防火墙安全策略配置/防火墙安全架构基于-小白渗透详细教程

防火墙安全策略配置/防火墙安全架构基于-小白渗透详细教程

M 防火墙安全选项

防火墙安全选项允许 ACSLS 在防火墙后运行,同时客户机软件可以跨该防火墙发出请求。

针对 ACSLS 客户机也提供了防火墙安全,允许它们在其各自的防火墙后运行。这是由 为其独立软件供应商 ( , ISV) 合作伙伴提供的。请联系您的客户机软件组件的 ISV 来查明每个具体客户机的最新状态。

在防火墙后运行 ACSLS

防火墙安全解决方案提供了以下优势:

完整的解决方案将兼备上面的前两个功能。这使得 ACSLS 和 ACSLS 客户机可以各自在自己的防火墙后运行(也就是说,在 ACSLS 与客户机之间有两个防火墙),并且仍具有与在无防火墙环境中相同的通信性能。

解决的安全区域

ACSLS 已解决了以下安全问题:

RPC

对于尝试在防火墙环境内运行的很多场所,ACSLS 中使用的 RPC 是一个安全问题。保留与当前已安装客户机群体的兼容性妨碍了从 ACSLS 中完全删除 RPC 的能力。

ACSLS 防火墙安全功能解决了 RPC 中固有的安全问题,这包括:

安全性

在防火墙解决方案中,基础安全来自限制从非安全端到可信(安全)端的访问。在任何情况下,为了执行通信并允许数据交换,都必须允许某些有限且受控的访问。目标是允许数据交换在经过明确定义且受限的入口点集合内进行,使得您可以控制这些访问点及其对应的通信。此解决方案满足此目标。

注:

如果具有基于 IPv4 的边缘防火墙,该防火墙应配置为删除所有出站 IPv4 协议 41 数据包和 UDP 端口 3544 数据包,以防止 主机使用任何 IPv6-over-IPv4 隧道通信访问内部主机。

通信组件

ACSLS/客户机通信依赖两个网络接口组件来处理客户机平台与 ACSLS 平台之间的网络通信。充当 ACSLS 的客户机或代理服务器的软件实施这两个组件中的一个,以便与 ACSLS 平台和现有客户机兼容。位于客户机平台上的组件称为 SSI,位于 ACSLS 平台上的组件称为 CSI。虽然可以在一端(例如 ACSLS 平台)实施所有更改,但是为了保持客户机兼容性并提供所有防火墙安全功能,有必要对每端进行相应的更改以获得优势。好处是每端可以在其自己的一端独立地实施功能并实现防火墙安全优势(例如,对 ACSLS 的更改允许 ACSLS 平台在安全的防火墙后运行)。

防火墙安全选项的优势

本部分介绍了防火墙安全选项的优势。

ACSLS 服务器端

使用仅针对服务器端组件的更改时(如此防火墙安全解决方案中所提供),优势包括:

ACSLS 服务器端口限制

此防火墙解决方案限制了外部各方可以用来启动网络通信的传入端口的数目。端口被限制为一个或三个:单个由客户指定的用于 ACSLS 传入请求的端口,外加可能的两个端口映射器端口(TCP 和 UDP 端口 111)。

注:

要禁止客户机访问 ACSLS 服务器端口映射器以及禁止访问 UDP 和 TCP 端口 111,必须对客户机软件组件进行更改。请参见下文的客户端论述。

上述解决方案的服务器端是完全在 ACSLS 内实施的。

客户端 (CSC)

对 CSC 所做的更改将在客户端平台上施加与上述限制完全相同的限制。这为 CSC 提供了相同的能力来位于其自己的安全防火墙后。此解决方案提供了以下优势:

客户机端口限制

此解决方案限制了外部各方可以用来启动网络通信的传入端口的数目。端口被限制为一个或三个:单个由客户指定的用于传入响应的端口,以及可能的两个端口映射器端口(TCP 和 UDP 端口 111)。

注:

要禁用 ACSLS 服务器对客户机的端口映射器的访问(并因此禁用对 UDP 和 TCP 端口 111 的访问),必须对 ACSLS 服务器软件组件进行更改(请参见上文的 ACSLS 服务器端论述)。

此解决方案有一个两步实施:

优点

解决方案的客户端和服务器端是独立的。因此,如果两端中只有一端相对于另一端位于防火墙后,则仅需要在该端实施软件更改。此外,仅更改一端可以保持与已存在的所有当前客户机和服务器实施的兼容性以及与使用 CSI/SSI 接口的其他软件组件的兼容性。

注:

这包括与当前 产品的兼容性。

此解决方案不影响客户机/服务器通信的当前性能。

打开防火墙安全功能并设置变量

要在防火墙后运行 ACSLS 服务器并且在防火墙后运行 ACSLS 客户机(可选),则在 ACSLS 服务器和客户机系统位于防火墙后时在这两者上设置变量。这些变量允许您将传入通信限制到单个端口,还允许您禁用端口映射器。

ACSLS 变量

—允许 CSI 支持使用 TCP 协议的 RPC。

其他详细信息:必须重新启动 ACSLS 产品才能使此选项生效。

—允许 CSI 支持使用 UDP 协议的 RPC。

其他详细信息:必须重新启动 ACSLS 产品才能使此选项生效。防火墙安全 CSI 仅支持 TCP 通信。除非您有旧版客户机应用程序位于 ACSLS 服务器的防火墙内,否则请将 设置为 FALSE。

—启用端口映射器。

其他详细信息:必须重新启动 ACSLS 产品才能使此选项生效。

—允许在防火墙后使用 CSI(使用用户定义的入站端口)。

有效选项:TRUE 或 FALSE(默认值为 TRUE)

其他详细信息:必须重新启动 ACSLS 产品才能使此选项生效。

—CSI 用来接收传入 ACSLS 请求的端口号。

显示和设置 ACSLS 变量

可以使用 ACSLS 实用程序或 实用程序来显示和设置 ACSLS 静态和动态变量:

客户机系统变量

ACSLS 客户机系统必须附带 ACSLS CSC 工具包 2.3(或更高版本)才能在客户机系统上启用防火墙安全操作。

需要为 ACSLS 客户机上的防火墙安全操作启用四个环境变量。必须将这些变量设置为特定值。在启动 SSI 进程之前,必须设置这些变量中的每一个并将其导出到 SSI 的环境变量。然后,它们将由 SSI 进行解释和使用,如下所述。

如果您的 CSC 使用某个脚本启动 SSI,建议从该脚本内设置并导出这些变量。另外,客户机开发者可能已为最终客户提供了用于根据 CSC 及其运行环境对这些变量进行相应配置的方法。

—决定是否为网络通信使用 UDP。

—决定是否为网络通信使用 TCP。

CSC 工具包 2.3 中的新变量

—用于传入响应的固定端口号。

其他详细信息:将此环境变量设置为某个非零值将导致 SSI 将此端口用于传入 ACSLS 响应。这意味着防火墙需要允许该端口上的传入请求,SSI 才能接收 ACSLS 响应。这是 ACSLS 用于启动与 CSC SSI 的连接的唯一端口。

注:

该值必须与在用于保护 CSC 平台的防火墙中配置的值匹配,以允许该端口上的连接的传入请求。

—消除对 ACSLS 服务器上的端口映射器的查询。而是将请求发送到 ACSLS 服务器上的此端口。

其他详细信息:设置此环境变量将消除 SSI 对 ACSLS 服务器的端口映射器的查询。此变量的值指定 SSI 应将其传出 ACSLS 请求发送到的 ACSLS 服务器上的端口号。这允许受防火墙保护的 ACSLS 服务器在其防火墙上禁止对端口映射器的访问。端口映射器查询以前提供 SSI 应将其 ACSLS 请求定向到的端口号。

注:

此值必须与 CSI 用于接受传入请求并为其提供服务的端口值匹配。要使此端口可靠地保持固定为某个可指定的值,必须向 ACSLS 应用防火墙安全功能。如果不匹配,在 CSC 与 ACSLS 之间将不会进行通信。

在客户机上设置和显示环境变量

在客户机上,用来设置环境变量的命令取决于您的 shell 和 OS。

防火墙安全解决方案情景

下面的示意图显示了当跨防火墙使用时 ACSLS 组件的运行、端口使用及其之间关系的可能情景。需要根据刚才提供的文本(上文)对其进行理解。下面示意图中的 "SSI" 是在通信的客户端上运行的 ACSLS 的网络接口组件。CSI 是在 ACSLS 平台上运行的 ACSLS 的网络接口组件。

注:

需要 ACSLS CSC 开发者工具包 2.3(或更高版本)和新的环境变量来支持这些情景。

仅 ACSLS 服务器端上的防火墙安全

在此示例中,仅在 ACSLS 服务器端 (CSI) 实施了防火墙安全。不需要 CSC 工具包 2.3(或更高版本)和新的环境变量来支持此情景。

图 M-1 仅 ACSLS 服务器端上的防火墙安全

周围的文本说明了 图 M-1 。

在此示例中,动态意味着端口是由 SSI 在启动时从范围 1024-65535 中选择的。端口不是由用户指定的,在 SSI 的每次新执行中(也就是说,从 SSI 运行进程的一个实例到下一个实例)通常也不是同一端口。

CSI 很少查询 SSI 端的端口映射器 111 端口。只有当 SSI 在其请求数据包中提供的返回端口号无法用于(也就是说,导致网络接口故障)将响应数据包发送回 SSI 时,CSI 才会访问该端口。在此情况下,作为一种重试机制,CSI 将从 SSI 端的端口映射器查询要使用的端口,即在 SSI 的程序编号下的端口映射器中注册的端口。

要将 ACSLS 保护在防火墙后,需要进行以下设置:

客户机 SSI 设置—允许客户机在防火墙后运行的环境变量。

将防火墙配置为允许客户机使用由 (在 ACSLS 服务器上)和 (在客户机上)指定的端口向 ACSLS 服务器发送请求。允许客户机访问 ACSLS 服务器上的端口映射器(端口 111)并允许 ACSLS 访问客户机上的端口映射器 (111)。

仅客户端上的防火墙安全

在此示例中,仅在客户端 (SSI) 实施了防火墙安全。需要 CSC 工具包 2.3(或更高版本)和新的环境变量来支持此情景。

图 M-2 仅客户端上的防火墙安全

周围的文本说明了 图 M-2 。

在此示例中,动态意味着端口是由 CSI 在启动时从范围 1024-65535 中选择的,并且端口不是由用户指定的,在 CSI 的各次新执行中(从 CSI 运行进程的一个实例到下一个实例)通常也不是同一端口。

CSI 很少查询 SSI 端的端口映射器 111 端口。只有当 SSI 在其请求数据包中提供的返回端口号无法用于(也就是说,它导致网络接口故障)将响应数据包发送回 SSI 时,CSI 才会访问该端口。在此情况下,作为一种重试机制,CSI 将从 SSI 端的端口映射器查询要使用的端口,即在 SSI 的程序编号下的端口映射器中注册的端口。

要将客户机系统保护在防火墙后,需要进行以下设置:

客户机 SSI 设置—允许客户机在防火墙后运行的环境变量。

必须将防火墙配置为允许:

带端口映射器的 ACSLS 服务器和客户端上的防火墙安全

在此示例中,客户机 (SSI) 和 ACSLS 服务器 (CSI) 都实施了防火墙安全 API。客户机和服务器仍然依赖端口映射器进行端口识别。需要 CSC 工具包 2.3(或更高版本)和新的环境变量来支持此情景。

图 M-3 带端口映射器的 ACSLS 服务器和客户端上的防火墙安全

周围的文本说明了 图 M-3 。

CSI 很少查询 SSI 端的端口映射器 111 端口。只有当 SSI 在其请求数据包中提供的返回端口号无法用于(也就是说,它导致网络接口故障)将响应数据包发送回 SSI 时,CSI 才会访问该端口。在此情况下,作为一种重试机制,CSI 将从 SSI 端的端口映射器查询要使用的端口,即在 SSI 的程序编号下的端口映射器中注册的端口。

对于同时保护 ACSLS 服务器和客户机的防火墙,需要进行以下设置:

客户机 SSI 设置—允许客户机在防火墙后运行的环境变量。

必须将防火墙配置为允许:

不带端口映射器的 ACSLS 服务器和客户端上的防火墙安全

在此示例中,客户机 (SSI) 和 ACSLS 服务器 (CSI) 都实施了防火墙安全功能。客户机和服务器都启用了“无端口映射器”功能。需要 CSC 工具包 2.3(或更高版本)和新的环境变量来支持此情景。

图 M-4 不带端口映射器的 ACSLS 服务器和客户端上的防火墙安全

周围的文本说明了 图 M-4 。

为实现最安全的配置,需要进行以下设置:

客户机 SSI 设置—允许客户机在防火墙后运行的环境变量。

必须将防火墙配置为允许:

打开 ACSLS 服务器上的防火墙安全

要打开防火墙安全选项,必须使用 实用程序设置几个变量。

以 acsss 身份登录。

停止 ACSLS 服务器

注:

要使新的防火墙安全变量生效,必须关闭 ACSLS 服务器。

acsss

要运行配置脚本,请输入以下命令:

此时将显示 ACSLS 功能配置屏幕。

选择选项 1—Set CSI

接受所有变量的默认值,但以下项除外。

在以下提示处将值设置为 TRUE:

to alter use of the TCP will not take until the is . CSI for RPC using the TCP is [TRUE].

变量:

打开 TCP 可确保 TCP 协议可供 ACSLS 的客户机将其用于网络通信。ACSLS 的防火墙安全功能仅支持 TCP,因此客户机应使用此协议执行网络通信。

在以下提示处将值设置为 FALSE:

to alter the use of the UDP will not take until the is . CSI for RPC using the UDP is [TRUE].

变量:

注意事项:

确保没有 ACSLS 客户机依赖于此 UDP 协议。防火墙安全 ACSLS 仅通过 TCP 运行。

关闭 UDP 可以确保没有客户机将使用此协议访问服务器。这允许您在防火墙上禁止对 ACSLS 平台的所有一般 UDP 访问,仅允许您的环境中明确需要的那些访问。

请允许客户机访问用于端口映射器访问的 UDP 和 TCP 端口 111,除非那些客户机实施了防火墙安全功能并明确关闭了它们对 ACSLS 端口映射器的查询。

在以下提示处将值设置为 NEVER:

to alter use of the port will not take until the is . port : ( / NEVER /LED) [LED].

变量:

NEVER 允许 ACSLS 的客户机禁止对这些客户机平台上的端口映射器的外部访问。

重要信息:这不允许您关闭对 ACSLS 平台上的端口映射器的外部访问;要关闭该外部访问,ACSLS 的客户机必须在客户机软件组件中采用防火墙安全更改,并且必须在客户机软件组件中打开此功能。

此功能可以确保 ACSLS 服务器不会对客户机平台上的端口映射器进行任何查询。这允许对客户机进行保护的任何防火墙禁止对端口映射器的访问。

在以下提示处将值设置为 TRUE:

CSI to be used a (user- port) (TRUE/FALSE) [FALSE]:

变量:

TRUE 允许您指定 ACSLS 将用于接受入站客户机通信(TCP 连接)的单个端口。此变量仅启用此功能。具体端口将在接下来的变量中指定。

在以下提示处将值设置为 ACSLS 服务器上的一个可用固定端口:

Port used by the CSI to ACSLS .

变量:

这是 ACSLS CSI 组件将用于接受传入网络连接的端口。请指定 1024-65535 范围内的端口(端口 50003 除外)。

重要信息:请将防火墙配置为允许此端口上的传入连接。这可以确保仅公开该端口以供希望启动与 ACSLS 的通信的那些外部客户机使用。您可以禁用除了此端口和 UDP/TCP 端口 111 之外所有其他传入端口上的连接(除非客户机已实施了相应功能来消除它们对 ACSLS 端口映射器的查询;在那种情况下,还可以在防火墙上禁用端口 111)。此端口的建议默认值为 30031。大多数系统上的其他进程不大可能(但不是没有可能)使用此端口。有关存在端口冲突时要采取的步骤,请参见。

选择 E 以退出 。

您的更改已保存。

通过输入以下命令重新启动 ACSLS:

acsss

关闭 ACSLS 服务器上的防火墙安全

上文中用于打开防火墙安全功能的某些变量还与关闭该功能有关。要关闭防火墙安全行为,只需要执行以下步骤,但特定的场所可能还希望对其他变量进行修改。

以 acsss 身份登录。

停止 ACSLS 服务器

注:

要使新的防火墙安全变量生效,需要关闭 ACSLS 服务器。

acsss

要运行配置脚本,请输入以下命令:

选择选项 1—Set CSI

更改您在配置防火墙安全功能时设置的以下值。更改以下变量:

在以下提示处将值设置为 :

to alter use of the port will not take until the is . port : ( / NEVER /LED) [LED].

变量:

在以下提示处将值设置为 FALSE:

CSI to be used a (user- port) (TRUE/FALSE) [FALSE]:

变量:

选择 E 以退出 。

您的更改已保存。

通过输入以下命令重新启动 ACSLS:

acsss

防火墙安全配置

以下内容要求您具有与配置 ACSLS 位于其后的网络防火墙相关的知识。所有防火墙都是“第三方”软件,并且在正确设置它们以保护您的网络环境方面具有不同的细节。以下内容不是对防火墙安全策略的建议,而只是关于防火墙必须/可以对 ACSLS 产品做什么的一组有用说明。有关其他安全详细信息,请咨询您的系统管理员。

下面是有关为 ACSLS 平台设置防火墙的详细信息列表:

如果您的所有客户机都已实施了防火墙安全功能并且不对 ACSLS 平台的端口映射器执行查询,则您已完成工作。如果客户机仍然使用 ACSLS 平台上的该端口映射器,则必须添加以下项:

示例:

下面是为了实施上述所有规则而针对基于 的防火墙实施的规则示例。

注:

此外,还有为特定防火墙配置的其他规则。

echo " - FWD: Allow all connections OUT and only existing/related IN"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state \
ESTABLISHED,RELATED -j ACCEPT
# These rules allow client access to the portmapper
$IPTABLES -A FORWARD -p tcp -i $EXTIF --dport 111 -j ACCEPT
$IPTABLES -A FORWARD -p udp -i $EXTIF --dport 111    -j ACCEPT
# These rules allow client access to the ACSLS CSI for network communication
# Note: This assumes that the CSI firewall-secure port was specified as 30031
$IPTABLES -A FORWARD -p tcp -i $EXTIF --dport 30031 -j ACCEPT
# Catch all rule, all other forwarding is denied and logged.
$IPTABLES -A FORWARD -j drop-and-log-it

防火墙安全通信故障排除

对包括 ACSLS 平台和客户机(现在包括中间防火墙)的网络通信接口进行故障排除可能涉及多个步骤。因为在 ACSLS 与其客户机之间的路径中引入了防火墙,所以会有更多的潜在原因导致网络通信故障。此外,有更多组件必须以与其他组件中的设置对应的方式进行配置,如果这些设置不匹配,网络通信将受影响。下面是当您在 ACSLS、其客户机、防火墙上完成所有配置工作并且网络通信无法进行时要检查和尝试的事项列表。

检查 ACSLS 平台:

如果 ACSLS 和 CSI 已启动且正在运行并已正确注册,则接下来的步骤将是检查跨防火墙对 ACSLS 平台的访问:

如果您的问题仍未得到解决。

上面解决了要探究的多个层次的事项。如果这些方法没有得到具体答案,则需要执行一些更低层面的检查来查明通信是在何处失败的。最佳方式是使用某个网络数据包探测器工具,例如 下的 "snoop"。在基于 的系统上使用 "man snoop" 可获取有关 snoop 命令及其用法的更多信息。

其他通过网络连接的系统上提供了类似的数据包跟踪工具。

本手册中没有提供有关执行这些操作的更多详细信息,但是您的系统管理员在这方面应该能够提供一些帮助。

常见问题解答

~

网络安全学习,我们一起交流

~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值