參考資料:防火牆與使用政策

規則1

第一個規則是允許外部系統的回覆封包。

[Note] 外部丟回來、port > 1023 的回覆封包都允許

192.168.1.0 通常是整個內部網路的代表 IP,允許封包進來以後,也許會做其它的檢查。

1024 埠以前都是特殊用途的連接埠,也許會做其它的規定。

 

規則2、3

第二及第三個規則是避免防火牆被利用。做為邊界防禦,防火牆的位址假設為 192.168.1.1。

第二個規則避免防火牆自己把訊息傳到內部或外部的系統;因為有攻擊者會偽裝為防火牆企圖混淆防火牆的判斷。

第三個規則在避免任何外部的系統直接連結防火牆。

[Note] 內到外拒絕、外到內拒絕,要設成兩條規則。

 

規則4

第四個規則允許內部使用者傳送封包給任何外部的 IP 位址及連接埠。這個規則與第一個規則呼應成為內部對外自由通訊的基礎。

[Note] 內部要連到外部任何 IP、任何 port 都允許。

[Note] 要有內到外允許、外到內允許,才有兩邊都通。

 

規則5、6

第五及第六個規則是允許外部傳來的 SMTP(郵件,使用 25 埠)、HTTP(網站,使用 80 埠)。

 外部傳來的郵件封包可以導入在 192.168.1.2 上的電子郵件伺服器。

 外部傳來的存取網頁的封包可以導入在 192.168.1.3 上的網站伺服器。

[Note] 常用連接埠

FTP: 20, 21

SMTP: 25

HTTP: 80

POP3: 110

IMAP: 143

SNMP: 161

HTTPS: 443

參考來源:常見的連接埠 - MIT

 

規則7

最後一個很重要的規則拒絕了任何其它外部傳送過來的封包,所以從這個規則範例我們可以歸納出這個網路的的資訊安全政策為:

 允許從內部對外部任何種類的存取。

 外部對內部的存取只允許 SMTP 與 HTTP。

 同時, SMTP 與 HTTP 伺服器被置於防火牆之後。

如果最後這個規則沒訂,所有外部要求的通訊都會被自動允許,而失去防火牆的功能。[Note] 防火牆形同虛設

對於外部進入的封包,防火牆的預設值 (default) 應設為「除了規則允許的,其餘拒絕」;而不是「除了規則拒絕的,其餘允許」。

防火牆規則應該拒絕以下種類的資訊流:

 由不明外部系統所傳來的封包,目的位址是防火牆自己。這一類的封包常是對防火牆的探測或攻擊。

 外部進入的封包,但來源位址卻標示為內部的位址。這種封包通常是某種欺騙的攻擊。

 外部進入的 ICMP (Internet control message protocol) 例如 ping。由於 ICMP會透露太多網路訊息,所由外部進入的 ICMP 應予阻擋。

 由不明外部系統所傳來的 SNMP (simple network management protocol)。這種封包很可能代表外部入侵者正在探測內部網路。

 往內或往外的封包有任一位址為 0.0.0.0 者。有的作業系統對這個位址有特殊的定義,所以常被攻擊者利用。

 

補充
 防火牆架構圖

 封包過濾防火牆的弱點
封包過濾防火牆很難避免 「IP 位址偽裝」之類的攻擊。因為位址是這類防火牆的主要判斷依據,一旦被造假,就無法察覺。

 防火牆環境範例

文章標籤
創作者介紹

chi0*: 騏格子

騏騏 發表在 痞客邦 PIXNET 留言(0) 人氣()