參考資料:防火牆與使用政策

規則1

第一個規則是允許外部系統的回覆封包。

[Note] 外部丟回來、port > 1023 的回覆封包都允許

192.168.1.0 通常是整個內部網路的代表 IP,允許封包進來以後,也許會做其它的檢查。

1024 埠以前都是特殊用途的連接埠,也許會做其它的規定。

 

規則2、3

第二及第三個規則是避免防火牆被利用。做為邊界防禦,防火牆的位址假設為 192.168.1.1。

第二個規則避免防火牆自己把訊息傳到內部或外部的系統;因為有攻擊者會偽裝為防火牆企圖混淆防火牆的判斷。

第三個規則在避免任何外部的系統直接連結防火牆。

[Note] 內到外拒絕、外到內拒絕,要設成兩條規則。

 

規則4

第四個規則允許內部使用者傳送封包給任何外部的 IP 位址及連接埠。這個規則與第一個規則呼應成為內部對外自由通訊的基礎。

[Note] 內部要連到外部任何 IP、任何 port 都允許。

[Note] 要有內到外允許、外到內允許,才有兩邊都通。

 

規則5、6

第五及第六個規則是允許外部傳來的 SMTP(郵件,使用 25 埠)、HTTP(網站,使用 80 埠)。

 外部傳來的郵件封包可以導入在 192.168.1.2 上的電子郵件伺服器。

 外部傳來的存取網頁的封包可以導入在 192.168.1.3 上的網站伺服器。

[Note] 常用連接埠

FTP: 20, 21

SMTP: 25

HTTP: 80

POP3: 110

IMAP: 143

SNMP: 161

HTTPS: 443

參考來源:常見的連接埠 - MIT

 

規則7

最後一個很重要的規則拒絕了任何其它外部傳送過來的封包,所以從這個規則範例我們可以歸納出這個網路的的資訊安全政策為:

 允許從內部對外部任何種類的存取。

 外部對內部的存取只允許 SMTP 與 HTTP。

 同時, SMTP 與 HTTP 伺服器被置於防火牆之後。

如果最後這個規則沒訂,所有外部要求的通訊都會被自動允許,而失去防火牆的功能。[Note] 防火牆形同虛設

對於外部進入的封包,防火牆的預設值 (default) 應設為「除了規則允許的,其餘拒絕」;而不是「除了規則拒絕的,其餘允許」。

防火牆規則應該拒絕以下種類的資訊流:

 由不明外部系統所傳來的封包,目的位址是防火牆自己。這一類的封包常是對防火牆的探測或攻擊。

 外部進入的封包,但來源位址卻標示為內部的位址。這種封包通常是某種欺騙的攻擊。

 外部進入的 ICMP (Internet control message protocol) 例如 ping。由於 ICMP會透露太多網路訊息,所由外部進入的 ICMP 應予阻擋。

 由不明外部系統所傳來的 SNMP (simple network management protocol)。這種封包很可能代表外部入侵者正在探測內部網路。

 往內或往外的封包有任一位址為 0.0.0.0 者。有的作業系統對這個位址有特殊的定義,所以常被攻擊者利用。

 

補充
 防火牆架構圖

 封包過濾防火牆的弱點
封包過濾防火牆很難避免 「IP 位址偽裝」之類的攻擊。因為位址是這類防火牆的主要判斷依據,一旦被造假,就無法察覺。

 防火牆環境範例

文章標籤
創作者介紹
創作者 騏騏 的頭像
騏騏

chi0*: 騏格子

騏騏 發表在 痞客邦 留言(0) 人氣()