 |
我们在 认识网络安全 那一篇里面提到了相关的网络危机,并且也分析了 TCP/IP 架构底下,封包的可能入侵方向,OK!那么接着下来,要了解的自然就是防火墙的设定啦!请特别留意,防火墙除了可以帮助我们抵御外来的主动联机之外,也可以帮我们控管网络流量,并且,在简单的局域网络规划中, Firewall 搭配 Router ( 就是 NAT 主机的架构 ) 也是相当常见的一种规划!这种规划对于内部私有网域的安全也有一定程度的保护作用呢!
 |
好了,现在我们需要来做好基础的防火墙措施了,在这里,我们以最简单的 Router 上面 ( 亦即是 NAT 主机 ) 架设防火墙 ( 亦即上面的图标说明 ) ,那么所有的内部 PC 将透过这部 Linux 主机连接上网,这样设计的好处是:
· 安全维护在内部可以开放的权限较大!
· 安全机制的设定可以针对 Linux 主机来维护即可!
· 对外只看的到 Linux 主机,所以对于内部可以达到有效的安全防护!
再来复习一下一个资料封包的内容,如下图所示:
 |
由于防火墙可以分析网络上传送过来的资料封包,并取得分析该资料封包的文件头资料,亦即可以分析上面图标中的目的地与来源地的 IP, port, 带有的其它信息等等!所以经由分析这些资料后,我们不难发现抵挡的方法可以有几个动作:
· 拒绝让封包进入主机的某些 port :
这个应该不难了解吧!例如你的 port 20-21 这个 FTP 相关的 port ,你只要开放给内部网络的话,所以不对 Internet 开放,那么当 Internet 来的封包想要进入你的 port 20-21 的话,那么就可以将该资料封包丢掉!因为我们可以分析的到该封包所带有的 port 号码呀!
· 拒绝让某些来源 IP 的封包进入:
例如你已经发现某个 IP 主要都是来自攻击行为的主机,那么只要来自该 IP 的资料封包,就将他丢弃!这样也可以达到基础的安全呦!
· 拒绝让带有某些特殊旗标( flag )的封包进入:
最常拒绝的就是带有 SYN 的主动联机的旗标了!只要一经发现,嘿嘿!你就可以将该封包丢弃呀!
当然还有很多的技巧,这里我们就不多提了!底下好好的来谈一谈怎样建置一个简单的 firewall 主机吧!此外,我预计使用两层防火墙,分别是 iptables 与 TCP_Wrappers ,其中,两者的相关性为:
也就是说,资料封包会先经过 iptables 才会经过 TCP_Wrappers 的作用!底下我们先来谈一下防火墙规则的草拟啰!
