近来看到有人在讨论个人防火墙安全,笔者在此尝试简单陈述局域网隐身的问题。
对于私人网络用户而言,虽然身在一个内网的网络环境中,他也往往只是需要与互联网进行通信。所以,这样的用户有很好的先决条件,可以实现较强的内网防护,甚至可以达到完全隐身。
首先是拦截本机发出的UDP
广播,一般的操作系统如XP
等,多是137
、138
以及1900
端口的通信。
#1
由于用户只考虑与外网通信,他可以在系统服务里停掉
Netbios
服务,或者在防火墙规则中配置拦截本机
137
、
138
端口发出的广播包。
#2
如果本机需要与内网中少数信任用户文件共享,则需要开启
Netbios
服务,但仍然可以配置拦截
137
、
138
端口发出的广播包。文件共享以
IP
地址的形式来获取即可。如果对
IP
操作不熟悉,则防火墙拦截
137
、
138
对外广播的前提下,可授权本机
137
、
138
到对端
137
、
138
端口之间的双向通信。
#3
如果是上述
2
的情况,授权了内网少数信任用户,那么安全起见,还是要在防火墙配置中进一步绑定对端主机的
IP
和
Mac
,这样只要信任主机没有问题,则安全是非常稳固的。
#4
至于
1900
端口的
UPnP
协议,如果已经做过手动配置端口映射,可拦截该协议的通信数据。如果对路由设备没有控制权,不能做静态端口映射,而且还需要
UPnP
服务,那么可只授权来自网关的针对
1900
端口的组播连接,以及本机
1900
端口对网关探测的响应。注意:一定要能借助防火墙绑定网关
iP
和
Mac
。
其次,拦截本机IGMP
组播包发出。
在一些系统如
XP
中,默认是会发出这些数据报的,如打印机服务的需要,组播服务的探测等。如果本机没有这些需要,则可完全拦截这些
IGMP
协议的通行。
第三,在ICMP
协议处,
防火墙配置只允许本机
ping
出以及
Type 0
的进入,以及允许
Type3
、
11
的数据进入,保障基本的网络通信。
第四,在ARP
协议处
,既然只需要与网关通信,则拦截所有
arp
协议,在此基础上只授权本机
arp
数据包出站,以及网关的
arp
数据包进入(如果
DNS\DHCP
服务端
IP
不等于网关的话,还需要授权这些主机的
arp
数据包进入),当然,一定是要绑定其
IP
和
Mac
的,拒绝被欺骗。
第五,
既然只需要与网关以及
DNS Serv
和
DHCP Serv
的通信,可配置规则拦截内网网段内所有非这些信任
IP
的主机IP
范围的所有协议的数据包进入系统,
彻底杜绝其各种形式的扫描。
第六,拦截所有来源IP
为广播、组播等地址的非法数据包进入系统。
第七,通过以上几处的防护,相信本机已经非常安全。这样,再在全局防护中增添一些拦截碎片进入,以及有可能的话配置
TCP
和UDP
状态检测,相信本机已经极其安全,可以完全在网络上隐身了
。
当然,要实现以上所述,就需要一款可精细设置各网络协议规则的防火墙了。这里推荐
Lns
,小巧而强大,截至目前笔者只发现这一款防火墙可以满足以上设置的需求。
09.05.12
欢迎指教、指导。
--------
后记:
一个广播域完全隐身其实是不可能的,不过经过上述策略的部署,相信应该能够做到很棒的内网防御。
--------
后记:
一个广播域完全隐身其实是不可能的,不过经过上述策略的部署,相信应该能够做到很棒的内网防御。
转载于:https://blog.51cto.com/tansuozhe/157337