2009年11月28日

防火牆概念

之前在防火牆概論的時候提到幾種網路架構,其實還有幾點使用防火牆的觀念要注意的
別在防火牆上面架設server/service
愈是單純的主機,維護起來愈簡單,也就愈安全,開了一樣server/service就多了一分的風險,比方說本來防火牆除了放行的封包外,幾乎不接受任何其他封包,今天開了http server那就準備接受http的漏洞了
使用兩個防火牆的時候最好挑選不同的品牌跟設定
如果兩個防火牆設定一樣,那真的有裝跟沒裝差不多XD同一品牌的防火牆比較容易有相同的弱點,所以使用兩個以上的防火牆來做加倍的防護的時候,最好挑選不一樣的
對外拒絕非公開的網路的IP進入
由公開網路來的封包一般來說應該是公開的IP,不是類似192.168.x.x這樣的來源IP,看到這種封包一律阻擋,另外如localhost的127.0.0.1也應該拒絕
對內做好domain區隔
防火牆常常有一個以上的介面,除了對外的界面之外,對內的界面應該可以預測本來的網域,如果真的不幸被入侵,最好也是限制他們的來源IP,免得由內部捏造另外一個內部網域的IP進行攻擊
防火牆的本機的進出要限制特定IP、TCP、UDP
防火牆本身拒絕任何要求連到防火牆的連線,可是防火牆時常還是要線上檢查狀況,如ICMP封包,最好鎖定特定的IP才對ICMP封包有回應,且回應道特的IP。UDP可能用以查詢DNS,所以只允許到特定IP查詢,對特定server回應才接受。TCP可能用以更新程式,就跟前面說的一樣。

其他有關網路規劃跟規則訂定的原則就以後再說XD

沒有留言: