參考資料:防火牆與使用政策
規則1
第一個規則是允許外部系統的回覆封包。
[Note] 外部丟回來、port > 1023 的回覆封包都允許
192.168.1.0 通常是整個內部網路的代表 IP,允許封包進來以後,也許會做其它的檢查。
1024 埠以前都是特殊用途的連接埠,也許會做其它的規定。
規則2、3
第二及第三個規則是避免防火牆被利用。做為邊界防禦,防火牆的位址假設為 192.168.1.1。
第二個規則避免防火牆自己把訊息傳到內部或外部的系統;因為有攻擊者會偽裝為防火牆企圖混淆防火牆的判斷。
第三個規則在避免任何外部的系統直接連結防火牆。
[Note] 內到外拒絕、外到內拒絕,要設成兩條規則。
規則4
第四個規則允許內部使用者傳送封包給任何外部的 IP 位址及連接埠。這個規則與第一個規則呼應成為內部對外自由通訊的基礎。
[Note] 內部要連到外部任何 IP、任何 port 都允許。
[Note] 要有內到外允許、外到內允許,才有兩邊都通。
規則5、6
第五及第六個規則是允許外部傳來的 SMTP(郵件,使用 25 埠)、HTTP(網站,使用 80 埠)。
♦ 外部傳來的郵件封包可以導入在 192.168.1.2 上的電子郵件伺服器。
♦ 外部傳來的存取網頁的封包可以導入在 192.168.1.3 上的網站伺服器。
[Note] 常用連接埠
FTP: 20, 21
SMTP: 25
HTTP: 80
POP3: 110
IMAP: 143
SNMP: 161
HTTPS: 443
參考來源:常見的連接埠 - MIT
規則7
最後一個很重要的規則拒絕了任何其它外部傳送過來的封包,所以從這個規則範例我們可以歸納出這個網路的的資訊安全政策為:
♦ 允許從內部對外部任何種類的存取。
♦ 外部對內部的存取只允許 SMTP 與 HTTP。
♦ 同時, SMTP 與 HTTP 伺服器被置於防火牆之後。
如果最後這個規則沒訂,所有外部要求的通訊都會被自動允許,而失去防火牆的功能。[Note] 防火牆形同虛設
對於外部進入的封包,防火牆的預設值 (default) 應設為「除了規則允許的,其餘拒絕」;而不是「除了規則拒絕的,其餘允許」。
防火牆規則應該拒絕以下種類的資訊流:
♦ 由不明外部系統所傳來的封包,目的位址是防火牆自己。這一類的封包常是對防火牆的探測或攻擊。
♦ 外部進入的封包,但來源位址卻標示為內部的位址。這種封包通常是某種欺騙的攻擊。
♦ 外部進入的 ICMP (Internet control message protocol) 例如 ping。由於 ICMP會透露太多網路訊息,所由外部進入的 ICMP 應予阻擋。
♦ 由不明外部系統所傳來的 SNMP (simple network management protocol)。這種封包很可能代表外部入侵者正在探測內部網路。
♦ 往內或往外的封包有任一位址為 0.0.0.0 者。有的作業系統對這個位址有特殊的定義,所以常被攻擊者利用。
補充
♦ 防火牆架構圖
♦ 封包過濾防火牆的弱點
封包過濾防火牆很難避免 「IP 位址偽裝」之類的攻擊。因為位址是這類防火牆的主要判斷依據,一旦被造假,就無法察覺。
♦ 防火牆環境範例
留言列表