏览器都很容易设置为使用代理服务器，但我发现一些ftp客户端要灵活得多。)