主流的包的过滤方式
- 服务器前面都会部署一个防火墙
- 防火墙:只允许发往特定服务器中的特定应用程序的包通过,然后屏蔽其他的包
- 方式:最普及的是包过滤
如何设置包过滤的规则
- 设置包过滤的规则
- 例:
通过端口号限定应用程序
- 假如服务器上还有一个文件服务器程序在工作,那么这些文件就可能会被非法访问从而造成信息泄露
- 当我们要限定某个应用程序时,可以在判断条件中加上TCP头部或者UDP头部中的端口号。Web服务器的端口号为80,因此我们在刚才的接收方IP地址和发送方IP地址的基础上再加上80端口作为条件就可以了
通过控制位判断连接方向
- Web使用的TCP协议是双向收发网络包的,因此如果单纯地阻止从Web服务器发往互联网的包,则从互联网访问Web服务器的操作也会受到影响而无法进行
- 如何判断访问的方向:根据TCP头部中的控制位,TCP在执行连接操作中发送的第一个包的TCP控制位中SYN为1,而ACK为0
- 如果第一个包是从Web服务器发往互联网的,那就阻止它,这样设置之后,不会收到对方返回的第二个相应包,TCP连接操作就失败了。只要以Web服务器为起点访问互联网,其连接操作必然会失败。
- 从互联网访问Web服务器时,第一个包是接收方为Web服务器,符合第一行,允许通过;第二个包的发送方是Web服务器,但TCP控制位的规则与第二行不匹配,因此符合第三行的规则,允许通过。随后的所有包要么符合第一行,要么符合第三行,因此从互联网访问Web服务器的所有包都会被允许通过。
- DNS服务器的访问:UDP没有连接操作,因此无法像TCP一样根据控制位来判断访问方向。无法设置一个规则,只允许公司内部访问互联网上的DNS服务器,而阻止从互联网访问公司内部的DNS服务器。
从公司内网访问公开数据区域的规则
- 要设置公司内网和互联网之间,或者公司内网与公开区域之间的包过滤规则。需要注意的是不要让这些规则互相干扰。
从外部无法访问公司内网
- 防火墙:不仅可以允许或者阻止网络包的通过,还具备地址转换功
- 起点和终点作为条件,根据需要设置是否需要进行地址转换。私有地址和公有地址之间的对应关系,以及端口号的对应关系都是自动管理的,因此只需要设置是否允许地址转换就可以了。
通过防火墙
- 可以在防火墙中设置各种规则
- 如果阻止通过:这个包会被丢弃并被记录下来,通过分析这些包能够搞清楚入侵者使用的手法,从而帮助我们更好地防范非法入侵
- 如果允许通过:该包会被转发出去
- 包过滤并不是防火墙专用的一种特殊机制,而是应该看作在路由器的包转发功能基础上附加的一种功能。只不过当判断规则比较复杂时,通过路由器的命令难以维护这些规则,而且对阻止的包进行记录对于路由器来说负担也比较大,因此才出现了专用的硬件和软件。用内置包过滤功能的普通路由器来充当防火墙也是可以的。
防火墙无法抵御的攻击
- 防火墙仅可根据包的起点和终点来判断其是否允许通过。无法检查包里的数据,有可能会对web服务器攻击。
- 可以修复Web服务器的bug
- 在防火墙之外部署用来检查包的内容并阻止有害包的设备或软件。但是包的内容是否有风险,是由Web服务器有没有Bug决定的,因此当服务器程序中有潜在的Bug并且尚未被发现时,我们也无法判断包中的风险,也无法阻止这样的包。
4897
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
