防火墙是否阻止端口80上的非HTTP通信？

有人能确认在端口80上使用持久传出TCP连接不会被绝大多数消费者防火墙阻止吗

---

这是基于HTTP在TCP上运行这一事实的假设，但从理论上来说，分析数据包当然是可能的。问题是大多数消费者防火墙是否会这样做？

端口80被许多防火墙阻止，例如，您必须添加例外情况，如我允许Skype或msn messenger使用端口80进行外出流量

该功能称为ALG，应用层网关。这就是防火墙知道甚至参与应用程序协议的地方

防火墙这样做的主要原因有两个：

• 协议支持，为了支持协议，有必要窥探/参与，例如为非被动FTP或SIP+SDP的媒体端口打开其他端口
• 此外，ALG还可以作为透明代理，过滤协议命令和操作以强制执行策略。例如，阻止HTTP连接方法

ALG多年来一直是有状态防火墙的一个共同特征，尽管它常常是不稳定的根源

对于安全禁止环境，HTTP需要通过防火墙或其他专用策略实施设备进行验证和过滤

---

住宅宽带路由器往往没有先进的防火墙功能。如果在端口80上发现任何HTTP验证/过滤，我会感到惊讶

个人软件防火墙有两种风格，基本和高级。大多数用户都有一个基本的HTTP验证/过滤，它可能随操作系统一起提供，不会执行任何HTTP验证/过滤

---

但是，针对威胁保护的高级互联网内容过滤的防病毒产品差异化趋势正在上升，这些产品可能会过滤HTTP活动（但很难从其功能列表中确定）.

除了“视情况而定”之外，几乎不可能回答这个问题

大多数领先的防火墙供应商解决方案将通过其配置来实现这一点

你会发现偏执组织（金融、政府、军事、赌博等）通常会启用此类应用程序智能。他们将检测到无效的HTTP流量，因此出于安全和性能原因将其阻止

这种类型的功能（现在）通常是默认打开的，并且正如您所知，大多数人在供应商或顾问离开后不会更改默认配置

然而，一些公司，如果技术人员不理解或他们没有决策权，将关闭此类应用程序智能，因为它会干扰业务，即内部应用程序或外部应用程序（在LAN上运行并连接回），作为定制解决方案开发，通过TCP端口80工作（嘿，它总是打开的）和是非http的

不过，您不必担心防火墙，大多数公司都为传出流量运行内部代理服务器，这些代理服务器现在通常只允许在端口80上使用有效的HTTP，并且它们的配置不会更改，因为代理服务器通常是由基础设施和安全团队请求的，它们不希望在端口80上使用非HTTP。此外，还有负载平衡器，它们通常在端口80上配置为HTTP，原因有很多，如内容交换、重写、负载平衡和安全性

---

总而言之，根据我的经验，这是肯定的，但我没有与中小企业（主要是大型企业）合作过很多。

是的，有很多事情可以进行最小数据包分析。防火墙也不是唯一的问题：代理也会过滤东西。消费者防火墙会这样做吗？我想了解的是，对于大多数人来说，port80非HTTP传出流量是否被阻止，而不是技术上是否可以阻止它。你所说的“消费者防火墙”是什么意思？住宅宽带路由器？个人软件防火墙？是的，两者都有。正如防火墙不是由公司运行的一样。之所以被接受，是因为只有解决非公司情况的答案，这就是我在问题中作为“消费者”的意思。干杯，不客气。当你提到防火墙时，在我和其他人的心目中，它是专用硬件防火墙的同义词。我不习惯消费者防火墙这一术语，也不会立即将其与住宅宽带路由器或个人软件防火墙联系起来。