为您找到与防火墙不配置安全策略还有用吗相关的共200个结果:
防火墙与杀毒软件一直是用户计算机中不可缺少的一部分,很多网民的网络安全全靠此两点在支撑,而如何用好杀毒软件、防火墙及策略的安全设置才是关键问题。虽然普通的杀毒软件只需按默认设置再加入当前的用户安全理念即可开始工作,但是设置一个功能良好的安全策略却不是那么简单,尤其是计算机中自带的软件防火墙,如果不配备有力的策略支持,那么阻敌率只能占到7成左右。
使用现状
很显然在当今计算机木马病毒流行的时代,网络安全尤为重要。高手对此却不屑一顾,依然在不安装杀软与防火墙的网络中“裸奔”,虽然高手们没有安装杀软与第三方防火墙,但其却用系统中自带的防火墙功能,构建策略将来敌抵御在警戒线之外。很多门外汉一直以为windows防火墙并不可靠,其实那是因为不了解该防火墙策略是如何配制的,所以才无法让其发挥出因有的特性,以至于四方奔走到处求医问药来保护系统安全。
防火墙整体设置
对于普通网民与服务器管理人员来说,配置系统自带的防火墙安全策略与杀毒软件同等重要。打开控制面板,在防火墙的普通设置中,用户可根据例外列表中的数据,对当前通往外界的程序是否于是放行,作出勾选,并可以在其中进行相应的编辑与添加程序和端口。在高级选项中用户可以指定windows防火墙日志的配置, 是否记录数据包的丢弃与成功连接并指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。
而由于icmp消息用于诊断、报告错误情况和配置的作用,用户可以在其设置项中自行设置,以达启用和禁用windows防火墙允许在高级选项卡上选择的所有连接传入的icmp消息的类型,而在默认情况下,该列表中不允许任何icmp消息。设置好了以上项目后,即可启用该自带防火墙进行日常工作,并在其后建立下列软件策略。
软件限制策略
设置好此点可以保证在计算机中所运行软件的安全性。首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口,在其下的:计算机安全配置-windows设置-安全设置-软件限制策略中的其它设置内,用户可以看到这里以配的四条软件策略,(小提示:如果以前未设置过安全策略,那么在软件限制策略上右键新建策略后将会出现菜单)而这4条规则是正是为了保证Windows运行所必须的程序不会被禁用而配置的。
一、环境变量与优先级
随后用户可以在其它规则上右击,新建新路径规则,常用通配符有:“*”和“?”,*表示任意个字符,?表示一个字符。常见文件夹环境变量有(以下以XP默认装在C盘例举):
%SYSTEMDRIVE% 表示 C:
%ProgramFiles% 表示 C:Program Files
%SYSTEMROOT% 和 %WINDIR% 表示 C:WINDOWS
%USERPROFILE% 表示 C:Documents and Settings当前用户名
%ALLUSERSPROFILE% 表示 C:Documents and SettingsAll Users
%APPDATA% 表示 C:Documents and Settings当前用户名Application Data
%TEMP% 和 %TMP% 表示 C:Documents and Settings当前用户名Local SettingsTemp
用户在这里也可以指定要禁止运行的程序名,但要注意优先级问题,微软规定为:绝对路径>使用通配符的路径>文件名。以禁止病毒模仿系统文件 svchost.exe运行为例,由于该系统文件位于system32文件夹下,是系统文件所以病毒不可能替换它。伪装后的病毒文件将位于windows 其他位目录下,此时可以通过建立两条策略即:svchost.exe 不允许的,%windir%system32svchost.exe 不受限的,来禁止运行。该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系,来达到让真正的系统文件运行,而病毒文件无法运行的效果
二、禁止双扩展名与U盘运行文件
由于多数用户都使用XP的默认设置,包含系统隐藏已知扩展名的。为了不被病毒多扩展名迷惑用户,这里需建立*.jpg.exe 不允许和*.txt.exe 不允许策略。然后加入h:*.exe 不允许,h*.com 不允许的两条,让U盘中的可执行文件无法启动。(注:这里笔者的U盘盘符为h盘)
三、禁止四地运行
目前潜入用户计算机中的病毒木马很多都会自行隐蔽行踪,从而躲开管理人员的目光。这里要建立策略,防止木马从回收站、System Volume Information(系统还原文件夹)、C:WINDOWSsystem文件夹、C:WINDOWSsystem32Drivers文件夹四地启动。如下:
?:Recycled*.* 不允许的
%windir%system*.* 不允许的
%windir%system32Drivers*.* 不允许的
?:System Volume Information*.* 不允许的
注:使用*.*格式时不会屏蔽掉可执行程序以外的的程序,如:txt、jpg等。
四、禁止伪装进程
随着病毒会自行将文件名改为与系统进程接近的名称时,如:explorer.exe、sp00lsv.exe等,其大小写及O与0的问题让用户无法识别,所以这里需建立如下策略让其无法启动。
*.pif 不允许
sp0olsv.exe 不充许
spo0lsv.exe 不充许
sp00lsv.exe 不充许
svch0st.exe 不充许
expl0rer.exe 不允许
explorer.com 不允许
注:有些病毒会用pif后缀,即explorer.pif.pif 和exe、com,都属于可执行文件,并且在XP系统中默认的com的优先级要高于exe可执行程序,其后缀具有极强的隐蔽性。如果用户在开启显视文件扩展名的情况下无法看到程序后缀时,即可以通过WinRAR或第三方浏览器进行查看。
端口组策略
当软件策略完成后,用户即可进入到最后一关,计算机端口策略的配置。众所皆知,设置好端口策略很大程序中可以对入侵攻击及木马病毒常用端口起到阻止作用,设置过程也很简单,只分四步走如下:
第一步、依次打开:控制面板-管理工具-本地安全策略-IP安全策略,在向导中下一步,填写安全策略名-安全通信请求,并将激活默认相应规则的钩去掉,点完成创建新的IP安全策略。
第二步、右击该IP安全策略,在属性对话框中,将使用添加向导左边的钩去掉,然后单击添加加入新规则,并在弹出的新规则属性对话框点击添加,在随后弹出的IP筛选器列表窗口中,把使用添加向导左边的钩去掉,然后添加新的筛选器。
第三步、进入筛选器属性对话框,在源地址中选择任何IP地址,目标地址选我的IP地址,点协议选项,在选择协议类型下拉表中选TCP,然后在到此端口下文本框中输入“XXXX”(XXXX为要关闭的端口号,如3389、139等),确定退出即可。(注:详细的关闭端口设置方案请用户根据端口列表大全及自身需求量身而定,端口列表可以各大搜索引擎中自行查找)
第四步、随后在新规则属性对话框中,选新IP筛选器列表,激活后点筛选器操作选项,将使用添加向导左边钩去掉,添加阻止操作,在新筛选器操作属性的安全措施选项里选阻止,确定即可回到新IP安全策略属性”对话框,在新的IP筛选器列表左边打钩,确定。在本地安全策略窗口中右击鼠标指派刚才建立的IP安全策略即可。
浏览量:2
下载量:0
时间:
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下图是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测 TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口
浏览量:2
下载量:0
时间:
导语:以下是读文网OMG小编为大家整理的防火墙的知识,希望你喜欢阅读:
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下面是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用时也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
谢谢观赏
浏览量:2
下载量:0
时间:
连接网上的服务器系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。传统意义上的防火墙技术分为三大类,“包过滤”(Packet Filtering)、“应用代理”(Application Proxy)和“状态检测”(Stateful Inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
一、Solaris包过滤防火墙IPFilter简介
IPFilter是目前比较流行的包过滤防火墙软件,它目前拥有多种平台的版本,安装配置相对比较简单。可以用它来构建功能强大的软件防火墙,下面就其的安装以及一些典型的配置作一下说明。IPFfilter 的作者是 Darren Reed 先生,他是一位致力于开源软件开发的高级程序员,目前工作于 SUN 公司。IP Filter 软件可以提供网络地址转换(NAT)或者防火墙服务。简单的说就是一个软件的防火墙,并且这个软件是开源免费的。当前的版本是4.1.15,目前支持 FreeBSD、NetBSD、Solaris、AIX 等操作系统平台。IPFilter是它是一个在引导时配置的可加载到内核的模块。这使得它十分安全,因为已不能由用户应用程序篡改。我用Solaris10 来作为实验的平台介绍一下IP Filter。IP Filter过滤器会执行一系列步骤。图1说明处理包的步骤,以及过滤如何与 TCP/IP 协议栈集成在一起。
数据包在Solaris内的处理顺序包括下列步骤:
1. 网络地址转换 (Network Address Translation, NAT) :将专用 IP 地址转换为不同的公共地址,或者将多个专用地址的别名指定为单个公共地址。当组织具有现有的网络并需要访问 Internet 时,通过 NAT,该组织可解决 IP 地址用尽的问题。
2. IP 记帐 :可以分别设置输入规则和输出规则,从而记录所通过的字节数。每次与规则匹配时,都会将包的字节计数添加到该规则中,并允许收集层叠统计信息。
3. 片段高速缓存检查 :如果当前流量中的下一个包是片段,而且允许前一个包通过,则也将允许包片段通过,从而绕过状态表和规则检查。
4. 包状态检查 :如果规则中包括 keep state,则会自动传递或阻止指定会话中的所有包,具体取决于规则指明了 pass 还是 block。
5. 防火墙检查 :可以分别设置输入规则和输出规则,确定是否允许包通过 Solaris IP 过滤器传入内核的 TCP/IP 例程或者传出到网络上。
6. 组:通过分组可以按树的形式编写规则集。
7. 功能 :功能是指要执行的操作。可能的功能包括 block、pass、literal 和 send ICMP response。
8. 快速路由 :快速路由指示 Solaris IP 过滤器不将包传入 UNIX IP 栈进行路由,从而导致 TTL 递减。
9. IP 验证 :已验证的包仅通过防火墙循环一次来防止双重处理。
二、学会编写IPFfilter 规则
典型的防火墙设置有两个网卡:一个流入,一个流出。IPFfilter读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。 通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用IPFfilter系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令,一般语法如下:
action [in|out] option keyword, keyword...
参数说明:
1. 每个规则都以操作开头。如果包与规则匹配,则 Solaris IP 过滤器将操作应用于该包。以下列表包括应用于包的常用操作。
block :阻止包通过过滤器。
pass :允许包通过过滤器。
log :记录包但不确定是阻止包还是传递包。使用 ipmon 命令可查看日志。
count :将包包括在过滤器统计信息中。使用 ipfstat 命令可查看统计信息。
skip number :使过滤器跳过 number 个过滤规则。
auth :请求由验证包信息的用户程序执行包验证。该程序会确定是传递包还是阻止包。
preauth :请求过滤器查看预先验证的列表以确定如何处理包。
2. 操作后面的下一个单词必须是 in 或 out。您的选择将确定是将包过滤规则应用于传入包还是应用于传出包。
3. 接下来,可以从选项列表中进行选择。如果使用多个选项,则这些选项必须采用此处显示的顺序。
log :如果规则是最后一个匹配规则,则记录包。使用 ipmon 命令可查看日志。
quick :如果存在匹配的包,则执行包含 quick 选项的规则。所有进一步的规则检查都将停止。
on interface-name :仅当包移入或移出指定接口时才应用规则。
dup-to interface-name:复制包并将 interface-name 上的副本向外发送到选择指定的 IP 地址。
to interface-name :将包移动到 interface-name 上的外发队列。#p#副标题#e#
4. 指定选项后,可以从确定包是否与规则匹配的各关键字中进行选择。必须按此处显示的顺序使用以下关键字。
tos :基于表示为十六进制或十进制整数的服务类型值,对包进行过滤。
ttl :基于包的生存时间值与包匹配。在包中存储的生存时间值指明了包在被废弃之前可在网络中存在的时间长度。
proto :与特定协议匹配。可以使用在 /etc/protocols 文件中指定的任何协议名称,或者使用十进制数来表示协议。关键字 tcp/udp 可以用于与 TCP 包或 UDP 包匹配。
from/to/all/any :与以下任一项或所有项匹配:源 IP 地址、目标 IP 地址和端口号。all 关键字用于接受来自所有源和发往所有目标的包。
with :与和包关联的指定属性匹配。在关键字前面插入 not 或 no 一词,以便仅当选项不存在时才与包匹配。
flags :供 TCP 用来基于已设置的 TCP 标志进行过滤。
icmp-type :根据 ICMP 类型进行过滤。仅当 proto 选项设置为 icmp 时才使用此关键字;如果使用 flags 选项,则不使用此关键字。
keep keep-options :确定为包保留的信息。可用的 keep-options 包括 state 选项和 frags 选项。state 选项会保留有关会话的信息,并可以保留在 TCP、UDP 和 ICMP 包中。frags 选项可保留有关包片段的信息,并将该信息应用于后续片段。keep-options 允许匹配包通过,而不会查询访问控制列表。
head number :为过滤规则创建一个新组,该组由数字 number 表示。
group number :将规则添加到编号为 number 的组而不是缺省组。如果未指定其他组,则将所有过滤规则放置在组 0 中。
四、开始编写规则
1.查看IPFilter包过滤
防火墙运行情况
Solaris 10 上IPFilter 的启动和关闭是由 SMF 管理的,在Solaris 10 上工作的进程大多都交由SMF 管理,这和先前版本的Solaris 操作系统有很大的区别。Solaris IP 过滤防火墙随 Solaris 操作系统一起安装。但是,缺省情况下不启用包过滤。使用以下过程可以激活 Solaris IP 过滤器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有两个服务ipfilter 和pfil,默认情况下ipfilter 是关闭的,而pfil 是打开的。
# svcs -a |grep network |egrep "pfil|ipf"
disabled 7:17:43 svc:/network/ipfilter:default
online 7:17:46 svc:/network/pfil:default
2.查看网卡接口
lo0: flags=2001000849 mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843 mtu 1500 index 2
inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255
可以看到网卡接口是pcn0。
3.修改/etc/ipf/pfil.ap 文件
此文件包含主机上网络接口卡 (network interface card, NIC) 的名称。缺省情况下,这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。
4. 编辑防火墙规则
使服务器对ping没有反应 ,防止你的服务器对ping请求做出反应,对于网络安全很有好处,因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点,黑客可以利用一些技术,把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改配置文件/etc/ipf/ipf.conf添加一行:
block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0
说明:IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp),启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候,可以使用icmp-type关键字来指定ICMP协议的类型。
所以把icmp-type设置为 0即可。
5. 启动服务
使用命令:svcadm enable svc:/network/ipfilter:default
6.使 pfil.ap配置文件生效
autopush -f /etc/ipf/pfil.ap
说明:此步骤只需要做一次,以后更改防火墙规则就不需要再做。
7.重新引导计算机,使用命令:“init 6”。
8.使用命令再次查看IPFilter包过滤防火墙运行情况 。
四、IPFilter包过滤防火墙规则编写方法
在创建IPFilter包过滤防火墙规则的第一步是与用户咨询确定一个可接受的服务列表。许多公司会有—个可接受的使用策略,该策略会控制哪些端口应当可用和应当赋予用户启动的服务的权限。在你确定了开放的流入端口和外出的端口需求之后,最好是编写一条规则:首先拒绝全部数据包,然后编写另外的规则:允许使用的端口。你还必须设置两个方向启用允许的服务。例如.用户同时接收和发送电子邮件通常是必要的,于是你需要对sendmail(端口25)包括一条入站和出站规则。
1、方法1
要阻止从 IP 地址 192.168.1.0/16 传入的流量,需要在规则列表中包括以下规则:
block in quick from 192.168.1.0/16 to any
下面的例子阻止来自b类网络148.126.0.0的任何数据包:
block in quick from 148.126.0.0/16 to any#p#副标题#e#
2、方法2
通俗来说就是:禁止是block ,通过是pass ,进入流量是in,出去流量是out 。然后配合起来使用就行了,再加上可以指定在哪个网卡上使用,也就是再加个on pcn0,另外还有一个关键字就是all,这是匹配(禁止或者通过)所有的包。基于IP地址和防火墙接口的基本过滤方式:
block in quick on hme0 from 192.168.0.14 to any
block in quick on hme0 from 132.16.0.0/16 to any
pass in all
应用此规则将阻止通过hme0口来自于192.168.0.14和132.16.0.0网段的所有包的进入,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
3、方法3:基于IP地址和防火墙接口的完全双向过滤方式:
block out quick on hme0 from any to 192.168.0.0/24
block out quick on hme0 from any to 172.16.0.0/16
block in quick on hme0 from 192.168.0.0/24 to any
block in quick on hme0 from 172.16.0.0/16 to any
pass in all
应用此规则后将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入和外出,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
4、方法4
使用“port”关键字对TCP和UDP的端口进行过滤:
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23
pass in all
应用此规则后将阻止从192.168.0.0网段通过8080和23端口对防火墙内的数据通信,但是允许其他网段的包进入到防火墙,同时对出去的包不作任何限制。
5、方法5
quick关键字使用提示:假如你的防火墙有100条规则,最有用的可能只有前10条,那么quick是非常有必要的。
pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet
block in log all from any to any
假如你希望禁止服务器的所有包而只希望一个IP只能够telnet的话,那么就可以加上quick关键字,quick的作用是当包符合这条规则以后,就不再向下进行遍历了。如果没有quick的情况下,每一个包都要遍历整个规则表,这样的开销是十分大的,但是如果滥用quick也是不明智的,因为它毕竟不会产生日志。
6、管理 Solaris IP 过滤器的 NAT 规则
查看活动的 NAT 规则。
# ipnat -l
删除当前的 NAT 规则。
# ipnat -C
将规则附加到 NAT 规则
在命令行上使用 ipnat -f - 命令,将规则附加到 NAT 规则集。
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
五、关闭 Solaris IP 过滤防火墙的方法
有些情况可能希望取消激活或禁用包过滤,例如要进行测试另外在认为系统问题是由 Solaris IP 过滤器所导致时,对这些问题进行疑难解答。首先成为管理员权限,
禁用包过滤,并允许所有包传入网络的命令:
# ipf –D
取消激活 Solaris IP 过滤器规则方法:
从内核中删除活动规则集。
# ipf -Fa
此命令取消激活所有的包过滤规则。
删除传入包的过滤规则。
# ipf -Fi
此命令取消激活传入包的包过滤规则。
删除传出包的过滤规则。
# ipf -Fo
此命令取消激活传出包的包过滤规则。#p#副标题#e#
六、Solaris IP 过滤防火墙的监控和管理
1.查看包过滤规则集
启用 Solaris IP 过滤器后,活动和非活动的包过滤规则集都可以驻留在内核中。活动规则集确定正在对传入包和传出包执行的过滤。非活动规则集也存储规则,但不会使用这些规则,除非使非活动规则集成为活动规则集。可以管理、查看和修改活动和非活动的包过滤规则集。查看装入到内核中的活动包过滤规则集,使用命令:ipfstat –io 。
如果希望查看非活动的包过滤规则集。可以同使用命令:
# ipfstat -I –io
2. 激活不同的包过滤规则集
以下示例显示如何将一个包过滤规则集替换为另一个包过滤规则集。
# ipf -Fa -f filename
活动规则集将从内核中删除。filename 文件中的规则将成为活动规则集。
3. 将规则附加到活动的包过滤规则集
以下示例显示如何从命令行将规则添加到活动的包过滤规则集。
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
4、监控整个IP管理器防火墙查看状态表
另外可以使用命令:“ipfstat -s” 查看 Solaris IP 过滤器的状态统计,使用命令:“ipnat -s” 查看 Solaris IP 过滤器的NAT状态统计。使用 ippool -s 命令查看地址池统计。
七、查看 Solaris IPFilter包过滤防火墙的日志文件
使用命令如下:
ipmon –o -a [S|N|I] filename
参数说明:
S :显示状态日志文件。
N:显示 NAT 日志文件。
I:显示常规 IP 日志文件。
-a:显示所有的状态日志文件、NAT 日志文件和常规日志文件。
清除包日志文件使用命令:
# ipmon -F
八、使用fwbuilder管理防火墙
事实上,如果读者们不是很熟悉Solaris中IPFilter命令的使用方式,在这里介绍一个不错的图形管理程序,就是fwbuilder (http://www.fwbuilder.org/),可以从http://www.fwbuilder.org/nightly_builds/取得读者们所需要的版本或是原始码。Fwbuilder 是一个相当有弹性的防火墙图形接口,它不仅可以产生IPFilter 的规则,也可以产生 Cisco 的 FWSM (FireWall Service Module ,用于 Cisco 高阶第三层交换机 6500 及 7600 系列 ) 及 PIX 的规则,更有趣的是,每次我们改变某台机器的设定后,它会使用 RCS 来做版本控管,相当实用。fwbuilder所支援的防火牆有:FWSM、ipfilter、ipfw、iptables、PF、PIX。
1、安装qt库
Qt 是一个跨平台的 C++ 图形用户界面库,由挪威 TrollTech 公司出品,目前包括Qt, 基于 Framebuffer 的 Qt Embedded,快速开发工具 Qt Designer,国际化工具 Qt Linguist 等部分 Qt 支持所有 Unix 系统,当然也包括 Solaris,还支持 WinNT/Win2k/2003 平台。
#wget http://ma.yer.at/fwbuilder/qt-3.3.4-sol10-intel-local.gz
# pkgadd -d qt-3.3.4-sol10-intel-local.pkg
2、安装openssl
#wget http://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gz
#pkgadd -d openssl-0.9.7g-sol10-intel-local.pkg
3、安装snmp
简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月,RFC 1157定义了SNMP(simple network management protocol)的第一个版本SNMPv1。RFC 1157和另一个关于管理信息的文件RFC 1155一起,提供了一种监控和管理计算机网络的系统方法。因此,SNMP得到了广泛应用,并成为网络管理的事实上的标准。大多数网络管理系统和平台都是基于SNMP的。
#wget http://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz
#pkgadd -d netsnmp-5.1.4-sol10-x86-local.pkg
4、安装gtk+
GTK+ 是一种图形用户界面(GUI)工具包。也就是说,它是一个库(或者,实际上是若干个密切相关的库的集合),它支持创建基于 GUI 的应用程序。可以把 GTK+ 想像成一个工具包,从这个工具包中可以找到用来创建 GUI 的许多已经准备好的构造块。最初,GTK+ 是作为另一个著名的开放源码项目 —— GNU Image Manipulation Program (GIMP) —— 的副产品而创建的。在开发早期的 GIMP 版本时,Peter Mattis 和 Spencer Kimball 创建了 GTK(它代表 GIMP Toolkit),作为 Motif 工具包的替代,后者在那个时候不是免费的。(当这个工具包获得了面向对象特性和可扩展性之后,才在名称后面加上了一个加号。)这差不多已经 10 年过去了。今天,在 GTK+ 的最新版本 —— 2.8 版上,仍然在进行许多活动,同时,GIMP 无疑仍然是使用 GTK+ 的最著名的程序之一,不过现在它已经不是惟一的使用 GTK+ 的程序了。已经为 GTK+ 编写了成百上千的应用程序,而且至少有两个主要的桌面环境(Xfce 和 GNOME)用 GTK+ 为用户提供完整的工作环境。
#wget http://mirrors.easynews.com/sunfreeware/i386/10/gtk+-1.2.10-sol10-intel-local.gz
#pkgadd -d gtk+-1.2.10-sol10-intel-local.pkg
5、安装fwbuilder
如果以上的库已经安装,就可以执行下面的命令来安装:
#wget http://ma.yer.at/fwbuilder/pkg/fwbuilder-2.0.10_build-657-i386.pkg.tar.bz2
#wget http://mirrors.easynews.com/sunfreeware/i386/10/libfwbuilder-2.0.10-sol10-x86-local.gz
#pkgadd -d libfwbuilder-2.0.10-sol10-x86-local.pkg
#pkgadd -d fwbuilder-2.0.10_build-657-i386.pkg
另外也可以使用在线安装方式部署fwbuilder,命令如下:
#/opt/csw/bin/pkg-get -i fwbuilder。
6、使用fwbuilder
为了使用方便在桌面建立一个启动器,单击鼠标右键选择创建启动器。如图6 。在命令栏目输入:/opt/csw/bin/fwbuilder即可。
桌面背景启动器可以启动应用程序,也可以链接到某个特定的文件、文件夹、FTP 站点或 URI 位置。要在桌面背景上添加启动器,请执行以下步骤:右击桌面背景,然后选择“创建启动器”。在“创建启动器”对话框中键入要求的信息。为该启动器输入的命令就是在使用桌面背景对象时执行的命令。 通过任何菜单当您在任何菜单中右击启动器时,即可打开启动器的弹出菜单。您可以使用该弹出菜单向面板添加该启动器。也可以将菜单、启动器和面板应用程序从菜单拖动到面板中。通过文件管理器每个启动器都对应一个 .desktop 文件。您可以将 .desktop 文件拖动到面板上,从而将该启动器添加到面板上。
总结:尽管IPFilter技术十分容易了解,并且对于在网络传输上设置具体的限制特别有用, —般而言,配置IPFilter防火墙存在一些缺点,因为防火墙配置涉及编写规则,常用规则语言的话法通常对于初学者(特别是Windows 初学者)难于理解,这样数据包过滤可能难于正确配置。虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤防火墙,而是将它和其他设备(如堡垒主机等)联合使用。
浏览量:2
下载量:0
时间:
思科公司制造的路由器、交换机和其他设备承载了全世界80%的互联网通信,成为了网络应用的成功实践者之一,那么你知道Cisco PIX防火墙及网络安全怎么配置吗?下面是读文网小编整理的一些关于Cisco PIX防火墙及网络安全怎么配置的相关资料,供你参考。
随着国际互连网的发展,一些企业建立了自己的INTRANET,并通过专线与INTERNET连通。为了保证企业内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。
大多数提供代理服务的专用防火墙机器是基于UNIX系统的,这些操作系统本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交换)防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通信时,完成内部和外部地址之间的映射。
配置好PIX防火墙后,从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP地址指定数据链路MAC地址,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以跟踪UDP会话,也可以跟踪TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源地址,然后从外部地址库分配一个地址,并记录下所进行的转换。这就是人们常说的有界NAT(stateful NAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。
不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址,这个地址是不会过期的。在这种情况下,用到对目标地址和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。
PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。
配置PIX防火墙是一个比较直接的工作,在提供相同级别的安全服务情况下,PIX的配置相比设置代理服务器要简单的多。从理论上讲,所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库,一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例,供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
一.PIX 防火墙
ip address outside 131.1.23.2
https://设置PIX防火墙的外部地址
ip address inside 10.10.254.1
https://设置PIX防火墙的内部地址
global 1 131.1.23.10-131.1.23.254
https://设置一个内部计算机与INTERNET
上计算机进行通信时所需的全局地址池
nat 1 10.0.0.0
https://允许网络地址为10.0.0.0
的网段地址被PIX翻译成外部地址
static 131.1.23.11 10.14.8.50
https://网管工作站固定使用的外部地址为131.1.23.11
conduit 131.1.23.11514 udp
131.1.23.1 255.255.255.255
https://允许从RTRA发送到到
网管工作站的系统日志包通过PIX防火墙
mailhost 131.1.23.10 10.10.254.3
https://允许从外部发起的对
邮件服务器的连接(131.1.23.10)
telnet 10.14.8.50
https://允许网络管理员通过
远程登录管理IPX防火墙
syslog facility 20.7
syslog host 10.14.8.50
https://在位于网管工作站上的
日志服务器上记录所有事件日志
二.路由器RTRA
---- RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers
https://阻止一些对路由器本身的攻击
logging trap debugging
https://强制路由器向系统日志服务器
发送在此路由器发生的每一个事件,
包括被存取列表拒绝的包和路由器配置的改变;
这个动作可以作为对系统管理员的早期预警,
预示有人在试图攻击路由器,或者已经攻入路由器,
正在试图攻击防火墙
logging 131.1.23.11
https://此地址是网管工作站的外部地址,
路由器将记录所有事件到此
主机上enable secret quduwenxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
https://保护PIX防火墙和HTTP/FTP
服务器以及防卫欺骗攻击(见存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
https:// 禁止任何显示为来源于路由器RTRA
和PIX防火墙之间的信息包,这可以防止欺骗攻击
access-list 110 deny ip any host 131.1.23.2 log
https://防止对PIX防火墙外部接口的直接
攻击并记录到系统日志服务器任何企图连接
PIX防火墙外部接口的事件r
access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established
https://允许已经建立的TCP会话的信息包通过
access-list 110 permit tcp any host 131.1.23.3 eq ftp
https://允许和FTP/HTTP服务器的FTP连接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
https://允许和FTP/HTTP服务器的FTP数据连接
access-list 110 permit tcp any host 131.1.23.2 eq www
https://允许和FTP/HTTP服务器的HTTP连接
access-list 110 deny ip any host 131.1.23.2 log
https://禁止和FTP/HTTP服务器的别的连接
并记录到系统日志服务器任何
企图连接FTP/HTTP的事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255
https://允许其他预定在PIX防火墙
和路由器RTRA之间的流量
line vty 0 4
login
password quduwenxxx
access-class 10 in
https://限制可以远程登录到此路由器的IP地址
access-list 10 permit ip 131.1.23.11
https://只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改
三. 路由器RTRB
---- RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口.
logging trap debugging
logging 10.14.8.50
https://记录此路由器上的所有活动到
网管工作站上的日志服务器,包括配置的修改
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
https://允许通向网管工作站的系统日志信息
access-list 110 deny ip any host 10.10.254.2 log
https://禁止所有别的从PIX防火墙发来的信息包
access-list permit tcp host 10.10.254.3
10.0.0.0 0.255.255.255 eq smtp
https://允许邮件主机和内部邮件服务器的SMTP邮件连接
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
https://禁止别的来源与邮件服务器的流量
access-list deny ip any 10.10.254.0 0.0.0.255
https://防止内部网络的信任地址欺骗
access-list permit ip 10.10.254.0
0.0.0.255 10.0.0.0 0.255.255.255
https://允许所有别的来源于PIX防火墙
和路由器RTRB之间的流量
line vty 0 4
login
password quduwenxxx
access-class 10 in
https://限制可以远程登录到此路由器上的IP地址
access-list 10 permit ip 10.14.8.50
https://只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改
---- 按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上。
看过文章“Cisco PIX防火墙及网络安全怎么配置”
浏览量:2
下载量:0
时间:
我们常说安全防火墙!那么安全防火墙需要怎么样去设置呢?下面由读文网小编给你做出详细的安全防火墙设置方法介绍!希望对你有帮助!
硬件防火墙配置文件
管安装硬件防火墙候考虑全面严密旦硬件防火墙投入实际使用环境情况却随都发改变硬件防火墙规则总断变化调整着配置参数所改变作网络安全管理员能够编写套修改防火墙配置规则安全策略并严格实施所涉及硬件防火墙配置能详细类似哪些流量允许哪些服务要用代理细节
安全策略要写明修改硬件防火墙配置步骤哪些授权需要修改、谁能进行修改、候才能进行修改、何记录些修改等安全策略应该写明责任划某具体做修改另负责记录第三检查测试修改设置否确详尽安全策略应该保证硬件防火墙配置修改工作程序化并能尽量避免修改配置所造错误安全漏洞
2.硬件防火墙磁盘使用情况
硬件防火墙保留志记录检查硬件防火墙磁盘使用情况件重要事情保留志记录检查硬件防火墙磁盘使用情况变更加重要保留志记录情况磁盘占用量异增能表明志清除程存问题种情况相说处理些保留志情况磁盘占用量异增则说明硬件防火墙能安装Rootkit工具已经攻破
网络安全管理员首先需要解情况防火墙磁盘占用情况并依据设定检查基线硬件防火墙磁盘占用量旦超基线意味着系统遇安全或其面问题需要进步检查
3.硬件防火墙CPU负载
磁盘使用情况类似CPU负载判断硬件防火墙系统运行否重要指标作安全管理员必须解硬件防火墙系统CPU负载值少低负载值定表示切现高负载值则说明防火墙系统肯定现问题高CPU负载能硬件防火墙遭DoS攻击或外部网络连接断等问题造
4.硬件防火墙系统精灵程序
每台防火墙运行情况都组精灵程序(Daemon)比名字服务程序、系统志程序、网络发程序或认证程序等例行检查必须检查些程序都运行发现某些精灵程序没运行则需要进步检查原导致些精灵程序运行哪些精灵程序运行
5.系统文件
关键系统文件改变外乎三种情况:管理员目、计划进行修改比计划系统升级所造修改;管理员偶尔系统文件进行修改;攻击者文件修改
经性检查系统文件并查系统文件修改记录及发现防火墙所遭攻击外应该强调硬件防火墙配置策略修改包含系统文件修改记录
6.异志
硬件防火墙志记录所允许或拒绝通信信息主要硬件防火墙运行状况信息源由于该志数据量庞所检查异志通应该自进行程事件异事件由管理员确定管理员定义异事件并进行记录硬件防火墙才保留相应志备查
述6面防火墙例行检查许并能立刻检查硬件防火墙能遇所问题隐患持恒检查硬件防火墙稳定靠运行非重要必要管理员用数据包扫描程序确认硬件防火墙配置确与否甚至更进步采用漏洞扫描程序进行模拟攻击考核硬件防火墙能力
看了“安全防火墙如何设置 ”文章的还看了:
浏览量:2
下载量:0
时间:
我们经常用着安全防火墙!有时候我想让我的防火墙色织例外!用什么方法好呢?下面由读文网小编给你做出详细的安全防火墙设置例外方法介绍!希望对你有帮助!
安全防火墙设置例外方法如下
win7创建防火墙例外的步骤:
1、点开始按钮——控制面板;
2、点系统和安全;
3、点Windows防火墙;
4、点允许程序或功能通过Windows防火墙;
5、如果下面是灰色的,那么点【更改设置】按钮;
如果要添加允许程序通过Windows防火墙,点【允许运行另一程序】,选择程序,点添加按钮,点确定;
如果是删除原允许通过Windows防火墙的程序,那么选中相应的程序,点删除按钮,弹出如图提示后,点【是】按钮。
看了“安全防火墙如何设置例外 ”文章的还看了:
浏览量:4
下载量:0
时间:
有时候我的电脑不想使用安全防火墙了!想要关闭下!用什么方法好呢?下面由读文网小编给你做出详细的安全防火墙关闭方法介绍!希望对你有帮助!
关闭系统防火墙,以电脑Win7系统为例,操作如下:
1、在开始菜单下点击【控制面板】;
2、点击【系统与安全】,在Windows 防火墙下点击【检查防火墙状态】;
3、在设置页面左侧,点击【打开或关闭Windows 防火墙】;
4、进入自动义设置页面后,选定关闭Windows 防火墙,点击确定即可。
看了“ 安全防火墙如何关闭”文章的还看了:
浏览量:3
下载量:0
时间:
安全狗防火墙对于我们电脑来说也是非常重要的!想要设置下!用什么方法好呢?下面由读文网小编给你做出详细的安全狗防火墙设置方法介绍!希望对你有帮助!
代理服务设备(可能是一台专属的硬件,或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求),同时封锁其他的封包,达到类似于防火墙的效果。
代理使得由外在网络窜改一个内部系统更加困难,并且一个内部系统误用不一定会导致一个安全漏洞可从防火墙外面(只要应用代理剩下的原封和适当地被配置)被入侵。相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人然后伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。
防火墙经常有网络地址转换(NAT)的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,依照被定义在[RFC 1918] 。 管理员经常设置了这样的情节:假装内部地址或网络是安全的。
防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具。
看了“安全狗防火墙如何设置 ”文章的还看了:
浏览量:2
下载量:0
时间:
安全卫士的防火墙位置到底在哪呢?很多朋友都找不到!下面由读文网小编给你做出详细的安全卫士防火墙位置介绍!希望对你有帮助!
1、木马防火墙功能模块做了一些更新;单击右侧的“安全防护中心
2、看到没有,木马防火墙功能整合到了安全防护中心里面单击展开各类防护;
3、标悬浮于已开启的防护上,即显示“关闭”;单击“关闭”即可关闭相应防护
单击未开启的防护旁的“开启”;即可开启相应防护,小编的是已经开启的,所以显示的就是关闭
软件名称:360安全卫士v10.0.0.2004官方版
软件大小:62.4M
下载地址:http://www.pc6.com/softview/SoftView_44380.html
看了“安全卫士防火墙位置在哪 ”文章的还看了:
浏览量:4
下载量:0
时间:
安全卫士防火墙位置在哪呢?如果想要关闭下!该怎么办呢?下面由读文网小编给你做出详细的安全卫士防火墙关闭方法介绍!希望对你有帮助!
1.打开360安全卫士,进入首页,点击安全防护中心,进入防火墙设置界面!
2.在防护墙设置中心点击安全设置按钮,如下图所示!
3.由于防护项次众多,本文主要介绍常用防火设置,首先在网页设置防火需要开启,如果关闭,选择对应选项即可!
4.网络防护中主要是网页木马防护,防止流量‘挂、马的网站,对于未知网站文件非常有用!可以去掉复选框来关闭!
5隔离可以程序,有些安装软件会篡改你的IE主页,同时可以拦截输入法木,马,这个设置可以锁定防止被修改,同样取消复选框可以关闭!
6.下载安全防护,这个功能主要针对右键附件及其它工具下载文件的检查!可选关闭!
7.主动防御,这个是实时监测文件,比较占内存和资源,可选关闭!如下图所示
8.你可以在设置总页面打开他们的状态,可以快捷设置!鼠标放到相应=设置项次后会有选项出现,如下图所示
看了“ 安全卫士防火墙如何关闭”文章的还看了:
浏览量:3
下载量:0
时间:
本地安全防火墙想要设置一下!如何去设置呢?下面由读文网小编给你做出详细的本地安全防火墙设置方法介绍!希望对你有帮助!
按以下操作步骤修改本地连接的Windows防火墙设置:
1、点击【开始】,选择【控制面板】;
2、在【控制面板】界面,选择【系统和安全】;
3、在【系统和安全】界面,选择【Windows防火墙】;
4、在【Windows防火墙】界面,点击左侧导航的【打开或关闭Windows 防火墙】;
5、进入【自定义设置】界面,可以设置防火墙的关闭和打开,设置完成,点击【确定】。
看了“本地安全防火墙如何设置 ”文章的还看了:
浏览量:3
下载量:0
时间:
Windows Server 2003是大家最常用的服务器操作系统之一。windows2003的服务器安全性一直都是大家关心的问题,那么Win2003基本安全怎么配置呢?今天读文网小编与大家分享下Win2003基本安全配置的具体操作步骤,有需要的朋友不妨了解下。
更新系统补丁
装完系统后,配置了IIS,先不要着急的建站,先把系统安全补丁打上。
点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。
启动系统防火墙
开始菜单-设置-控制面板- 网络连接-本地连接-属性-高级-启用-高级-设置
服务-勾选FTP服务 web 服务 远程桌面 这几个选项 (也可以在例外 那一栏选择或添加) 这样一设置等于 服务器只开启了 21 80 3389 3个端口。
默认情况下会禁ping 如果要开启 服务旁边 ICMP 进入后勾起 第一项 允许传回响应即可
三.修改远程桌面端口
修改远程端口可以有效的防止长期被扫描,小工具修改不放心还是手动修改注册表吧
修改注册表.
开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:前一步 以开启了系统防火墙 现在改了默认3389 端口 防火墙里也要添加个 10000的端口 要不一旦生效 远程桌面就进不去了,
修改完毕.重新启动服务器.才会生效.这一步不需要着急重启。连接的时候在IP后面加个端口号就可以了如 192.168.2:10000
修改磁盘权限
所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限包括系统盘,WEB盘一般只要给Administrators权限即可,一般单个网站配独立用户这个后面再配。
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将System32cmd.exe、format.com、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。 删除c:inetpub目录
有部分软件可能需要Users 读取权限 才能运行这个根据软件安装目录设置 安装目录可以设置复杂点。
五.给每个独立网站创建独立用户
开始菜单-控制面板-管理工具-计数机管理-本地用户和用户组-用户组-单击右键创建组-web
回来用户-创建 如 web001 描述那些随便 密码复杂点 最好用记书本 复制下来先 因为等会还要用
打开IIS-以创建的站点 如web001-单击鼠标右键 属性 - 目录安全 - 编辑 -浏览-高级-选择你刚创建的那个用户 如web001 点确定-
复制之前的密码 一共要输入两次。OK 搞定
然后再回到IIS web001 右键 权限- 选择 创建的那个用户勾选权限 就ok了,这样就完成了 一个用户 对应一个站点的操作了。
浏览量:3
下载量:0
时间:
VPS(Virtual Private Server 虚拟专用服务器)技术,将一部服务器分割成多个虚拟专享服务器的优质服务。那么大家知道VPS怎么设置安全配置吗?读文网小编分享了VPS设置安全配置的方法,希望对大家有所帮助。
一、修改SSH端口
vi /etc/ssh/sshd_config
找到其中的#Port 22(第13行),去掉#,修改成Port 3333
使用如下命令,重启SSH服务,注:以后用新端口登陆。
service sshd restart
二、禁止ROOT登陆
先添加一个新帐号80st ,可以自定义:
useradd 80st
给weidao 帐号设置密码:
passwd 80st
仍旧是修改/etc/ssh/sshd_config文件,第39行:#PermitRootLogin yes,去掉前面的#,并把yes改成no,然后,重启SSH服务。以后,先使用weidao 登陆,再su root即可得到ROOT管理权限。
login as: 80st
weidao@ip password:*****
Last login: Tue Nov 22 15:18:18 2011 from 1.2.3.4
su root
Password:*********** #注这里输入ROOT的密码
三、使用DDos deflate简单防落CC和DDOS攻击
使用netstat命令,查看VPS当前链接确认是否受到攻击:
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
IP前面的数字,即为连接数,如果说正常网站,几十到一百都属于正常连接,但出现几百,或上千的就可以垦定这个IP与你的VPS之间可能存在可疑连接现象。
可以使用iptables直接BAN了这个IP的永久访问:
iptables -A INPUT -s 12.34.56.78 -j DROP
使用软件DDos deflate来自动检测并直接BAN掉的方法,首先要确认一下iptables服务状态,默认CENTOS就安装的,不看也行。
service iptables status
安装DDos deflat:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod +x install.sh
./install.sh
安装后需要修改/usr/local/ddos/ddos.conf,主要是APF_BAN=1要设置成0,因为要使用iptables来封某些可疑连接,注意EMAIL_TO=”root”,这样BAN哪个IP会有邮件提示:
##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” //IP地址白名单
CRON=”/etc/cron.d/ddos.cron”//定时执行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with –cron
##### option so that the new frequency takes effect
FREQ=1 //检查时间间隔,默认1分钟
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 //最大连接数,超过这个数IP就会被屏蔽,一般默认即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。
##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1 //是否屏蔽IP,默认即可
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=”root”//当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 //禁用IP时间,默认600秒,可根据情况调整
四、使用iftop查看详细网络状况
安装IFTOP软件:
yum -y install flex byacc libpcap ncurses ncurses-devel libpcap-devel
wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
tar zxvf iftop-0.17.tar.gz
cd iftop-0.17
./configure
make && make install
安装后,使用iftop运行,查看网络情况。TX,发送流量;RX,接收流量;TOTAL,总流量;Cumm,运行iftop期间流量;peak,流量峰值;rates,分别代表2秒、10秒、40秒的平均流量。
快捷键:h帮助,n切换显示IP主机名,s是否显示本机信息,d是否显示远端信息,N切换端口服务名称,b切换是否时数流量图形条。
五、升级LNMP中的NGINX到最新版
现在最新版是0.8.53,如果以后出新版,只要更新版本号就可以,在SSH里运行:
wget http://www.nginx.org/download/nginx-0.8.53.tar.gz
tar zxvf nginx-0.8.53.tar.gz
cd nginx-0.8.53
./configure –user=www –group=www –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_ssl_module –with-http_sub_module
make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
cd objs/
cp nginx /usr/local/nginx/sbin/
/usr/local/nginx/sbin/nginx -t
kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`
kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`
/usr/local/nginx/sbin/nginx -v
cd ..
cd ..
rm -rf nginx-0.8.53
rm -rf nginx-0.8.53.tar.gz
六、常用netstat命令:
1.查看所有80端口的连接数
netstat -nat|grep -i “80″|wc -l
2.对连接的IP按连接数量进行排序
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
3.查看TCP连接状态
netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn
netstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’
netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state) print key,””,state[key]}’
netstat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr) print k,””,arr[k]}’
netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn
netstat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]‘ | sort | uniq -c
4.查看80端口连接数最多的20个IP
netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -nr|head -n20
netstat -ant |awk ‘/:80/{split($5,ip,”:”);++A[ip[1]]}END{for(i in A) print A,i}’ |sort -rn|head -n20
5.用tcpdump嗅探80端口的访问看看谁最高
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F”.” ‘{print $1″.”$2″.”$3″.”$4}’| sort | uniq -c | sort -nr |head -20
6.查找较多time_wait连接
netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20
7.找查较多的SYN连接
netstat -an | grep SYN | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -nr | more
看过“VPS怎么设置安全配置”
浏览量:2
下载量:0
时间:
本地安全策略是我们在进行一些windows安全操作时的配置文件,在这里我们可以修改具体的安全设置信息,来达到某种需求,那么你知道win7系统怎么打开本地安全策略吗?下面是读文网小编整理的一些关于win7系统打开本地安全策略的相关资料,供你参考。
1.打开电脑左下角【开始】菜单,找到【运行】选项,点击打开。
2.在弹出的运行对话框输入 secpol.msc 命令,点击确定。
3.此时进入本地安全策略界面,可以进行相关操作。
win7系统打开本地安全策略的相关
浏览量:2
下载量:0
时间:
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。下面是读文网小编带来如何配置硬件防火墙的内容,欢迎阅读!
1、 打开ChinaDDOS DIY硬防的内核下载一个适合的版本,这里我下载的是V3.1BETA01的最新版本。
2、 将下载的RAR文件解压缩,得到ISO光盘镜像文件。
3、 将镜像文件刻录至光盘。
安装防火墙内核
将内核安装光盘准备好后,确认硬盘或电子盘连接到了IDE1的MASTER位置后,在防火墙平台上连接好光驱,接通防火墙平台电源,把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。
1、 屏幕显示如下图,等待内核安装光盘引导一会后(屏幕上快速闪过整屏的英文),将停留在下图的位置:
2、 按回车键继续安装, 屏幕显示如左图,出现三个选择项目:
① 安装防火墙内核,
② 开始一个命令行,
③ 重新启动系统。
3、 这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc,于是我键入hdc后回车。
4、 屏幕出现绿色done字样,表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had,这里如果系统没有自动识别到硬盘或电子盘,请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。
5、 键入had后,屏幕提示"正在将防火墙内核从hdc安装到had……",这里需要等待2分钟左右。安装工作正在进行。
6、 直到屏幕上出现"Install completed!"字样,表示安装已结束。这时按回车键返回。
7、 重新回到选择菜单后,选择3重新启动防火墙平台,记得将光盘从光驱中取出。这样,防火墙的安装就完成了。
浏览量:2
下载量:0
时间:
win7系统是我们比较熟悉的一个操作系统,也是微软史上最经典的一个系列,里面有很多的功能是我们日常生活中经常会使用到的,所以现在市场上对于win7系统都是一片好评。那么你知道win7怎么打开本地安全策略吗?下面是读文网小编整理的一些关于win7打开本地安全策略的相关资料,供你参考。
1、另一种启动方式更简便。点击“开始”菜单,在搜索框中输入“运行”回车,即会弹出运行窗口,如下图所示;或者用快捷键Windows+R,同样可以启动运行窗口。
2、运行行窗口中输入“ecpol.msc”,回车即可启动本地安全策略。
这个方法可以对我们的电脑形成一个保护膜,对我们的个人电脑是有效的保障,各位不知道此功能的朋友可以借助这个轿车做个了解,赶紧检查下电脑上的本地安全策略是否开启了吧!
win7打开本地安全策略的相关
浏览量:2
下载量:0
时间: