Um firewall de roteador NAT padrão interromperá o tráfego de saída?

De um modo geral, o Roteador residencial de Banda Larga típico não coloca, por padrão, nenhuma restrição no tráfego de saída. Alguns podem ser configurados para gerenciar o tráfego de saída, alguns têm opções de saída limitadas, vêm com uma capacidade bastante abrangente de gerenciar a saída.

Qualquer classe "empresarial" ou firewall empresarial terá absolutamente a capacidade de gerenciar o tráfego de saída, incluindo os gratuitos (pesquise no site, há várias postagens em firewalls).

A maioria dos administradores de sistema concorda que é necessário gerenciar o tráfego de saída para ser um bom cidadão da Internet e também para gerenciar a largura de banda e o desempenho. Por exemplo, o tráfego SMTP e POP geralmente de saída só é permitido a partir do servidor de e-mail, para impedir que qualquer computador infectado por malware produza spam. Ou, se houver um servidor proxy para gerenciar a navegação, o tráfego de navegação na Web de saída só é permitido a partir do servidor proxy.

A maioria dos firewalls (com os quais trabalhei) tem uma regra de permissão implícita que permite todo o tráfego de uma rede mais segura (geralmente a LAN interna) para uma rede menos segura (geralmente a Internet) para que todo o tráfego de saída seja permitido da sua LAN interna para a internet (ou para uma DMZ) Você geralmente não precisa criar regras explícitas para permitir o tráfego de saída.

A maioria dos firewalls (com os quais já trabalhei) tem uma regra de negação implícita que nega todo o tráfego de uma rede menos segura (geralmente a Internet) a uma rede mais segura (geralmente a LAN interna) para que todo o tráfego de entrada seja negado da Internet (ou de um DMZ) para sua LAN interna. Você geralmente precisa criar regras explícitas para permitir o tráfego de entrada.

O firewall de hardware não consegue distinguir facilmente entre pacotes "bons" ou "ruins", já que todos eles vêm da mesma fonte. O firewall de software pode verificar qual aplicativo gerou o pacote, portanto, está melhor preparado para bloqueá-los conforme desejado.

Cabe ao firewall determinar qual tráfego pode fluir em qual direção, se você não tiver configurado nenhuma regra de saída, então, por padrão, provavelmente permitirá todas as conexões de saída.

"No caso de malware" é separado, já que isso só pode ser determinado pelo próprio PC. (A menos que você invista em um N / IDS).

Existem maneiras de impedir o tráfego de saída, a menos que um ser humano esteja envolvido. Consulte o link

Para combos padrão de roteador / firewall no balcão de varejo, a saída recebe menos atenção do que o tráfego de entrada. Os últimos que eu vi também tiveram a capacidade de limitar a saída. O foco é invertido embora. Na minha casa NetGear permite entrada e bloqueia a saída. Eu posso permitir o SSH em um host específico e negar a saída do telnet. Neste sentido, não é um verdadeiro firewall completo. Alguns desses roteadores têm a capacidade de bloquear endereços IP internos específicos de acessar o lado da Internet de tais dispositivos, embora nem todos o façam.

Tal como acontece com muitas coisas, "depende".

Em caso de malware em um host, qual é o objetivo de bloquear o tráfego de saída com o mesmo firewall da máquina? O autor de malware astuto usará qualquer meio (APIs padrão para regras de exceção ou algo semelhante a rootkit) para permitir a comunicação com a Internet.

Considere tentar detectar esse tipo de tráfego - do roteador em vez do host.