規則1
第一個規則是允許外部系統的回覆封包。[Note] 外部丟回來、port > 1023 的回覆封包都允許
192.168.1.0 通常是整個內部網路的代表 IP,允許封包進來以後,也許會做其它的檢查。
1024 埠以前都是特殊用途的連接埠,也許會做其它的規定。
規則2、規則3
第二及第三個規則是避免防火牆被利用。做為邊界防禦,防火牆的位址假設為 192.168.1.1。第二個規則避免防火牆自己把訊息傳到內部或外部的系統;因為有攻擊者會偽裝為防火牆企圖混淆防火牆的判斷。
第三個規則在避免任何外部的系統直接連結防火牆。
[Note] 內到外拒絕、外到內拒絕,要設成兩條規則。
規則4
第四個規則允許內部使用者傳送封包給任何外部的 IP 位址及連接埠。這個規則與第一個規則呼應成為內部對外自由通訊的基礎。[Note] 內部要連到外部任何IP、任何port都允許[Note] 要有內到外允許、外到內允許,才有兩邊都通。
規則5、規則6
第五及第六個規則是允許外部傳來的 SMTP (郵件,使用25埠)、HTTP (網站,使用80埠)。- 外部傳來的郵件封包可以導入在 192.168.1.2 上的電子郵件伺服器。
- 外部傳來的存取網頁的封包可以導入在 192.168.1.3 上的網站伺服器。
[Note] 常用連接埠
FTP: 20, 21
SMTP: 25
HTTP: 80
POP3: 110
IMAP: 143
SNMP: 161
HTTPS: 443
來源:常見的連接埠 - MIT
規則7
最後一個很重要的規則拒絕了任何其它外部傳送過來的封包,所以從這個規則範例我們可以歸納出這個網路的的資訊安全政策為:- 允許從內部對外部任何種類的存取。
- 外部對內部的存取只允許 SMTP 與 HTTP。
- 同時, SMTP 與 HTTP 伺服器被置於防火牆之後。
如果最後這個規則沒訂,所有外部要求的通訊都會被自動允許,而失去防火牆的功能。[Note] 防火牆形同虛設
對於外部進入的封包,防火牆的預設值 (default) 應設為「除了規則允許的,其餘拒絕」;而不是「除了規則拒絕的,其餘允許」。
防火牆規則應該拒絕以下種類的資訊流:
- 由不明外部系統所傳來的封包,目的位址是防火牆自己。這一類的封包常是對防火牆的探測或攻擊。
- 外部進入的封包,但來源位址卻標示為內部的位址。這種封包通常是某種欺騙的攻擊。
- 外部進入的 ICMP (Internet control message protocol) 例如 ping。由於 ICMP會透露太多網路訊息,所由外部進入的 ICMP 應予阻擋。
- 由不明外部系統所傳來的 SNMP (simple network management protocol)。這種封包很可能代表外部入侵者正在探測內部網路。
- 往內或往外的封包有任一位址為 0.0.0.0 者。有的作業系統對這個位址有特殊的定義,所以常被攻擊者利用。
補充
- 防火牆架構圖
- 封包過濾防火牆的弱點
封包過濾防火牆很難避免 「IP 位址偽裝」之類的攻擊。因為位址是這類防火牆的主要判斷依據,一旦被造假,就無法察覺。
- 防火牆環境範例
沒有留言:
張貼留言